La responsabilité de la victime de phishing en cas de fraude à la carte bancaire

La carte bancaire est un outil essentiel du quotidien. Ainsi, pour faciliter son utilisation, la loi protège efficacement le porteur de la carte en cas de fraude. Toutefois, dans un arrêt du 25 octobre 2017, la chambre commerciale de la Cour de cassation est venue apporter des précisions sur la responsabilité du porteur de la carte en cas de fraude par phishing.

En l’espèce, la titulaire de la carte bancaire avait fait opposition auprès de sa banque après avoir reçu deux messages sur son téléphone lui communiquant un code pour valider deux paiements internet qu’elle n’avait pas réalisés. Elle demanda par la suite à la banque de lui rembourser les sommes prélevées frauduleusement et de réparer son préjudice moral. Cependant, il fut établi que la victime avait notamment communiqué les informations de sa carte bancaire (noms, numéros, date d’expiration, cryptogramme) en répondant à un courriel présenté comme émanant de l’opérateur téléphonique SFR.

La banque a refusé de répondre favorablement à sa demande estimant que sa cliente avait commis une négligence grave dans la conservation des dispositifs de sécurité personnalisés mis à sa disposition. La victime a alors assigné la banque.

La Cour de cassation casse la décision du 7 décembre 2015 de la juridiction de proximité de Calais qui avait statué en faveur de la victime. En effet, elle reproche aux juges du fond de ne pas avoir recherché « au regard des circonstances de l’espèce, si Mme X... n’aurait pas pu avoir conscience que le courriel qu’elle avait reçu était frauduleux et si, en conséquence, le fait d’avoir communiqué son nom, son numéro de carte bancaire, la date d’expiration de celle-ci et le cryptogramme figurant au verso de la carte, ainsi que des informations relatives à son compte SFR permettant à un tiers de prendre connaissance du code 3D Secure ne caractérisait pas un manquement, par négligence grave, à ses obligations mentionnées à l’article L. 133-16 du code monétaire et financier. »

Selon l’article L. 133-18 du Code monétaire et financier, lorsqu’un paiement non autorisé est effectué, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l'opération non autorisée. Ainsi, le remboursement est en principe automatique. Néanmoins, la jurisprudence pose certaines limites à cet automatisme, notamment lorsque la victime a commis une négligence grave dans la conservation de ses données bancaires personnelles et confidentielles. Cette négligence entraîne une exception de remboursement de la part de la banque prévue à l’article L. 133-19 du Code monétaire et financier.

Les juges de la Haute juridiction reprochent à la victime de ne pas avoir préservé la sécurité de ses dispositifs de sécurité personnalisés comme le prévoit l’article L. 133-16 du Code monétaire et financier. Alors que les juges du fond estimaient que cette obligation était respectée du fait de la non communication du code confidentiel et du code 3D secure, la chambre commerciale considère quant à elle que la victime a commis une négligence grave et qu’elle aurait dû avoir conscience de la fraude.

Cette solution semble sévère car il paraît compliqué pour un profane, dans une société de plus en plus numérisée, de distinguer un courriel frauduleux d’un courriel authentique. Certes, la victime a communiqué volontairement les informations relatives à sa carte de paiement, mais celles-ci ont été détournées à son insu du fait de la fausse identité de l’escroc.

Par ailleurs, la chambre commerciale s’écarte de ces décisions précédentes en matière de phishing. En effet, dans un arrêt du 18 janvier 2017, elle avait estimé que le remboursement des sommes soustraites était dû par la banque même si le client était tombé dans le piège de l’escroc.

On peut se demander s’il s’agit là, d’une décision ponctuelle, ou si la Cour de cassation a pour objectif de durcir la responsabilité des victimes de phishing dans le but de développer une vigilance accrue des particuliers aux fraudes dont ils peuvent faire l’objet.

 

Charline LE CHEVILLER

 

Sources :

-          BAMDE A., Fraude à la carte bancaire et responsabilité du porteur victime de phishing, 11 novembre 2017, www.aurelienbamde.com .

-          Com. 25 octobre 2017, n°16-11.644.

-          Com. 18 janvier 2017, n° 15-18.102.

Fraude phishing carte bancaire

  • 1 vote. Moyenne 5.00 sur 5.

Ajouter un commentaire