Fraude aux moyens de paiement : les failles du 3D Secure

·

·

,
Fraude aux moyens de paiement : les failles du 3D Secure
Ce point juridique est utile ?

Un prestataire manque à son obligation d’information et de conseil en présentant à son client de façon flatteuse un système Smart 3-D Secure qui s’est avéré déficient et en conseillant de ne pas immédiatement changer vers un système 3-D Secure systématique suite à la découverte de premières fraudes (près de 50 000 euros).

Devoir de conseil et d’information

Le prestataire en services de paiement est débiteur d’un devoir de conseil et d’information. A ce titre l’article 1112-1 du code civil pose le principe que celle des parties qui connaît une information dont l’importance est déterminante pour le consentement de l’autre doit l’en informer dès lors que, légitimement, cette dernière ignore cette information ou fait confiance à son cocontractant.

Notion d’information déterminante  

Néanmoins, ce devoir d’information ne porte pas sur l’estimation de la valeur de la prestation. Ont une importance déterminante les informations qui ont un lien direct et nécessaire avec le contenu du contrat ou la qualité des parties.

Charge de la preuve  

Il incombe à celui qui prétend qu’une information lui était due de prouver que l’autre partie la lui devait, à charge pour cette autre partie de prouver qu’elle l’a fournie. Les parties ne peuvent ni limiter, ni exclure ce devoir.

Annulation de contrat

Outre la responsabilité de celui qui en était tenu, le manquement à ce devoir d’information peut entraîner l’annulation du contrat. Il incombe à celui qui prétend qu’une information lui était due de prouver que l’autre partie la lui devait, à charge pour cette autre partie de prouver qu’elle l’a fournie. Les parties ne peuvent ni limiter, ni exclure ce devoir.

Outre la responsabilité de celui qui en était tenu, le manquement à ce devoir d’information peut entraîner l’annulation du contrat.  

Ces dispositions sont pleinement applicables entre professionnels lorsque la compétence de l’acheteur de la prestation ne lui donne pas les moyens d’apprécier la portée exacte des caractéristiques techniques du produit vendu.

Si le client est spécialiste de la vente en ligne, il ne pouvait néanmoins pas connaitre les avantages et inconvénients comparés des systèmes de paiement one click, 3-D Secure et surtout Smart 3-D Secure, innovation proposée par le prestataire.  La solution Smart 3-D Secure, en ne détectant pas le caractère frauduleux de ces transactions et en autorisant pour la plupart d’entre elles le paiement par one click au lieu d’un système 3-D Secure qui aurait permis de mieux éviter la fraude a ainsi démontré son incapacité à repérer de façon systématique le caractère régulier ou frauduleux de chaque transaction contrairement aux affirmations contenues dans la brochure publicitaire.

Une information plus précise du client sur le fonctionnement du système Smart 3-D Secure et sur les risques inhérents à cette technique, notamment sur le fait que ce système pouvait laisser passer un certain nombre de transactions en one click, l’aurait probablement conduite à ne pas accepter sa mise en place.

________________________________________________________________________________________________________

REPUBLIQUE FRANCAISE

AU NOM DU PEUPLE FRANCAIS

TRIBUNAL DE COMMERCE DE PARIS

8 EME CHAMBRE

JUGEMENT PRONONCE LE 18/05/2022 par sa mise à disposition au Greffe 15 RG 2020036302

ENTRE:

Partie demanderesse assistée de Me Xavier CHABEUF du Cabinet CARDINAL

A.A.R.P.I. Avocat (c1894) et comparant par Jean-Louis SCHERMANN de la Selarl

SCHERMANN-MASSELIN Avocats (R142)

ET: SAS Z, dont le siège social est 23 rue Jean-Jacques Rousseau 75001 Paris ci-devant et actuellement […]

Partie défenderesse assistée de Me Julian Christen COAT du cabinet COAT HAUT

DE SIGY DE ROUX (AARPI) Avocats (A0297) et comparant par Me Nicole DELAY

PEUCH Avocat (A377)

APRES EN AVOIR DELIBERE

Les faits

X propose une solution de chèque cadeau dématérialisé multi enseignes s’adressant aux directions d’entreprises ainsi qu’aux comités d’entreprises.

La Société Z est un établissement de paiement qui assure « la gestion et le contrôle des flux de paiement du Client » et fournit pour ce faire « une interface de programmation permettant au Client d’intégrer un système de paiement par carte sur son t propre site Internet ». ament par carte, classic Une opération de fait intervenir quatre acteurs : le porteur de la carte, client de la banque, dénommé payeur ou acheteur ; la banque du porteur, qui émet la carte, dénommé émetteur ; le commerçant, qui accepte le paiement, dénommé accepteur ou bénéficiaire ; la banque du commerçant, qui acquiert le paiement, dénommé acquéreur.

Z agit ainsi, comme le fait un banquier traditionnel, en qualité d’acquéreur des opérations de paiement par carte acceptées en vente à distance, via le site internet de X, commerçant accepteur.

Cette acquisition des ordres de paiement lui permet : D’encaisser, via la Solution, les montants correspondant aux Transactions réalisées par les Acheteurs en contrepartie des Produits proposés par le Client; De procéder à des Remboursements, via la Solution d’effectuer des Virements de fonds associés au Compte Client permettant au Client de récupérer tout ou partie de son Solde vers son Compte Bancaire.

Lorsqu’une transaction est réalisée avec succès, les fonds correspondants sont reçus par le

Client (la société X) sur son Compte Client ouvert dans les livres de la société Z.

Plusieurs systèmes de paiement en ligne existent :

-Le paiement classique consiste pour l’acheteur à communiquer les données de sa carte bancaire à chaque achat;

-Le paiement < one click » consiste pour un site marchand à enregistrer les coordonnées bancaires de ses clients. Il peut ensuite leur proposer un paiement très simplifié en un seul clic.

-Le système 3D Secure protège les marchands et les acheteurs contre l’utilisation frauduleuse de cartes bancaires en ajoutant un deuxième niveau de sécurité lors de la finalisation d’un paiement. Après avoir renseigné ses coordonnées bancaires, le client est redirigé vers le site de sa banque et doit confirmer être le porteur de la carte utilisée pour le paiement via une méthode d’authentification code envoyé par SMS ou saisie de la date de naissance par exemple. Le 3D-Secure est une mesure de prévention essentielle contre les risques d’opposition sur carte puisque le fraudeur potentiel voit sa tâche significativement compliquée par ce deuxième niveau d’authentification.

-Afin d’améliorer ce système et se distinguer de la concurrence, Z a imaginé un dispositif présenté comme innovant : le « Smart 3-D Secure ». Celui-ci consiste pour la société Z à calculer en temps réel un score de risque associé à tout paiement. Ainsi qu’il est dit dans la documentation commerciale de

Z < Ce calcul est réalisé en utilisant des algorithmes prédictifs innovants développés par les équipes de recherche de Z. Le score de risque ainsi calculé représente la probabilité que le paiement en question soit frauduleux » (pièce 5 X).

Ainsi, les paiements sont dirigés ou non vers le 3-D Secure en fonction de leur score de risque calculé par la société Z. Si le score de risque est élevé, le 3-D Secure est activé, si le score de risque est faible, le 3-D Secure est désactivé. Il revient au marchand d’activer cette option Smart 3-D Secure sur son portail. C’est pour cette option que X a opté suite au contrat signé le 5 mars 2016, matérialisé par un bon de commande et des conditions générales de vente (ci-après le < Contrat »), aux termes duquel Z s’est engagée à fournir à X une interface de programmation lui permettant d’accepter des opérations de paiement par carte, à distance, en vente à distance (VAD). Le coût de la fraude dans le cadre d’une transaction 3-D Secure incombe en général à la banque du porteur et dans le cas d’une fraude sans 3D Secure sur le commerçant.

Courant juin à septembre 2019, X a expliqué avoir été victime d’une série d’opérations frauduleuses.

X expose en effet avoir subi des opérations de paiement contestées par des porteurs. Par courrier de son conseil du 21 janvier 2020, la demanderesse estimant que Z avait manqué à son devoir de conseil et que ce manquement lui avait causé un préjudice constitué par les fraudes qui l’ont affectées et qui auraient pu être évitées, l’a mise en demeure de lui « faire parvenir un chèque d’un montant de 43 894,90 € TTC, établi à l’ordre de la CARPA dans un délai de dix (10) jours suivant réception de la présente ». Cette somme sera réduite par la suite à 37 294,90 euros correspondant à hauteur de 34 084,90 € au montant des fraudes supportées par X et de 3 210 euros aux différents frais d’opposition.

Par courrier de son conseil du 25 février 2020, la défenderesse a rejeté cette demande de paiement au motif qu’elle ne pouvait être tenue pour responsable des conséquences supportées à raison des opérations frauduleuses subies par X.

Ainsi se présente l’affaire.

La procédure

Par acte du 17 juillet 2020 la SAS X a assigné la SAS Z. Par cet acte et par ses conclusions déposées aux audiences des 9 mars et 7 septembre 2021, et dans le dernier état de ses prétentions, elle demande au tribunal de :

Vu les articles 1103, 1104, 1112-1, 1217, 1231-1, 1604 du code civil; Vu bon de commande 5 mars 2016 et les conditions générales de la société Z;

Vu les pièces versées aux débats, Com Déclarer recevable et bien fondée la société X en l’ensemble de ses demandes ;

Constater que la société Z a manqué à ses obligations contractuelles envers la société X et notamment à son devoir de conseil ;

En conséquence,

Condamner la société Z à verser à la société X la somme de 37.294,90 €;

Assortir cette condamnation des intérêts de retard, d’une valeur égale à trois fois le taux d’intérêt légal, à compter du 23 janvier 2020, outre la capitalisation des intérêts par application de l’article 1343-2 du Code civil (anatocisme);

Condamner la société Z à payer à la société X la somme de 5.000 € par application des dispositions de l’article 700 du code de procédure civile.

Condamner la société Z aux entiers dépens ;

Par ses conclusions déposées aux audiences des 1er décembre 2020, 4 mai 2021 et 19 octobre 2021, et dans le dernier état de ses prétentions, Z demande au tribunal de :

Vu les articles 1103, 1104, 1112-1 et 1217 du Code civil,

Vu l’article 1353 du Code civil,

1. JUGER que l’ensemble des demandes de la société X sont infondées.

En conséquence :

2. DÉBOUTER la société X de l’ensemble de ses demandes, fins et prétentions.

3. CONDAMNER la société X à payer à la société Z la somme de 15.000 euros au titre de l’article 700 du Code de procédure civile ainsi qu’aux entiers dépens.

L’ensemble de ces demandes a fait l’objet du dépôt de conclusions. Celles-ci ont été échangées en présence d’un greffier qui en a pris acte sur la cote de procédure.

A l’audience du 22 février 2022, l’affaire est confiée à l’examen d’un juge chargé d’instruire

l’affaire et les parties sont convoquées à son audience du 12 avril 2022, à laquelle toutes les parties se présentent.

A cette audience, après avoir entendu les parties en leurs explications et observations, le juge chargé d’instruire l’affaire a clos les débats, a mis l’affaire en délibéré et a dit que le jugement serait prononcé par sa mise à disposition au greffe le 18 mai 2022 en application de l’article 450 alinéa 2 du code de procédure civile.

Les moyens des parties

Après avoir pris connaissance de tous les moyens développés par les parties et en application des dispositions de l’article 455 du code de procédure civile, le tribunal les résumera ci-dessous.

A l’appui de sa demande, X expose que :

-L’algorithme de détection des fraudes de Z n’a pas fonctionné et Z n’a pas été en mesure de lui conseiller rapidement les mesures de nature à mettre un terme aux désordres à partir du moment où les fraudes ont été détectées,

-Z aurait du conseiller à X de passer à un système 3 D SECURE systématique dès le début de la relation contractuelle. Elle a ainsi manqué à son devoir d’information;

-Les conditions générales de vente de Y lui laissent la faculté d’appliquer ou non une authentification 3D SECURE ce qui démontre bien qu’elle est seule capable de juger de la pertinence de la mettre en place.

-Les frais prélevés par Y dans le cadre de remboursement d’opérations frauduleuses ne sont pas contractuels et sont donc illégitimes

Z réplique ainsi :

-Pour un commerçant, le choix d’opter pour un paiement « one click » résulte d’un choix stratégique de base visant à augmenter le taux de conversion du panier de ses clients. C’est ce choix qu’a effectué X alors qu’elle avait la possibilité de mettre en place sur son propre système d’information un système d’authentification renforcée ce qu’elle n’a pas fait.

-De plus les transactions frauduleuses ont été effectuées à la suite d’un accès lui-même frauduleux sur la plateforme de paiement de X résultant d’un défaut de sécurisation suffisante pour accéder aux données personnelles de ses clients.

-Le contrat exclut la responsabilité de Y consécutive à une fraude aux moyens de paiement.

-X est un professionnel averti et avait une connaissance effective du système 3D SECURE et des conséquences attachées à l’utilisation d’une telle méthode d’authentification renforcée et c’est donc en connaissance de cause qu’elle a opté pour une solution « one click » plutôt que 3D SECURE. Y n’a donc pas manqué à son devoir d’information.

-Y n’avait aucun devoir spécifique de conseil, s’agissant d’un contrat entre deux spécialistes de la VAD et du prépaiement l’objet du contrat est décorrélé de la question de la mise en place du système 3D SECURE et X était informée des conséquences liées à une opération effectuée avec une authentification renforcée ou en « one click »

Sur ce, le tribunal,

Sur les manquements contractuels de Z allégués par X

Sur le devoir de conseil et d’information

L’article 1112-1 du code civil dispose que : « Celle des parties qui connaît une information Néanmoins, ce devoir d’information ne porte pas sur l’estimation de la valeur de ladeve cette de dont l’importance est déterminante pour le consentement de l’autre doit l’en informer dès lors que, légitimement, cette dernière ignore cette information ou fait confiance à son cocontractant.

prestation. Ont une importance déterminante les informations qui ont un lien direct et nécessaire avec le contenu du contrat ou la qualité des parties.

Il incombe à celui qui prétend qu’une information lui était due de prouver que l’autre partie la lui devait, à charge pour cette autre partie de prouver qu’elle l’a fournie. Les parties ne peuvent ni limiter, ni exclure ce devoir.

Outre la responsabilité de celui qui en était tenu, le manquement à ce devoir d’information peut entraîner l’annulation du contrat dans les conditions prévues aux articles 1130 et suivants ».

En l’espèce, il est constant ces dispositions sont pleinement applicables entre professionnels lorsque la compétence de l’acheteur de la prestation ne lui donne pas les moyens d’apprécier la portée exacte des caractéristiques techniques du produit vendu; Or

X, si elle est spécialiste de la vente en ligne, ne pouvait pas connaitre les avantages et inconvénients comparés des systèmes de paiement one click, 3-D Secure et surtout Smart 3-D Secure, innovation proposée par Z; X allègue qu’il appartenait à Z de la conseiller sur le système de paiement assurant la protection la plus efficace contre la fraude; A cet égard, elle reproche à Z de l’avoir mal informée sur les avantages et les inconvénients respectifs des systèmes de paiement one click, Smart 3-D Secure ou 3-D Secure; Notamment, la brochure décrivant le système Smart 3-D Secure présentait ce système comme étant propre à minimiser le risque de fraude grâce à un « algorithme prédictif innovant développé par les équipes de recherche de Z » ; En activant l’option, cette brochure indiquait que

< seuls les paiements les plus risqués feront l’objet d’un 3-D Secure. De cette façon, vous limitez le risque de fraude tout en évitant les étapes inutiles pour les paiements à faible risque. Vous conjuguez maîtrise des risques et optimisation de la conversion (en vente) »>. C’est en se basant sur ces informations ainsi que sur les recommandations de Z

(pièce 16 Demanderesse) que X a opté pour la mise en place de la solution Smart 3-D Secure au début de la collaboration.

Pourtant, à compter du mois de juin 2019, une série de paiements pour un montant total de 10 776 euros, s’avéraient frauduleux alors qu’ils avaient été pourtant validés par le système

Smart 3-D Secure; En juillet 2019, ces paiements frauduleux s’élevaient à 50 778,60 euros (environ 300 transactions en one click) jusqu’à ce que, le 22 juillet 2019, le 3D Secure soit finalement appliqué sur toutes les transactions par Z;

La solution Smart 3-D Secure, en ne détectant pas le caractère frauduleux de ces transactions et en autorisant pour la plupart d’entre elles le paiement par one click au lieu d’un système 3-D Secure qui aurait permis de mieux éviter la fraude a ainsi démontré son  incapacité à repérer de façon systématique le caractère régulier ou frauduleux de chaque transaction contrairement aux affirmations contenues dans la brochure (cf supra); Une information plus précise de X sur le fonctionnement du système Smart 3-D Secure et sur les risques inhérents à cette technique, notamment sur le fait que ce système pouvait laisser passer un certain nombre de transactions en one click, l’aurait probablement conduite à ne pas accepter sa mise en place;

De surcroit, suite à ces fraudes, et face à la demande formelle de X de passer au 3-D Secure systématique, Z lui recommandait par courriel du 12 juin 2019, après la détection des premières transactions frauduleuses, de « ne rien faire pour le moment ». Or en juin et surtout en juillet 2019, le montant des fraudes explosait, concernant pour l’essentiel des opérations en one click pour lesquels le système Smart 3-D Secure n’avait pas détecté le caractère risqué de la transaction contrairement à la promesse commerciale de Z évoquée précédemment.

Ce n’est que le 22 juillet que le 3-D Secure était finalement généralisé à toutes les opérations, même celles précédemment en one click, mettant ainsi fin aux fraudes ; Le 4 septembre 2019, X décidait de ne plus travailler avec Y;

Sur le fondement de ce qui précède, le tribunal constate que Z a manqué à son obligation d’information et de conseil en présentant à X de façon flatteuse un système Smart 3-D Secure qui s’est avéré déficient et en conseillant de ne pas immédiatement changer vers un système 3-D Secure systématique suite à la découverte des premières fraudes ;

Sur le préjudice subi par X 1

L’article 24 des conditions générales de vente de Z stipule notamment que la responsabilité de Z ne saurait être engagée en cas de « opération de carding (vol de carte bancaire, usurpation des codes 3D Secure) résultant d’une escroquerie en bande organisée »

Or le sujet n’est pas pour X de tenir Z responsable des fraudes et d’en demander réparation mais bien de solliciter la réparation du préjudice que lui a causé le défaut de conseil et d’information qui représente le montant des fraudes qui auraient pu être évitées si un système 3-D Secure avait été mis en place dès le début de la collaboration sur toutes les transactions comme elle le souhaitait initialement ;

A cet égard, X produit un état détaillé de chacune des 214 opérations frauduleuses constatées suite à des transactions one click antérieures à la mise en place le 22 juillet 2021 du système 3-D Secure systématique qui auraient pu être évitées si ce dernier avait été mis en place dès le début de la collaboration et pour lesquelles X ne pourra bénéficier d’un remboursement de la banque du porteur de la carte comme il est de règle en cas de fraude avec le système 3-D Secure. Le montant de ces transactions frauduleuses correspondant au préjudice subi par X s’élève à 34 114,90 euros (pièce 14 X), en ce compris 3 210 euros de frais d’opposition; X produit également les factures de Z totalisant 3 180 euros et correspondant aux frais prélevés par Z dans le cadre de remboursement de transactions frauduleuses;

Ces remboursements de transactions et de frais facturés et prélevés sur des transactions qui n’auraient pas dû être validées par Z si les mesures de sécurisation appropriées avaient été mises en place constituent l’ensemble du préjudice subi par X du fait du défaut d’information et de conseil de Z et le tribunal condamnera Z à payer à X la somme globale de 37 294,90 euros assortie des intérêts au taux légal à compter du 23 janvier 2020 date de la mise en demeure, avec anatocisme ;

Sur l’application de l’article 700 du code de procédure civile

Attendu que pour faire reconnaître ses droits, X a dû exposer des frais non compris dans les dépens qu’il serait inéquitable de laisser à sa charge, il y aura lieu de condamner Z à verser à X la somme de 3 000 euros au titre de l’application des dispositions de l’article 700 du code de procédure civile, déboutant pour le surplus.

Sur les dépens

Les dépens seront mis à la charge de Z qui succombe,

L’exécution provisoire est de droit et sans qu’il soit besoin d’examiner plus avant les autres moyens des parties que le tribunal considère comme inopérants ou mal fondés, il sera statué dans les termes ci-après. Miss Par ces motifs

Le tribunal, statuant par jugement contradictoire en premier ressort,

● Condamne la SAS Z à verser à la SAS X la somme de 37 294,90 euros assortie des intérêts au taux légal à compter du 23 janvier 2020, avec anatocisme,

Condamne la SAS Z à verser 3 000 euros à la SAS X en application des dispositions de l’article 700 du code de procédure civile; Dit les parties mal fondées dans leurs demandes plus amples ou contraires et les en déboute;

● Condamne la SAS Z aux dépens dont ceux à recouvrer par le greffe, liquidés à la somme de 74,01 € dont 12,12 € de TVA;

• L’exécution provisoire du présent jugement est de droit.

En application des dispositions de l’article 871 du code de procédure civile, l’affaire a été débattue le 12 avril 2022, en audience publique, devant M. A B, juge chargé d’instruire l’affaire, les représentants des parties ne s’y étant pas opposés. Ce juge a rendu compte des plaidoiries dans le délibéré du tribunal, composé de : M. G H, M. A B et M. C D Délibéré le 19 avril 2022 par les mêmes juges.

Dit que le présent jugement est prononcé par sa mise à disposition au greffe de ce tribunal, les parties en ayant été préalablement avisées lors des débats dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile.

La minute du jugement est signée par M. G H président du délibéré et par Mme Sylvie Vandenberghe, greffier.

Le greffier

Le président

En conséquence, la République Française mande et ordonne à tous huissiers de justice, sur ce requis, de mettre ladite décision à exécution, aux procureurs généraux et aux procureurs de la République près les tribunaux judiciaires d’y tenir la main, à tous commandants et officiers de la force publique, de prêter main-forte, lorsqu’ils en seront légalement requis.


Chat Icon