Paiements frauduleux par Payweb : le remboursement du client

·

3 Avr, 2018

·

Paiements frauduleux par Payweb : le remboursement du client

3 avril 2018

Article L. 133-19 du code monétaire et financier, brèches de sécurité, carte bancaire, cb, code de confirmation, code secret, Débits frauduleux, Droit au remboursement du client, e retrait, paiements, paiements à distance, Paiements frauduleux, Payweb, preuve de débits frauduleux, responsabilité de la banque, usurpation, Vigilance du client

Sommaire

Impact des brèches de sécurité

L’existence de brèches de sécurité affectant les systèmes de paiement à distance de type « payweb » et les cartes bancaire de « e-retrait » est un élément substantiel pris en compte par les juges pour apprécier le droit au remboursement de clients d’une banque arguant de paiements frauduleux sur leur compte.

Les moyens de paiement impliquant l’usage d’un dispositif de sécurité personnalisé (choix d’un identifiant et d’un mot de passe lors de la première connexion) n’emportent pas ipso facto la responsabilité du client en cas de fraude. La même solution est applicable pour les systèmes de paiement assortis de l’envoi par la banque, d’un email ou d’un SMS avec un code de confirmation à validité temporaire permettant d’effectuer le paiement ou le retrait désiré.

Éléments décisifs retenus dans cette affaire : l’association française des usagers des banques soupçonne une brèche dans le dispositif de sécurité de la banque, le portail « payweb » et les cartes bancaires sans contact utilisant la technologie NFC (near field communication). Ces dispositifs seraient suspectés d’être mis en échec par les pirates informatiques. L’actualité récente a fait état de plusieurs cas dans lesquels des malfaiteurs sont parvenus à s’approprier des données bancaires confidentielles d’accès aux services de consultation et de gestion de compte à distance par internet sans pour autant bénéficier de la négligence voire de la complicité du titulaire de ladite carte.

Droit au remboursement du client

Dans cette affaire, le client d’une banque a obtenu le remboursement du montant des opérations non autorisées effectuées sur ses comptes réalisées via des cartes « payweb », système qui permet de régler les achats à distance avec un numéro virtuel à usage unique (différent de celui de la carte bancaire). La banque avait opposé, à tort, à son client, une nécessaire négligence à son obligation de garde et d’utilisation des dispositifs de sécurité personnalisés attachés à ce service en donnant (supposition) à un tiers des informations confidentielles.

Article L. 133-19 du code monétaire et financier

Selon le paragraphe II de l’article L. 133-19 du code monétaire et financier, dans sa rédaction antérieure à celle issue de l’ordonnance n° 2017-1252 du 9 août 2017, la responsabilité du payeur (client de la banque) n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées ; elle n’est pas engagée non plus en cas de contrefaçon de l’instrument de paiement si, au moment de l’opération de paiement non autorisée, le client était en possession de son instrument de paiement.

Toutefois, le client supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave à ses obligations. Dès qu’il reçoit un instrument de paiement, le client doit prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés.

Lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, le client doit en informer sans tarder, aux fins de blocage de l’instrument, la banque.

En cas d’opération de paiement non autorisée signalée par le client, la banque doit rembourser immédiatement au client, le montant de l’opération non autorisée et, le cas échéant, rétablir le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu, les parties pouvant décider contractuellement d’une indemnité complémentaire.

Vigilance du client et indices de fraude

Si aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, il appartient au client de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est bien au prestataire (la banque) qu’il incombe de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations. Cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.

Dans l’affaire soumise, le rapport du service des fraudes et affaires spéciales de la banque a permis de localiser la demande de débit frauduleux, au Maroc. Tous les paiements ont été effectués suite à la saisie soit du numéro de carte bancaire du client (avec saisie du numéro de la carte à seize chiffres, la date de fin de validité et un cryptogramme visuel à trois chiffres) soit par saisi du code d’authentification envoyé par SMS. Le client a réussi à établir que son téléphone portable avait fait l’objet d’un piratage (appel du Maroc alors que le client était localisé en France). La juridiction a donc conclu à un détournement, à l’insu du client, de ses données bancaires personnelles et des cartes virtuelles générées à partir de ses cartes de crédit Mastercard.

[toggles class= »yourcustomclass »]

[toggle title= »Télécharger la Décision » class= »in »]Télécharger [/toggle]

[toggle title= »Poser une Question »]Posez une Question Juridique sur cette thématique, la rédaction ou un abonné vous apportera une réponse en moins de 48h.[/toggle]

[toggle title= »Surveillance & Analyse de Marque » class= »in »]Surveillez et analysez la réputation d’une Marque (la vôtre ou celle d’un concurrent), d’une Personne publique (homme politique, acteur, sportif …) sur tous les réseaux sociaux (Twitter, Facebook …). Testez gratuitement notre plateforme de Surveillance de Marque et de Réputation numérique.[/toggle]

[toggle title= »Paramétrer une Alerte »]Paramétrez une alerte de Jurisprudence sur ce thème pour être informé par email lorsqu’une décision est rendue sur ce thème[/toggle]

[toggle title= »Commander un Casier judiciaire »]Commandez le Casier judiciaire d’une société ou sur l’une des personnes morales citées dans cette affaire.[/toggle]

[toggle title= »Vous êtes Avocat ? »]Vous êtes Avocat ? Référencez vos décisions, votre profil et publiez vos communiqués Corporate sur Lexsider.com. Vos futures relations d’affaires vous y attendent.[/toggle]

[/toggles]