Selon la Cour de cassation, une banque ne peut se contenter de suggérer un cas d’hameçonnage pour refuser de rembourser une victime. Elle doit en apporter la démonstration face à un client qui réclame le remboursement de plusieurs achats frauduleux sur Internet.
Le Crédit Mutuel de Wattignies avait refusé de rembourser trois achats en ligne, d’un montant de 838 euros, contestés par un client. Selon l’établissement, ce dernier avait commis une faute : sans doute a-t-il donné à un tiers des informations confidentielles permettant d’effectuer ces opérations.
La banque suggérait ainsi que le malheureux se soit fait piéger par un mail de phishing (ou d’hameçonnage). Jugeant le courriel officiel, il aurait renseigné identifiants, mots de passe et clefs personnelles, bref toutes ces couches qui permettent de mieux blinder la sécurité des transactions à distance.
Elle lui opposait alors l’article L133-16 du Code monétaire et financier selon lequel « dès qu'il reçoit un instrument de paiement, l'utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés ».
La banque doit apporter la preuve de la négligence grave du client
La Cour de cassation n’a pas fait sienne cette démonstration basée sur une suggestion. En quête d’un équilibre des forces, elle rappelle qu’il revient au prestataire « de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations ».
Et pour la haute juridiction, « cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ».
Dans cet arrêt du 18 janvier 2017, elle retient qu’au regard des pièces, les juges du fond ont pu souverainement retenir que ce client n’avait pas « divulgué à un tiers, de manière intentionnelle, par imprudence ou par négligence grave, des éléments d’identification strictement confidentiels ayant permis les paiements contestés ».
De son côté, la banque ne peut se contenter d'invoquer l'hypothèse d’un hameçonnage. Elle doit en apporter la démonstration, ce qui, sans les « aveux » de l’infortuné, sera évidemment complexe à satisfaire.
Commentaires (67)
#1
En Cour de cassation pour 838€ ?! En client ok, mais la banque qui pousse jusque la …
#2
Sécurité Internet et fraude à la carte bancaire (Crédit mutuel Nord Europe - La Banque postale)
AFUB sur facebook 05/02/2014
#3
je ne savais même pas que tu te faisais pas rembourser pour les cas de pfishing
#4
Sûrement au crédit mutuel " />
#5
Y a pas de double authentification chez crédit mutuel?
#6
Ben ça crée un précédent si tu laisse le client gagner. Malheureusement pour les banques là ça doit pas leur plaisir. ..
#7
" />Le sous-titre résume tout !
#8
Si (ils le gèrent plutôt bien je trouve en plus), mais suffit de tomber sur des sites qui ne gèrent pas le 3DSecure, et bam.
#9
Bonne chose, ça va être très compliquée pour les banques, jusqu’à ce qu’un péon de l’assemblée nationale veuille modifier cela…les banques ils les aiment bien eux et vice versa.
#10
un type qui fait des achats compulsifs avec son chéquier : on lui retire son chéquier quand il est à découvert.
un type qui fait des achats compulsifs en ligne avec sa CB : on lui retire sa CB à la première contestation.
épicétout " />
#11
Oui je comprend, mais bon franchement la banque qui pousse jusqu’en cassation pour moins de 1000€
Je suis quasi certain que rien qu’en avocat et frais de justice il y’a pour plus que le préjudice!
#12
J’avais crû comprendre que tant que la banque ne pouvait pas prouver que l’on avait utilisé le code PIN de la carte, elle était obligé de rembourser (sauf utilisation de la CB sous la contrainte ?)
#13
Dans cet arrêt du 18 janvier 2017, elle retient qu’au regard des pièces
sans les « aveux » de l’infortuné
" /> j’adore.
#14
sur un achat en ligne tu donnes jamais le code pin.
#15
ceci dit, je sais pas pour le CM de Wattignies, mais au CMB on a Virtualis, un système de CB virtuelle et plafonnée qui, s’il est activé, désactive automatiquement l’usage du vrai numéro de CB.
dans ce cas je me demande si la banque ne peut pas dire que l’usager n’a pas tout mis en oeuvre pour sécuriser ses achats (ie n’a pas activé le système sécurisé de CB virtuelle).
#16
Remarque c’est bien, les banques vont faire pression sur les sites pour utiliser un moyen de confirmation (SMS par ex, boitier déporté où tu dois saisir ton code PIN après y avoir inséré ta CB etc…) : ce ne sera pas plus mal.
#17
#18
On a de la chance en France vis-à-vis des banques, car la législation est relativement protectrice des clients, en tous cas pour les paiements par carte bancaire. Et pourtant, les banques forment un lobby puissant, à priori plus riche que celui de la culture et des ayants-droits (contre qui beaucoup râlent très fort ici). Comme quoi, les politiques ne sont pas forcément victimes de lobbies.
#19
Les banques ont les services juridiques et les moyens pour aller en justice. Elles y vont non pour ne pas avoir à rembourser une somme modique mais pour éviter que justement une telle jurisprudence se mettent en place. La Cour de cassation aurait très bien pu décider que le simple fait que les paiement aient été autorisés démontrait la faute du client de la banque et que la banque n’avait donc pas à le rembourser. Et hop une jurisprudence que toutes les banques auraient pu opposer à leurs clients et là le total des non remboursements n’ait plus de quelques milliers d’euros.
Ce client par son action rend service à tous les clients des banques qui pourraient être dans le même cas. Mais déjà les banques ne vont pas ébruiter cette décision et continuer à dire à leurs clients qu’ils sont fautifs ou au moins à leur faire reconnaitre leur faute pour ne pas avoir à les rembourser. Et puis nos gentilles banques vont faire un peu de lobbying pour amender le code adéquat et ne plus avoir à supporter la charge de la preuve.
#20
#21
#22
Ils auraient pe mieux fait de faire un geste effectivement, ça leur aurait évité cette décision.
#23
838 pour un seul, mais si confirmé cela sera valable pour des milliers de clients, donc des sommes plus importantes.
#24
#25
J’utilisais principalement ce moyen de paiement que je trouvais très sécurisé et le plus pratique (contrairement au 3D secure qui est beaucoup plus chiant => telephone en charge, plusieurs personnes utilisant le meme moyen de paiement, quand t’es a l’etranger, ou pour qu’une personne paye a ta place par exemple => exemple, mon pere est a l’etranger et je suis amené a faire des achats pour lui).
Je ne comprends pas d’où sort cette histoire de “nombre important de fraudes” qui figurent pas sur le site d’LCL.
Est ce que la fraude viendrait d’identifiants volés?
#26
C’est bon, suffit de mettre en place la double authentification pour la connexion à ton compte Amazon … ou pas, elle n’est pas gérée sur la version mobile du site " />
Tout ça pour dire que ce n’est pas prêt de s’arrêter, entre les sites qui gèrent à moitié la double authentification, ceux qui ne gèrent pas le 3D secure et enfin ceux qui demande pas le code à 3 chiffres derrière la carte…
Faudrait avoir à uniformiser tout ça parce que ça ne sert à rien de se battre contre la fraude tant qu’autant de failles existent.
#27
#28
justement, c’est pour cela qu’elle doit rembourser sans embêter son client.
#29
#30
Concernant le piratage de plus en plus simple des CB VISA ( et non mastercard, ce réseau étant sécurisé des attaques “brute-force” ), lisez cet article :
https://www.undernews.fr/banque-cartes-bancaires/piratage-6-secondes-pour-compro…
cdt,
#31
#32
#33
#34
Je ne comprends pas pourquoi les banques n’ont pas imposé le 3Dsecure depuis longtemps.
#35
De deux choses l’une :
Soit les banques vont faire aupres des députes du lobbying pour pallier a cette situation …
Soit leur frais vont exploser …
Ou alors les 2 à la fois ! " />
#36
Je pense que c’est le but. La sécurité d’une transaction dépend des moyens mis en oeuvre par les banques. A partir du moment où elles ont ce pouvoir, ça n’a aucun sens d’en donner les responsabilités aux utilisateurs.
#37
Oui mais ils n’ont pas besoin d’être victimes pour être corrompus.
#38
#39
#40
et y a pas besoin de chercher loin >> amazon :)
#41
#42
En l’espèce le client de la banque avait utilisé le service Payweb, qui est une carte bleu virtuelle, et la banque avait envoyé le sms de confirmation à une autre personne.
#43
#44
#45
ah carrément. ^^
mais bon le gars reçoit juste un code, donc je vois mal comment frauder juste à partir de ça.
#46
#47
#48
C’est cool ça va obliger les banques à vraiment lutter contre le phising, jusqu’ici ça a été un peu mou lol
#49
Tu veux obliger à quoi contre du phishing? Si tu files tes accès, la banque ne peut rien y faire.
A part mettre une connexion à base de token perimable façon authenticator blizzard, mais pas évident à mettre en place et 99% des clients ne le demande pas.
#50
#51
#52
simplement poussé les mails signé et chiffré a etre plus utilisé :) et adieu pishing
#53
#54
#55
#56
Grave ! Je croyais que justement ce système était prévu pour limiter la fraude, et honnêtement je ne vois pas en quoi ça pourrait la rendre au contraire plus facile…" />
#57
#58
Merci
#59
Ok, Merci !
#60
Ok ok .. les banques c’est le mal .. mais dans le cas présent, c’est quand même le client qui est plus responsable que la banque ?
Désolé mais moi je ne trouve pas logique cette décision de “justice” ..
Je sais que les analogies c’est nul mais j’achète une bagnole, j’écrase un piéton .. c’est pas le vendeur de la bagnole qui va devoir prouver son innocence ( ou ma culpabilité)
Bref .. ok ça protège le client mais ça incite pas la populace à être vigilant et se méfier un minimum !!
Je trouve pas ça constructif comme décision …
#61
Et c’est bien ce que dit la Cour de cassation. S’il y a pishing, le client n’est pas remboursé. Mais il faut le prouver.
#62
Pas forcément.
Tu peux très bien choisir de ne pas désactiver le numéro de CB réel (y compris en ayant activé le numéro de carte bleue virtuelle) pour de bonnes raisons :
#63
Ton raisonnement est celui de la banque. Aussi, elle considérait que le client avait du être négligeant et qu’un tiers avait donc eu accès à son dashboard depuis le portail internet de la banque. Ce tiers pouvait donc générer uen CB virtuelle et modifier le numéro de téléphone servant à la réception de la confirmation . En effet, selon l’article L133-19 IV du Code monétaire et financier( CMF) :
”[le client] supporte toutes les pertes occasionnées par des opérations de
paiement non autorisées si ces pertes résultent d’un agissement
frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16
et L. 133-17 [du même code]” .
ET,
Le premier alinéa de l’article 133-23 du CMF, dispose qu’“il incombe à son prestataire de services de paiement [ie la Banque] de prouver que l’opération en question a été authentifiée” ( or, le SMS de confirmation fut, en l’espèce envoyer à un tiers). En outre, le second alinéa de ce même article va plus loin en considérant que “L’utilisation [de la CB par tiers] ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence ” a son devoir de garder secret ses login et mdp. Aussi, la Banque ne peut pas présumer, comme elle la fait en espèce, la faute grave de son client de la seule utilisation frauduleuse par un tiers de la CB de son client. Elle doit prouver la faute caractérisée et non une simple négligence.
Comme l’écrit Marc, en pratique, sans aveux du client, la Banque pourra difficilement rapporter la preuve de la négligence caractérisée du client. Aussi, comme la Banque n’a pas prouvé l’intention ou la négligence grave de son client, la Cour en déduit que les paiements frauduleux doivent être intégralement supportés par la Banque. Cette jurisprudence est constante, comme en atteste un arrêt de 2008 de la même chambre de la Cour de cassation (la Cour d’Appel considérait que l’opposition tardive du client permettait d’en déduire sa faute, La Haute cour casse cet arrêt).
Pour en revenir à l’arrêt rapporté par Marc, le Crédit mutuel voulait obtenir une modération de cette jurisprudence, en lui permettant de présumer la faute de son client par le simple fait de la fraude. Le pourvoi en cassation de la banque comportait la phrase suivante : “le fait que les débits litigieux aient été effectués par le biais de
ce système impliquait qu’un tiers avait eu accès à ces données”. Ce pourvoi est rejeté directement et le jugement du juge de proximité datant de 2015 devient, de plein droit, exécutoire.
#64
Si tout va bien, cette juridiction devrait être supprimée en juillet
#65
#66
1- je ne raisonne pas comme la banque, je répond juste sur ce point que si le SMS de 2FA, pour une raison ou pour une autre, arrive chez quelqu’un d’autre, je vois mal ce que ce quelqu’un d’autre peut bien faire avec un bête code d’authentification valide pendant 30s.
2- si effectivement le mec s’est fait piquer ses identifiants, c’est bien qu’il a fait une connerie à un moment donné, sinon tout un chacun se ferait piquer ses identifiants.
3- l’article du CMF considère que c’est à la banque de prouver la négligeance. Très bien, je n’ai pas dit le contraire, mais ça parait assez évident si le mec s’est bien fait voler ses identifiants.
dans tous les autres cas effectivement, il y a matière à débattre. mais si le voleur dispose du login + password du client, je vois mal comment ce dernier peut prétendre n’avoir pas été négligeant.
#67
C’est plutôt comme le pilote automatique des voitures autonome de Teslaet Uber.
Analogie hasardeuse mise à part, la charge de la preuve de la responsabilité du client-utilisateur d’un service électronique (fournit par la banque) incombe à la banque et non au client. Peut-être que le client a manqué de vigilance dans les faits, mais ce dernier s’en défend et la banque est incapable de prouver honnêtement le manque de vigilance de son client.
D’ailleurs, heureusement que la banque est en charge de la preuve : c’est quand même elle qui fournit les outils informatiques qui sécurisent les opérations bancaires (c’est un peu sa raison d’être).