Fraude à la carte bancaire, quid des obligations des établissements bancaires ?
473 millions.
Ce nombre correspond au montant des fraudes à la carte bancaire recensés en France en 2020.
En 2009, ce nombre était pourtant porté à 266 millions d’euros.
Force est de constater qu’en près de dix années, les escroqueries financières n’ont fait qu’accroître et pour cause, les escrocs redoublent d’imagination afin de pouvoir arnaquer leurs victimes. « Phishing », « Spoofing » des techniques divergentes mais avec comme seul objectif de pouvoir disposer des identifiants de connexion de clients d’établissements bancaires et ainsi prélever leurs fonds.
Une fois confronté à ces arnaques, il n’est pourtant pas rare de se voir refuser un remboursement des sommes débitées frauduleusement par sa banque. En effet, la négligence du détenteur de la carte prélevée peut être invoquée par cette dernière afin de se soustraire du remboursement. La banque en question peut également souligner le fait que le titulaire du compte n’a tout simplement pas satisfait de manière intentionnelle ou par négligence grave à ses obligations, notamment,
“Celle de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés”. (Code monétaire et financier art L 133-16 et L 133-19).
Toutefois l’établissement bancaire n’est pas exempt de toute responsabilité et est également tenu à certaines obligations à l’endroit de son client.
En effet, la banque est tenue à un devoir de vigilance en cas d’anomalies apparentes. L’anomalie apparente est celle qui ne doit pas échapper au banquier, lequel doit se montrer suffisamment prudent et diligent face à des faits anormaux puis, il mettre tous les moyens en œuvre afin d’éviter des préjudices à ses clients mais en sus a elle-même du fait de cette opération litigieuse (Cass. com. 12-7-2017 n° 15-27.891)
Aussi, à supposer qu’un client d’un établissement bancaire ait fait l’objet d’un phishing, ou d’un spoofing en transmettant inconsciemment ou indirectement ses données bancaires suite à un mail étrange imitant sa banque ou un site frauduleux lui demandant de partager ses données pour l’achat d’un bien, ce dernier peut être protégé comme l’admet la jurisprudence. (Cass.Chambre commerciale, 12 novembre 2020 n°19-12.112)
Non seulement, il appartient à l’établissement bancaire s’opposant au remboursement de son client, de prouver la négligence grave de celui-ci, laquelle ne peut pas résulter de la simple utilisation de la carte ou des données personnelles qui lui sont liées (Cass. com. 28-3-2018 n° 16-20.018 FS-PBI : RJDA 10/18 n° 766), mais en sus, la haute juridiction a, dans l’arrêt susvisé et pour la première fois, exigée une seconde condition imputable à la banque :
“prouver que l’opération a été l’opération a été authentifiée, dûment enregistrée et comptabilisée et, surtout, non affectée par une déficience technique ou autre.”
Il est indéniable que cette condition, tirée de l'application de l'article L 133-23 du Code monétaire et financier réduit considérablement les possibilités pour une banque de s’exonérer de ses obligations de remboursement.
Aussi, afin de limiter ces fraudes à la carte bancaire, diverses mesures sont prises en Europe puis transposées dans la législation française.
A ce titre, la directive 2015/2366/UE du 25 novembre 2015 concernant les services de paiement dans le marché intérieur (dite DSP2) a eu pour objectif d’adapter les dispositions existantes concernant les services de paiement électronique, notamment par internet, et ce, en généralisant des mécanismes de sécurité afin de lutter contre la fraude.
De ce fait, il incombe aux prestataires de services de paiement, de mettre en place une procédure d’authentification forte de leurs clients, sous peine de voir leur responsabilité engagée en cas de fraude. Cette disposition s’applique également aux opérations de paiements à l’instar des virements et des prélèvements à distance, de même qu’aux paiements par carte bancaire en ligne.
Les exigences relatives à cette authentification forte du client ont fait l’objet de l’élaboration de normes techniques de réglementation (NTR) par l’Autorité bancaire européenne. Celles-ci ont été publiées au Journal officiel de l’Union européenne le 13 mars 2018.
Depuis le 15 mai 2021, ce nouveau dispositif d’authentification forte est ainsi sollicité par les banques françaises pour les achats en ligne et survient dans le contexte particulier ou la crise du Covid19, a engendré tout à la fois une explosion du commerce en ligne et consécutivement une augmentation des fraudes.
Alicia COLLOT