Bancaire & voies d’exécution - 21/09/2023
Par un arrêt remarquable, la Cour de cassation affirme pour la première fois que l'absence de preuve de l'authentification forte mise en oeuvre par le banquier oblige ce dernier à rembourser le client victime d'une fraude bancaire (Cass.Com., 30 août 2023, n° 22-11.707, (B), FRH)
Depuis quelques mois, certaines banques (notamment les banques en ligne avec lesquelles les clients ont de moins en moins de contact direct) sont confrontées à une explosion des arnaques et des fraudes en matière bancaire.
Ce phénomène entraîne la saisine de plus en plus fréquente des juridictions.
De ce fait, des Tribunaux vont être, dans les prochains moins et dans les prochaines années, fréquemment amenés à à statuer sur des affaires de fraudes bancaires, plutôt rares jusqu'ici.
Surtout, les techniques employées par les escrocs sont de plus en plus élaborées.
Il appartient donc à la jurisprudence de déterminer dans quel cas la victime doit être indemnisée par la Banque, et dans quel cas la Banque peut refuser de l'indemniser.
L'arrêt précité, rendu par la Cour de cassation s'inscrit dans ce mouvement.
Dans l'affaire en question, les faits étaient relativement simple.
Selon le jugement attaqué (Clermont-Ferrand, 13 janvier 2022), rendu en dernier ressort, soutenant qu'en réponse à un appel téléphonique et à un message, il avait communiqué à un tiers, qu'il pensait être un employé de la société Caisse régionale de crédit agricole mutuel Centre France, auprès de laquelle il avait ouvert un compte, le code à six chiffres, dénommé « 3D Secure », destiné à valider les paiements par internet à partir de ce compte et qu'à la suite de cette communication, un tel paiement, non réalisé par lui, avait été effectué le 27 janvier 2020, M. [X] a demandé à la banque de lui rembourser la somme qui avait été prélevée à ce titre et de réparer son préjudice.
Il s'agit d'un cas classique de Spoofing (appel de faux conseiller bancaire se faisant passer pour une personne des services de sécurité de la banque souhaitant mettre fin à une cyberattaque).
La banque faisait valoir que M. [X] avait commis une négligence grave en communiquant volontairement un code de sécurité validant une opération financière à une personne extérieure, la banque s'est opposée à sa demande.
Le Tribunal avait rejeté la demande de la victime.
Pour rejeter la demande de M. [X], le jugement retenait que Monsieur X avait commis une négligence grave en faisant confiance à une personne qu'il ne connaissait pas et qui lui racontait une histoire assez peu crédible.
Par son arrêt en date du 30 août 2023, la Cour de cassation va casser le jugement.
Elle va, par la même, rendre une décision remarquable, En affirmant pour la première fois, avec autorité, que la banque qui refuse de rembourser son client victime de fraude bancaire doit avant toute chose prouver que l'opération en cause était exempte de défaillance technique.
Ce qui suppose, selon elle, que la banque prouve avoir eu recours au système d'authentification forte, système issu d'une directive européenne et destiné à renforcer la sécurité des transactions bancaires.
L'authentification forte, également connue sous le nom d'authentification à deux facteurs (2FA) ou d'authentification à plusieurs facteurs (MFA), est une mesure de sécurité importante utilisée dans le secteur bancaire et dans de nombreux autres domaines pour protéger les comptes et les transactions contre les fraudes et les accès non autorisés.
Elle implique l'utilisation de deux ou plusieurs méthodes distinctes pour vérifier l'identité d'un utilisateur avant de lui permettre d'accéder à un compte ou de réaliser des transactions. Ces méthodes se divisent généralement en trois catégories :
- Facteurs de connaissance : cela inclut quelque chose que l'utilisateur sait, comme un mot de passe ou un code PIN. Il s'agit généralement du premier facteur d'authentification.
- Facteurs de possession : cela implique quelque chose que l'utilisateur possède, comme un smartphone, une carte de débit ou une carte à puce. Les codes générés par une application d'authentification sur un smartphone ou une carte de débit à puce sont des exemples courants de facteurs de possession.
- Facteurs d'inhérence : cela concerne quelque chose qui est propre à l'utilisateur, comme une empreinte digitale, une reconnaissance faciale ou une rétine. Ces technologies biométriques sont de plus en plus utilisées pour renforcer la sécurité.
En matière bancaire, l'authentification forte peut être mise en place de différentes manières.
Par exemple, lorsqu'un utilisateur tente de se connecter à son compte en ligne ou de réaliser une transaction sensible, il peut être invité à fournir un mot de passe (facteur de connaissance) ainsi qu'un code généré par une application d'authentification sur son smartphone (facteur de possession).
Dans certains cas, une empreinte digitale ou une reconnaissance faciale peut également être utilisée comme facteur d'inhérence.
L'objectif de l'authentification forte est de rendre beaucoup plus difficile pour les fraudeurs ou les cybercriminels de s'emparer des comptes ou de réaliser des opérations non autorisées, car ils auraient besoin de posséder à la fois les informations et les dispositifs physiques nécessaires, ainsi que les caractéristiques biométriques si elles sont utilisées.
En effet, rappelle la Cour, il résulte de l'article 34, VIII, 3°, de l'ordonnance n° 2017-1252 du 9 août 2017, que le second, auquel renvoie le premier, est entré en vigueur le 14 septembre 2019, dix-huit mois après l'entrée en vigueur du règlement délégué (UE) 2018/389 de la Commission du 27 novembre 2017 complétant la directive (UE) 2015/2366 par des normes techniques de réglementation relatives à l'authentification forte du client et à des normes ouvertes communes et sécurisées de communication.
Il ressort du premier de ces textes que, sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l'opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n'exige une authentification forte du payeur prévue par le second de ces textes.
La Cour en déduit que le tribunal aurait du, avant de rejeter la demande de la victime, rechercher si l'authentification forte avait été mise en place pour le protéger :
"En se déterminant ainsi, sans rechercher, comme il lui incombait, si l'opération de paiement litigieuse avait été exécutée sans que la banque exige l'authentification forte du payeur, la cour d'appel n'a pas donné de base légale à sa décision."
Il s'agit incontestablement d'une décision forte, en faveur des victimes de fraudes bancaires.
Cette décision doit être mise en perspective avec les recommandations rendues il y a peu par l'Observatoire de la sécurité des moyens de paiement, qui a rendu 13 recommandations concernant les modalités de remboursement des opérations de paiement frauduleuses.
Parmi ces recommandations, figure notamment le remboursement automatique et incontestable du client de la Banque, lorsqu'aucune authentification forte n'avait été mise en place.
Ce mouvement s'inscrit donc dans une volonté large de protéger les épargnants.
Reste la question de la négligence grave, qui fera certainement l'objet d'une re délimitation au gré des décisions de justice qui seront prochainement rendus et qui devrait être nombreuses.
La Cour de cassation laissera-t-elle encore longtemps cette question à l'appréciation souveraine des juges du fonds, ou s'en emparera-t-elle, pour harmoniser l'appréciation de cette notion?
Il conviendra de suivre cela de près...
Maître SALAGNON, Avocat associé au sein du cabinet BRG Avocats (Nantes-Paris), et responsable du département droit bancaire, droit de la consommation, vous conseille, vous assiste et vous accompagne sur toute la France.
Pour le contacter, appelez-le au 02.40.89.00.70, ou prenez contact au moyen du formulaire de contact afin qu’une réponse vous soit apportée dans les meilleurs délais.