Publicité
Publicité
Suggérer la tentative de phishing ne suffit pas à dispenser la banque...

Suggérer la tentative de phishing ne suffit pas à dispenser la banque du remboursement !

0

Dans un arrêt rendu par la cour de cassation le 18 janvier 2017, la juridiction a décidé de faire porter à la banque la responsabilité d’opérations frauduleuses opérées par un tiers. Focus.

Arnaques
Arnaques

Rappel des faits

Concrètement, un client de la banque Crédit Mutuel de Wattignies a contesté 3 opérations de paiement effectuées sur son compte. Logiquement, il demandait le remboursement – 838 € au total – de ces opérations qu’il jugeait frauduleuses. La banque a refusé au motif que le client aurait donné ses informations confidentielles (numéro de CB, date d’expiration et cryptogramme visuel) à un tiers. En gros, il aurait fait preuve de négligence… Le client se défendant d’avoir communiqué ses informations confidentielles à un tiers, la banque en a alors conclu qu’il s’agissait d’une tentative de phishing à laquelle le client aurait répondu. Toujours par négligence…

Du coup, la banque s’est appuyée sur l’article L133-16 du code monétaire et financier qui précise que « le client doit préserver la sécurité » de ses moyens de paiement.

Le phishing – ou hameçonnage – est une technique d’escroquerie sur internet. Typiquement, vous recevez un mail dans lequel vous êtes invité à cliquer sur un lien qui vous redirige vers une page où vous devez entrer… vos coordonnées bancaires ! Le problème de cette arnaque c’est qu’elle n’a pas l’air d’en être une : le mail reçu fait très sérieux (administration, banque, fournisseur d’énergie, e-commerçant…).

La sécurisation des paiements sur internet

A lire aussi

La sécurisation des paiements sur Internet

Lire la suite

La banque doit s’assurer que les dispositifs de sécurité des moyens de paiement ne sont pas accessibles à des tiers

A l’invocation de l’article L133-16 du code monétaire et financier par la banque, la cour de cassation a mis en avant l’article précédent du même code, à savoir l’article L133-15. Selon cet article, la banque qui « délivre un instrument de paiement doit s’assurer que les dispositifs de sécurité personnalisés de cet instrument ne sont pas accessibles à d’autres personnes que l’utilisateur autorisé à utiliser cet instrument ».

Sur la responsabilité de la banque dans la sécurisation des dispositifs, le Crédit Mutuel de Wattignies a fait savoir que le client avait utilisé le système de paiement à distance de la banque « payweb », pour les 3 opérations bancaires litigieuses. Or, selon la banque, le service payweb est hautement sécurisé :

  • Lors de sa première connexion, le client choisit un identifiant et un mot de passe
  • Une carte payweb est alors créée pour chaque achat, par un « dispositif de ‘clefs personnelles’ permettant au client de choisir une combinaison de chiffres au sein d’une carte de 64 codes »
  • Enfin, le client reçoit – par SMS ou mail – un code de confirmation à validité temporaire de la part de la banque, pour finaliser le paiement

Pour la banque, le fait que le client ait – au pire – divulgué ses données personnelles à un tiers, ou – dans la meilleure des hypothèses – laissé celles-ci à disposition du tiers, ne faisait aucun doute…

La Banque Postale

 

A lire aussi

Sécurité des achats en ligne : La Banque Postale innove avec la biométrie vocale

Lire la suite

La banque doit prouver la négligence du client et non la supposer

Visiblement pas convaincue de cet argument et campée sur l’article L133-15 du code monétaire et financier, la cour de Cassation a estimé que la banque ne pouvait pas se contenter « d’évoquer l’hypothèse d’un « hameçonnage » » sans en apporter la preuve formelle !

Et cette preuve – précise la cour – « ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ».

En guise de coup de grâce, la cour de cassation a brandi l’article L133-19 du code monétaire et financier. Pour rappel, cet article dispose que :

« I. ― En cas d’opération de paiement non autorisée consécutive à la perte ou au vol de l’instrument de paiement, le payeur supporte, avant l’information prévue à l’article L. 133-17, les pertes liées à l’utilisation de cet instrument, dans la limite d’un plafond de 150 euros.

Toutefois, la responsabilité du payeur n’est pas engagée en cas d’opération de paiement non autorisée effectuée sans utilisation du dispositif de sécurité personnalisé.

II. ― La responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées.

Elle n’est pas engagée non plus en cas de contrefaçon de l’instrument de paiement si, au moment de l’opération de paiement non autorisée, le payeur était en possession de son instrument.

III. ― Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si le prestataire de services de paiement ne fournit pas de moyens appropriés permettant l’information aux fins de blocage de l’instrument de paiement prévue à l’article L. 133-17.

IV. ― Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17. »

Conséquence : le Crédit Mutuel de Wattignies va devoir rembourser à son client les 838 € !

Jihane Bensouda

Publicité
Publicité

PAS DE COMMENTAIRES

LAISSER UNE RÉPONSE