La fraude à la carte bancaire
La fraude à la carte bancaire devient un grave problème national.
En 2021, dans son rapport annuel, l’Observatoire de la sécurité des moyens de paiement soulignait que la carte de paiement, qui reste le moyen de paiement privilégié des Français (utilisé dans près de la moitié des transactions scripturales), supporte plus de la moitié de la fraude aux moyens de paiement scripturaux émis en France.
« En 2021, la fraude aux transactions scripturales s’est élevée à 1,242 milliard d’euros, en hausse de 8,5% à méthodologie et périmètre constants, pour 7,5 millions d’opérations frauduleuses,
Le chèque reste le moyen de paiement le plus fraudé avec une part dans les montants fraudés qui diminue toutefois à 37 % en 2021 contre 42 % en 2020, en raison d’une nouvelle approche de la fraude plus proche de la réalité des préjudices subis. La part de la carte bancaire – retraits compris
– reste stable à 37%, à égalité avec le chèque, malgré une évolution des flux vers les canaux plus risqués de vente sur Internet »
La carte bancaire – retraits compris – concentre toujours la majeure partie du nombre de transactions fraudées.
Les victimes de la fraude à la carte bancaire subissent majoritairement un « hameçonnage » encore appelé « phishing », technique de fraude par laquelle le fraudeur se fait passer pour un organisme (tel qu’une banque, le service des impôts, la CAF, etc.), en utilisant le logo et le nom de cet organisme et envoie un mail demandant généralement de « mettre à jour » ou de « confirmer des informations à la suite d’un incident technique », notamment les coordonnées bancaires (numéro de compte, codes personnels).
La victime reçoit un courriel du fraudeur se présentant comme émanant de l’opérateur téléphonique et communique des informations relatives à son compte chez cet opérateur, permettant à ce dernier de mettre en place un renvoi téléphonique des messages reçus de sa banque, ainsi que ses nom, numéro de carte de paiement, date d’expiration et cryptogramme figurant au verso de la carte.
Quelque temps plus tard, la victime reçoit, sur son téléphone portable, deux messages lui communiquant un code à six chiffres dénommé « 3D Secure », destiné à valider deux paiements par internet qu’elle n’avait pas réalisés. Pressentant la fraude, elle s’empressait de faire opposition à sa carte bancaire auprès de sa banque et sollicitait le remboursement des sommes prélevées insidieusement.
Or, face à son aveu de la communication de ses données, la banque s’opposait à toute demande de remboursement des sommes au motif que la victime aurait ainsi commis une négligence grave dans la conservation des dispositifs de sécurité personnalisés mis à sa disposition.
Le juge de proximité, saisi en première instance, refusait de tels arguments émanant de la banque en retenant que, si la victime avait communiqué volontairement les informations relatives à sa carte de paiement, celles-ci avait été détournées à son insu, car communiquées à une personne se présentant sous une fausse identité, et qu’elle n’avait communiqué ni son code confidentiel, ni le code 3D Secure.
La Cour de cassation ne l’entendait pas ainsi et fit droit au pourvoi interjeté par la banque en affirmant que le juge de proximité aurait dû rechercher, au regard des circonstances de l’espèce, si la cliente n’avait pas pu avoir conscience que le courriel qu’elle avait reçu était frauduleux et si, en conséquence, le fait d’avoir communiqué son nom, son numéro de carte bancaire, la date d’expiration de celle-ci et le cryptogramme figurant au verso de la carte, ainsi que des informations relatives à son compte chez l’opérateur téléphonique permettant à un tiers de prendre connaissance du code 3D Secure ne caractérisait pas un manquement, par négligence grave, à ses obligations mentionnées à l’article L. 133-16 du Code monétaire et financier.
Cette décision s’insère dans le sillage des principes textuels et jurisprudentiels classiques (I) et apporte un éclairage pratique intéressant sur la question (II).
I – Les obligations des victimes de fraude à la carte bancaire
Ces principes concernent les obligations des titulaires de cartes bancaires (A) et la charge de la preuve de l’autorisation de l’opération par le titulaire de la carte et de la négligence grave (B).
A – Les obligations des titulaires de cartes bancaires
L’article L. 133-16 du Code monétaire et financier dispose que les obligations principales des titulaires de cartes bancaires consistant à prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et utiliser l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation.
Si la Cour de cassation peut parfois donner raison à l’établissement bancaire, c’est parce qu’elle considère qu’il faut observer si le fait pour la victime d’avoir communiqué son nom, son numéro de carte bancaire, la date d’expiration de celle-ci et le cryptogramme figurant au verso de la carte, ainsi que des informations relatives à son compte permettant à un tiers de prendre connaissance du code 3D Secure ne caractérisait pas un manquement par négligence grave au sens de l’article précité.
La Cour de cassation avait déjà mis en lumière les obligations reposant sur les utilisateurs de services de paiement en indiquant qu’ils étaient tenus de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder la banque de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est-à-dire faire opposition comme le prévoit l’article L. 133-17 du Code monétaire et financier.
Malgré l’opposition de la victime de la fraude dans les délais, celle-ci s’est vue opposer sa négligence grave pour lui refuser un remboursement des sommes payées.
Ainsi en avait d’ailleurs jugé la Cour de cassation confirmant un arrêt d’appel retenant une imprudence grave d’un client qui avait avoué aux services de police, en déclarant le vol de sa carte, qu’il avait laissé comme d’habitude cette carte dans son véhicule et son code confidentiel dans la boîte à gants dans un lieu sans surveillance, aveu et erreur fatale…
Il ne suffit donc pas de faire opposition pour espérer un remboursement, encore faut-il être vigilant !
B – La charge de la preuve de l’autorisation de l’opération par le titulaire de la carte et de la négligence grave
Il est aujourd’hui bien établi que, lorsqu’un titulaire d’un instrument de paiement se prévaut d’un remboursement dans le cadre d’une fraude et que la banque invoque une négligence grave du client, c’est sur l’établissement bancaire que repose la charge de la preuve de cette négligence alléguée.
En cela, une jurisprudence constante appliquant l’article L. 133-23 du Code monétaire et financier dispose dans son second alinéa qu’il ne suffit pas que le paiement et l’opération contestés aient été enregistrés par le prestataire de services de paiement pour prouver que l’opération a été autorisée par le client ou que celui-ci n’ait pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière.
Vont également dans ce sens les termes de la directive n° 2015/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur qui prévoit que, dans le cas de paiements en ligne, il convient que le prestataire de services de paiement soit tenu d’apporter la preuve de la négligence alléguée, le client n’ayant, dans ce cas, que des moyens limités de le faire.
En l’espèce, la preuve avait été facilement rapportée par l’établissement bancaire dès lors que la cliente « ne contestait pas » avoir elle-même répondu au courriel frauduleux et avoir ainsi transmis les informations ayant permis les paiements litigieux.
Ainsi, tout aveu du client facilite à l’évidence la tâche de l’établissement bancaire, le Tribunal prend le soin de noter que, de « son propre aveu », le client avait reconnu avoir commis une imprudence grave en laissant son code personnel à proximité de sa carte de retrait dans un lieu sans surveillance. Il convient donc d’être parfaitement vigilant lors de son dépôt de plainte quant au contenu de ses déclarations aux services de police et à sa banque.
Ainsi, si la charge de la preuve repose sur la banque, le client peut, par son aveu, grandement faciliter l’accomplissement de cette tâche…
II – Sur la preuve de la négligence grave par les banques et l’appréciation du Juge
A – la preuve de la négligence du client par les banques
Ainsi peut constituer une faute le fait de divulguer à un tiers, de manière intentionnelle, par imprudence ou par négligence grave, des éléments d’identification strictement confidentiels ayant permis les paiements contestés.
La Cour de cassation exige de la banque qu’elle caractérise l’existence ou non d’une négligence grave au vu des circonstances et du comportement de la cliente.
Ainsi, le fait d’avoir communiqué l’ensemble de ces données en réponse à un courriel dont la cliente aurait dû connaître le caractère frauduleux au regard des circonstances de l’espèce peut caractériser la négligence grave.
Il ne suffit donc pas de se contenter d’observer que les données communiquées par le cliente ont été détournées à son insu, car communiquées à une personne se présentant sous une fausse identité, et remarquer que la cliente n’a communiqué ni son code confidentiel, ni le code 3D Secure.
Si la tendance de la jurisprudence est plutôt protectrice des utilisateurs des services bancaires, la Cour peut aussi considérer que laisser son code personnel à proximité de sa carte de retrait dans un lieu sans surveillance constitue une imprudence grave justifiant que la banque refuse de recréditer le compte du client.
La preuve de la banque devient très simple lorsque les victimes avouent leur comportement négligent. À défaut d’un tel aveu, la mission de la banque s’avérera bien plus compliquée et dépendra à n’en pas douter de la bonne foi des clients.
- Je ne peux donc que conseiller de contacter un avocat en droit bancaire dès la découverte de la fraude pour savoir quoi faire et ne pas commettre d’erreur dans vos déclarations à votre banque et aux services de police.
- La banque sera particulièrement attentive à ce que vous avez déclaré dans votre plainte pénale en cas de fraude à la carte bancaire et au virement afin de l’utiliser contre vous pour chercher à démontrer votre négligence grave.
B –l’appréciation in concreto du juge dans la recherche de la négligence grave
On doit observer le rôle du juge dans l’appréciation de la négligence grave.
En effet, il est attendu du juge qu’il apprécie le comportement du client « au regard des circonstances » afin de détecter s’il a manqué aux obligations qui lui incombaient par application de l’article L. 133-16 du Code monétaire et financier.
C’est donc une appréciation subjective in concreto qui est attendue du juge, qui ne pourra donc pas statuer de façon équivalente selon le degré de « conscience » de la victime de la fraude.
Il n’est d’ailleurs pas anodin de constater que l’article L. 133-2 du Code monétaire et financier permet aux parties de déroger aux dispositions de l’article L. 133-19 du même code, selon lequel le titulaire de l’instrument de paiement supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17, sauf dans les cas où l’utilisateur est une personne physique agissant pour des besoins non professionnels.
Ainsi, les dispositions du Code monétaire et financier révèlent en filigrane une volonté de protéger les clients fragiles et les consommateurs et justifie une appréciation plus souple pour les clients professionnels.
Ainsi, les professionnels et les clients à même d’« être conscients » d’une fraude devront se montrer vigilants d’autant que le second alinéa de l’article L. 133-16 du Code monétaire et financier tend à faire apprécier le comportement du client au vu des conditions régissant la délivrance et l’utilisation de l’instrument de paiement. Les établissements bancaires pourraient ainsi être tentés de renforcer les critères permettant d’apprécier l’obligation de vigilance reposant sur leurs clients dans leurs conditions générales.
Cela démontre la résistance persistante des banques à rembourser les sommes perdues face à la négligence de leur client dans des situations de fraude.
Bonjour, le fait d’être victime d’un shoulder surfing est considéré comme une négligence grave ?