Patrimoine

Placements financiers et droits sociaux

Paiements frauduleux : pas de conséquences financières pour le payeur en l’absence d’authentification forte de la banque

Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que sa banque n’exige une authentification forte de ce dernier.

En réponse à un appel téléphonique et à un message, le titulaire d’un compte bancaire avait communiqué à un tiers, qu’il pensait être un employé de sa banque, le code à 6 chiffres dénommé « 3D Secure » destiné à valider les paiements par internet à partir de ce compte. À l’issue de cette communication, le tiers avait procédé à des règlements par internet en utilisant frauduleusement le compte bancaire du payeur.

Ce dernier, avait alors demandé à la banque de lui rembourser la somme qui avait été prélevée à ce titre et de réparer son préjudice.

Faisant valoir que le payeur avait commis une négligence grave en communiquant volontairement un code de sécurité validant une opération financière à une personne extérieure, la banque s’est opposée à sa demande.

Débouté en première instance pour avoir commis une négligence grave en faisant confiance à une personne qu’il ne connaissait pas et qui lui racontait une histoire assez peu crédible, le payeur s’est pourvu en cassation.

La Cour de cassation casse et annule le jugement. Selon elle, en l’absence de respect de l’exigence d’authentification forte prévue à l’article L. 133-44 du code monétaire et financier, le prestataire de services de paiement ne peut opposer au payeur, pour refuser de l’indemniser d’une opération non autorisée, qu’il a commis une négligence grave.

À noter : une authentification forte est une procédure permettant au prestataire de services de paiement de vérifier l'identité d'un utilisateur de services de paiement ou la validité de l'utilisation d'un instrument de paiement spécifique, y compris l'utilisation des données de sécurité personnalisées de l'utilisateur. Elle repose sur l'utilisation de deux éléments ou plus appartenant aux catégories " connaissance " (quelque chose que seul l'utilisateur connaît), " possession " (quelque chose que seul l'utilisateur possède) et " inhérence " (quelque chose que l'utilisateur est) et indépendants en ce sens que la compromission de l'un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d'authentification (c. mon. et fin. art. L. 133-4, e et f).

Pour aller plus loin :

L'essentiel du patrimoine privé, « 8- Dépôt et comptes bancaires »

cass. com. 30 août 2023, n° 22-11707