La règlementation en vigueur concernant la fraude à la carte bancaire et phishing
La fraude à la carte bancaire est un fléau qui inquiète de plus en plus les usagers. Que dit la loi en matière de fraude à la carte de paiement ? Sachant que l’usurpation d’identité à distance commence à prendre de l’ampleur, notamment en piratage de données personnelles. Quels sont les devoirs et obligations des établissements bancaires en cas de phishing ? Explications.
La réglementation en vigueur en matière de fraude à la carte bancaire et au phishing reste encore floue pour les usagers. Or, cette nouvelle forme de fraude fait partie des cas de piratage des temps modernes.
Dans son rapport annuel de 2016, l’Observatoire de la sécurité des moyens de paiement déclare que les paiements frauduleux à distance représentent 70,1% de l’ensemble des fraudes par usurpation des informations figurant sur la carte.
Aujourd’hui, les pirates usent de techniques de plus en plus élaborées, comme l’hameçonnage ou « phishing ». Les victimes, sans s’en rendre compte, communiquent leurs coordonnées aux pirates, par le biais d’un message venant d’une personne se faisant passer pour un opérateur téléphonique par exemple.
Je compare les offres bancaires
Cas pratique concernant la fraude à la carte bancaire
Selon un arrêt du 2 octobre 2007, la jurisprudence maintient le fait de faire peser le risque sur la banque, quels que soient les faits ou manquements du client. Cette institution déclare que :
En cas de perte ou vol d'une carte bancaire, il appartient à l'émetteur de la carte qui se prévaut d'une faute lourde de son titulaire, au sens de l'article L. 132-3 du code monétaire et financier, d'en rapporter la preuve.
En effet, même avec l’application de la nouvelle DSP2, le Code monétaire et financier impose la même règle. C’est à la banque ou au prestataire de service de paiement de rapporter la preuve de la négligence du client, même s’il a transmis à son insu ses coordonnées bancaires (phishing).
Récemment, une affaire concernant un phishing a été portée auprès du tribunal d’instance. Il s’agit d’un propriétaire de carte bancaire qui devait accorder 2 paiements de transactions effectuées sur Internet. Pour cela, le concerné a reçu un code à 6 chiffres sur son téléphone portable, qui sera exigé lors du paiement sécurisé 3D Secure, pour valider lesdits paiements.
Or, n’ayant pas réalisé ces opérations, la victime a fait opposition à sa carte auprès de son établissement bancaire et a réclamé le remboursement des montants prélevés sur son compte, à hauteur de 3 300,28 euros.
Préalablement à cet incident, la victime a pourtant reçu un courriel, se présentant comme venant de son opérateur téléphonique SFR, un fait qu’elle n’a pas contesté. Ce courriel lui demandait de transmettre des informations relatives à son compte bancaire chez l’opérateur.
Cette manœuvre a permis au pirate d’instaurer un renvoi téléphonique des messages reçus de la banque, ainsi que d’autres informations sur ses coordonnées bancaires (nom, numéro de carte de paiement, date d’expiration et cryptogramme de la carte).
De son côté, la banque s’est opposée à cette demande de remboursement, sous prétexte que l’usager a commis un acte de négligence grave en conservant des dispositifs de sécurité personnalisés.
Je compare les offres bancaires
La charge de la preuve de la négligence revient à la banque
Selon un avocat à la Cour de Paris, le tribunal d’instance aurait dû analyser :
Si la cliente n’aurait pas pu avoir conscience que le courriel qu’elle avait reçu était frauduleux et si le fait d’avoir communiqué son nom, son numéro de carte bancaire, la date d’expiration de celle-ci et le cryptogramme figurant au verso de la carte, ainsi que des informations relatives à son compte SFR permettant à un tiers de prendre connaissance du code 3D Secure ne caractérisait pas un manquement, par négligence grave, à ses obligations mentionnées à l’article L. 133-16 du code monétaire et financier.
Selon la solution retenue par la Cour, pour que la décision penche en sa faveur, il aurait suffi à la victime de ne pas reconnaître qu’elle avait répondu à un message venant de son opérateur téléphonique.
Cette déclaration fait, en outre, partie de la décision de la Cour de cassation du 16 octobre 2012, où la victime a reconnu avoir laissé son dispositif de sécurité personnalisé ainsi que sa carte bancaire dans son véhicule.
On peut estimer que le fait que le titulaire de la carte a transmis volontairement des informations relatives à sa carte à une personne se présentant sous une fausse identité n’aurait pas été suffisant. D’autant qu’il a fait opposition carte bancaire après réception du message de validation du paiement des achats en ligne. La Cour de cassation a même estimé que la juridiction de proximité n’a pas étudié :
Au regard des circonstances de l’espèce, si Mme X... n’aurait pas pu avoir conscience que le courriel qu’elle avait reçu était frauduleux et si, en conséquence, le fait d’avoir communiqué son nom, son numéro de carte bancaire, la date d’expiration de celle-ci et le cryptogramme figurant au verso de la carte, ainsi que des informations relatives à son compte SFR permettant à un tiers de prendre connaissance du code 3D Secure ne caractérisait pas un manquement, par négligence grave, à ses obligations mentionnées à l’article L. 133-16 du code monétaire et financier.
Par ailleurs, la motivation de la banque reste intéressante du fait qu’elle caractérise une négligence grave de la part de la victime. Il ne faut tout de même pas omettre que la charge de la preuve pèse toujours sur l’établissement.
