Fraude à la carte bancaire et responsabilité du porteur victime de « Pishing » (Cass. com. 25 oct. 2017)

Selon la CNIL, le « phishing » ou hameçonnage consiste pour le fraudeur à se faire passer pour un organisme qui vous est familier (banque, administration fiscale, caisse de sécurité sociale…), en utilisant son logo et son nom. Vous recevez un courriel dans lequel il vous est demandé de « mettre à jour » ou de « confirmer suite à un incident technique » vos données, notamment bancaires.

Dans l’arrêt rendu le 25 octobre 2017, la Cour de cassation a eu l’occasion de se prononcer sur la responsabilité du porteur d’une carte victime d’une fraude par « pishing ».

  • Faits
    • Après avoir reçu, sur son téléphone portable, deux messages lui communiquant un code à six chiffres dénommé « 3D Secure », destiné à valider deux paiements par internet qu’elle n’avait pas réalisés, la titulaire d’une carte bancaire dont les informations ont servi au paiement fait opposition auprès de sa banque.
    • S’estimant victime d’une fraude, elle lui demande de rembourser la somme qui avait été prélevée sur ce compte à ce titre et de réparer son préjudice moral.
    • Par suite il a été néanmoins été établi que la cliente, en réponse à un courriel se présentant comme émanant de l’opérateur téléphonique SFR, avait communiqué à son correspondant des informations relatives à son compte chez cet opérateur, permettant à ce dernier de mettre en place un renvoi téléphonique des messages reçus de la banque, ainsi que ses nom, numéro de carte de paiement, date d’expiration et cryptogramme figurant au verso de la carte.
    • La banque s’est alors opposée à la demande formulée par sa cliente au motif qu’elle avait commis une négligence grave dans la conservation des dispositifs de sécurité personnalisés mis à sa disposition.
  • Demande
    • La victime de la fraude assigne en responsabilité sa banque à qui elle reproche de n’avoir pas répondu favorablement à sa demande de remboursement.
  • Procédure
    • Par un jugement du 7 décembre 2015, la juridiction de proximité de Calais a fait droit à la demande de remboursement de la cliente.
    • Les juges estiment que si cette dernière a communiqué volontairement les informations relatives à sa carte de paiement, elles n’en ont pas moins été détournées à son insu, car communiquées à une personne se présentant sous une fausse identité
    • Ils relèvent en outre que la cliente n’avait communiqué ni son code confidentiel, ni le code 3D Secure, de sorte qu’il ne peut lui être reproché de ne pas avoir respecté les dispositions de l’article L. 133-16 du code monétaire et financier.
  • Solution
    • Par un arrêt du 25 octobre 2017, la Cour de cassation casse et annule la décision de la juridiction de proximité.
    • Elle reproche aux juges du fond de n’avoir pas recherché « au regard des circonstances de l’espèce, si Mme X… n’aurait pas pu avoir conscience que le courriel qu’elle avait reçu était frauduleux et si, en conséquence, le fait d’avoir communiqué son nom, son numéro de carte bancaire, la date d’expiration de celle-ci et le cryptogramme figurant au verso de la carte, ainsi que des informations relatives à son compte SFR permettant à un tiers de prendre connaissance du code 3D Secure ne caractérisait pas un manquement, par négligence grave, à ses obligations mentionnées à l’article L. 133-16 du code monétaire et financier»
    • Ainsi, la Cour de cassation, considère-t-elle que la juridiction de proximité n’a pas établi l’absence de négligence de la victime de la fraude, condition à l’exercice de son droit au remboursement des paiements effectués frauduleusement au moyen des informations qui figuraient sur sa carte bancaire.
  • Analyse
    • La Cour de cassation fait ici application de l’article L. 133-19, IV du Code monétaire et financier qui, en matière de fraude à la carte bancaire, pose une exception à l’obligation pour la banque de rembourser à son client les sommes débités à son insu « en cas d’opération de paiement non autorisée effectuée sans utilisation du dispositif de sécurité personnalisé».
    • Cette exception prévoit, en effet, que « le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.».
    • Les obligations visées par cette disposition sont :
      • D’une part, l’exigence de faire opposition auprès de sa banque dans un délai raisonnable en cas de perte ou du vol de son instrument de paiement ( L. 133-17 CMF).
      • D’autre part, l’exigence pour le porteur de la carte de préserver la sécurité de ses dispositifs de sécurité personnalisés ( L. 133-16 CMF).
    • Dans l’arrêt rendu en l’espèce, c’est sur le terrain de cette seconde obligation que le débat se situe.
    • Plus précisément, la question se posait de savoir si la victime de la fraude n’avait pas manqué son obligation de préserver ses dispositifs personnels de sécurité en communiquant volontairement à son interlocuteur les informations de sa carte de paiement.
    • Pour la juridiction de proximité, dans la mesure où la cliente n’avait communiqué, ni son code confidentiel, ni le code 3D secure, cette obligation était parfaitement satisfaite.
    • Cette position n’est manifestement pas partagée par la Cour de cassation ; à tout le moins estime-t-elle que les investigations effectuées par les juges du fond n’étaient pas suffisantes.
    • La chambre commerciale reproche, en effet, à la juridiction de proximité de n’avoir pas recherché si la demanderesse n’avait pas eu conscience, compte tenu des circonstances, du caractère frauduleux du courrier sur la seule foi duquel elle n’a pas hésité à divulguer les informations qui figuraient sur sa carte.
    • Aussi, appartiendra-t-il aux juges de renvoi de déterminer dans quelle mesure la lecture du courrier rendait vraisemblable la fraude.
    • Pour la Cour de cassation, l’absence de négligence ne saurait, en toute hypothèse, se déduire de la seule absence de communication des codes personnels de la victime de la fraude.
    • Pour échapper au couperet de l’exception posée à l’article L. 133-19, IV du code monétaire et financier, il devra être établi que le porteur de la carte n’avait pas conscience de la fraude dont il était victime.

Cass. Com. 25 oct. 2017
Sur le moyen unique, pris en sa deuxième branche :

Vu les articles L. 133-16 et L. 133-19 du code monétaire et financier ;

Attendu, selon le jugement attaqué, rendu en dernier ressort, qu’après avoir reçu, sur son téléphone portable, deux messages lui communiquant un code à six chiffres dénommé « 3D Secure », destiné à valider deux paiements par internet qu’elle n’avait pas réalisés, Mme X... a, le même jour, fait opposition à sa carte bancaire auprès de la Caisse de crédit mutuel de Calais (la Caisse) dans les livres de laquelle était ouvert son compte ; qu’elle lui a ensuite demandé de lui rembourser la somme qui avait été prélevée sur ce compte à ce titre et de réparer son préjudice moral ; que, soutenant que Mme X... ne contestait pas avoir, en réponse à un courriel se présentant comme émanant de l’opérateur téléphonique SFR, communiqué à son correspondant des informations relatives à son compte chez cet opérateur, permettant à ce dernier de mettre en place un renvoi téléphonique des messages reçus de la Caisse, ainsi que ses nom, numéro de carte de paiement, date d’expiration et cryptogramme figurant au verso de la carte, la Caisse s’est opposée à sa demande au motif qu’elle avait ainsi commis une négligence grave dans la conservation des dispositifs de sécurité personnalisés mis à sa disposition ;

Attendu que, pour condamner la Caisse à payer à Mme X... la somme de 3 300,28 euros en remboursement de la somme prélevée sur son compte au titre du paiement litigieux et 1 euro à titre de dommages-intérêts, le jugement retient que si cette dernière a communiqué volontairement les informations relatives à sa carte de paiement, celles-ci ont été détournées à son insu, car communiquées à une personne se présentant sous une fausse identité, et qu’elle n’avait communiqué ni son code confidentiel, ni le code 3D Secure, de sorte qu’il ne peut lui être reproché de ne pas avoir respecté les dispositions de l’article L. 133-16 du code monétaire et financier ;

Qu’en se déterminant ainsi, sans rechercher, au regard des circonstances de l’espèce, si Mme X... n’aurait pas pu avoir conscience que le courriel qu’elle avait reçu était frauduleux et si, en conséquence, le fait d’avoir communiqué son nom, son numéro de carte bancaire, la date d’expiration de celle-ci et le cryptogramme figurant au verso de la carte, ainsi que des informations relatives à son compte SFR permettant à un tiers de prendre connaissance du code 3D Secure ne caractérisait pas un manquement, par négligence grave, à ses obligations mentionnées à l’article L. 133-16 du code monétaire et financier, la juridiction de proximité a privé sa décision de base légale ;

PAR CES MOTIFS, et sans qu’il y ait lieu de statuer sur les autres griefs :

CASSE ET ANNULE, en toutes ses dispositions, le jugement rendu le 7 décembre 2015, entre les parties, par la juridiction de proximité de Calais ; remet, en conséquence, la cause et les parties dans l’état où elles se trouvaient avant ledit jugement et, pour être fait droit, les renvoie devant le tribunal d’instance de Dunkerque ;

TEXTES

Code monétaire et financier

Article L. 133-16

Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés.

Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation.

Article L. 133-17

I. – Lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci.

II. – Lorsque le paiement est effectué par une carte de paiement émise par un établissement de crédit, une institution ou un service mentionné à l’article L. 518-1 et permettant à son titulaire de retirer ou de transférer des fonds, il peut être fait opposition au paiement en cas de procédure de redressement ou de liquidation judiciaires du bénéficiaire.

Article L. 133-19

I. – En cas d’opération de paiement non autorisée consécutive à la perte ou au vol de l’instrument de paiement, le payeur supporte, avant l’information prévue à l’article L. 133-17, les pertes liées à l’utilisation de cet instrument, dans la limite d’un plafond de 150 euros.

Toutefois, la responsabilité du payeur n’est pas engagée en cas d’opération de paiement non autorisée effectuée sans utilisation du dispositif de sécurité personnalisé.

II. – La responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées.

Elle n’est pas engagée non plus en cas de contrefaçon de l’instrument de paiement si, au moment de l’opération de paiement non autorisée, le payeur était en possession de son instrument.

III. – Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si le prestataire de services de paiement ne fournit pas de moyens appropriés permettant l’information aux fins de blocage de l’instrument de paiement prévue à l’article L. 133-17

IV. – Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.