Les fraudes à la carte bancaire sont en baisse constante ces dernières années, une comparaison flatteuse pour les opérateurs de la chaîne de paiement. Surtout si l’on tient compte de l’explosion des paiements électroniques ces 5 dernières années. Pour autant en cas de fraude à la carte bancaire il est primordial de déterminer les responsabilités pour les banques et leurs clients. En effet dans cette relation la banque qui est le prestataire de service de paiement et le client qui utilise ce service. Une partie de la sécurité dépend intrinsèquement de ce dernier, son comportement peut avoir des conséquences financières graves si ce n’est catastrophique.
Fraude à la carte bancaire, le client est-il surprotégé ?
Si aujourd’hui la législation est plutôt protectrice et en faveur de l’utilisateur, puisque la fraude à la carte bancaire subie par le client, conduit quasiment à chaque fois au remboursement par la banque des montants prélevés frauduleusement sur son compte. Toutefois il existe une clause qui permet de refuser le remboursement, s’il est avéré qu’il est lui-même l’auteur de la fraude, ou s’il s’est montré gravement négligent. Or, depuis le 17 mai 2017 et la décision de la Cour de cassation n° 15-28.209. Statuant que même en cas de négligence grave, les banques doivent respecter leurs obligations contractuelles, et donc le risque de voir leur responsabilité engagée est bien réel.
L’obligation des banques de rembourser leur client
Avant de se pencher sur la décision de la Cour de cassation datant de mai 2017, il est essentiel de bien comprendre ce qu’induit l’obligation légale du remboursement des sommes frauduleuses en cas d’une classique fraude à la carte bancaire. Le litige présenté à la cour de cassation était fondé sur le cas du refus de remboursement d’un client des sommes prélevées frauduleusement lors d’opérations de retrait et paiements avec une carte bancaire.
Pour rappel, d’après le code monétaire et financier et selon les dispositions de l’article L. 133-18, en cas d’opération frauduleuse sur un compte bancaire “le prestataire de service de paiement du payeur rembourse immédiatement au payeur le montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu”. En complément le code monétaire et financier dispose aussi au sein de l’article L.133-19 IV que “le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave.
Fraude à la carte bancaire : quelle(s) responsabilité(s) pour les banques et leurs clients ?
Il existe une exonération de cette obligation de remboursement, même si selon la jurisprudence, la fraude à la carte bancaire ou la négligence grave doive être prouvées par la banque. Un véritable casse-tête, si le code confidentiel de la carte bancaire a servi à valider les achats. Effectivement, pour une banque un client pourrait tout à fait réaliser un paiement pour ensuite se faire rembourser. Un cas de figure, jugé en janvier 2017, a vu une banque être déboutée et condamnée à rembourser un client, même si la fraude a été réalisée dans le cadre d’un phishing.
La banque a été dans la capacité de prouver que le client s’est effectivement “fraudé” lui-même ? Dans ce cas, dès lors que la preuve d’une fraude à la carte bancaire est quasiment impossible à rapporter, la preuve est dite “diabolique”. En revanche, pour faire la preuve de la négligence d’un client, la banque ne peut compter que sur les aveux, ou l’honnêteté de son client. Ainsi la Cour de cassation a permis à une banque de ne pas rembourser les sommes débitées, puisque le client a avoué avoir laissé sa carte bancaire et son code personnel dans la boîte à gants de sa voiture.
Exemples de cas de fraude à la carte jugés par la cour de cassation
Que se passe-t-il lorsque et le client et la banque sont fautifs dans une fraude à la carte bancaire. C’est le cas jugé par la Cour de cassation, suite à un litige entre le client d’une banque ayant déclaré le vol de son portefeuille contenant carte bancaire et code secret. Celui-ci se trouvait dans un sac laissés plusieurs sans surveillance dans un local. Négligent, ce client n’avait fait opposition qu’après plusieurs retraits et paiements. La banque refusa logiquement de rembourser les sommes prélevées frauduleusement sur son compte, avec la carte bancaire et le code secret.
Le client en appel a été jugé responsable d’une négligence grave, la banque ayant fourni toutes les informations nécessaires en cas de perte ou de vol de ses moyens de paiement. La lenteur et le manque de réactivité du client afin de prévenir le numéro pour faire opposition sur sa carte a été jugé comme une négligence grave. La cour d’appel a donc considéré qu’il ne pouvait bénéficier du remboursement des sommes prélevées. Pour les magistrats en charge de cette affaire, que la banque ai pu laisser débiter le compte de son client alors que celui-ci ne bénéficiait pas d’un découvert autorisé ne semblait pas les déranger.
Pour la Cour de cassation, néanmoins la convention de compte fut la clé du litige car si effectivement le client est bien coupable de négligence grave. La banque a manqué à ses propres obligations contractuelles comme annoncé dans la convention de compte. Car selon les termes du contrat entre le client et sa banque, celui-ci n’avait pas d’autorisation de découvert sur son compte bancaire. Dans cette affaire, il eut fallu établir une corrélation entre les ordres de paiements et l’autorisation de découvert de sorte que tout dépassement de ce qui a été prévu contractuellement soit bloqué. Mais pour ce faire, encore faut-il que les systèmes d’information des banques soient programmés en ce sens.
Quid du futur sur la sécurité de nos moyens de paiement ?
Ces exemples montrent les limites de la politique de sécurisation des moyens de paiement, malgré les progrès effectués, il reste beaucoup de chemin à parcourir pour obtenir une authentification forte. Si certains experts estiment que le code confidentiel est une solution archaïque, vu qu’il est toujours possible de le dérober. D’autres experts militent évidemment pour des solutions biométriques en utilisant les caractéristiques de la personne, tels que l’empreinte digitale, ou encore la voix. La Banque Postale a lancé au mois de juin “Talk to Pay” une opération pilote pour tester un système de reconnaissance biométrique par la voix. L’offensive sur les moyens d’authentifications biométriques devrait s’accélérer, puisque le 27 avril 2017, la CNIL a autorisé 9 banques à expérimenter des systèmes de reconnaissance vocale pour authentifier leurs clients ou certains membres de leurs personnels.