Paiement frauduleux, qui rembourse quoi ?

Responsabilité du porteur de carte bancaire

Selon l'article L. 133-19 du code monétaire et financier, la responsabilité du payeur n'est pas engagée si l'opération de paiement non autorisée a été effectuée en détournant, à l'insu du payeur, l'instrument de paiement ou les données qui lui sont liées ; elle n'est pas engagée non plus en cas de contrefaçon de l'instrument de paiement si, au moment de l'opération de paiement non autorisée, le payeur était en possession de son instrument.

Le payeur supporte toutefois toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave à certaines obligations : dès qu'il reçoit un instrument de paiement, l'utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés ; il doit utiliser l'instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation (signature de la carte …).

Obligation de rembourser

Lorsqu'il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l'utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l'instrument, son prestataire ou l'entité désignée par celui-ci.  En cas d'opération de paiement non autorisée signalée par l'utilisateur, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l'opération non autorisée et, le cas échéant, rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu, le payeur et son prestataire de services de paiement pouvant décider contractuellement d'une indemnité complémentaire. Après avoir informé son prestataire ou l'entité désignée par celui-ci, conformément à l'article L. 133-17 du code monétaire et financier aux fins de blocage de l'instrument de paiement, le payeur ne supporte aucune conséquence financière résultant de l'utilisation de cet instrument de paiement ou de l'utilisation détournée des données qui lui sont liées, sauf agissement frauduleux de sa part.

Banque à distance

Dans cette affaire, un client payweb a été remboursé d’un débit frauduleux en dépit des mesures de sécurité prises : l'utilisation dudit service de banque à distance nécessite la saisie successive de l'identifiant CMNE du client, d'un mot de passe personnel à l'utilisateur attaché à cet identifiant, d'un code de validation à quatre chiffres présent sur une carte d'authentification renforcée comportant soixante-quatre combinaisons remise au client pour effectuer certains opérations comme la modification des coordonnées personnelles ou la création de cartes payweb et la validation de l'opération par un code de confirmation envoyé soit par mail soit par SMS au sociétaire après la saisie de son code de carte d'authentification.

Le code de confirmation à six chiffres, associé à une date de validité et un cryptogramme visuel à trois chiffres, permettant de générer le numéro virtuel attaché à chacune de ces cartes de paiement virtuelles, a été, à chaque reprise, transmis à une adresse mail qui n'était pas l'adresse mail habituellement enregistrée par le client sur le site de la banque. Le détournement, à l'insu du client, de ses données bancaires personnelles et des cartes virtuelles générées à partir de ses cartes de crédit était suffisamment établi par les circonstances entourant la création et l'utilisation des cartes bancaires virtuelles litigieuses (le client se trouvait en Belgique).

Renversement de la charge de la preuve

La charge de la preuve était donc inversée, c’était en conséquence à la banque de démontrer que le client a révélé volontairement à un tiers ses données bancaires et notamment son identifiant, le mot de passe associé et les codes de validation présents sur sa carte d'authentification renforcée, ou démontrer que par négligence, ce dernier a permis à un tiers d'en prendre aisément connaissance.