Maître Amaury Ayoun est avocat au Barreau de Marseille et intervient régulièrement en droit bancaire. Il est régulièrement l’avocat de victimes d’arnaque ou fraude bancaire au faux conseiller dite spoofing.
Dans un arrêt du 30 août 2023[1]), la Cour de cassation vient de se prononcer sur une affaire de fraude désormais bien répandue de fraude au faux conseiller bancaire ou spoofing .
Dans cette affaire, un usager de banque avait reçu l’appel d’un tiers qui s’était présenté comme un conseiller de sa banque et qui était parvenu à obtenir son code 3D Secure[2], avec lequel il avait réalisé des paiements.
La victime de cette manœuvre avait donc demandé à la banque de lui rembourser la somme prélevée et obtenir réparation de son préjudice.
La banque avait opposé la négligence grave de son client, argumentation accueillie par le tribunal judiciaire de Clermont-Ferrand, rendu en dernier ressort, au motif que le demandeur avait fait « confiance à une personne qu’il ne connaissait pas et qui lui racontait une histoire assez peu crédible. ».
Cependant, selon la Haute Juridiction, en ne recherchant si l’opération de paiement litigieuse avait été exécutée sans que la banque exige l’authentification forte du payeur, le tribunal judiciaire de Clermont-Ferrand, n’avait pas donné de base légale à sa décision.
En effet, l’étude du critère de la négligence grave n’était pas requise, car, selon l’article L. 133-19, V, du Code monétaire et financier si aucune une authentification forte du payeur n’est exigée, le payeur ne supporte aucune conséquence financière. La seule exception demeurant un agissement frauduleux de la part du payeur.
Dans l’affaire étudiée par le tribunal judiciaire de Clermont-Ferrand puis par la Haute Juridiction, l’établissement bancaire n’appliquait vraisemblablement pas encore l’authentification forte puisqu’elle se contentait de recourir au 3D Secure. Sauf à démontrer une éventuelle fraude, la banque était donc tenue au paiement.
On rappellera à toutes fins utiles que l’authentification forte, introduite dans notre droit par l’Ordonnance n° 2017- 1252, du 9 août 2017 portant transposition de la Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur dite « DSP 2 », a pour objet de « garantir une authentification sûre de l’utilisateur et de réduire, dans toute la mesure du possible, les risques de fraude »[3].
Concrètement, selon l’article L. 133-4, f, du Code monétaire et financier, « Une authentification forte du client s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories » connaissance » (quelque chose que seul l’utilisateur connaît), » possession » (quelque chose que seul l’utilisateur possède) et » inhérence » (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification ; ». Il s’agit d’une authentification « multifacteur »[4] que nous connaissons désormais très bien, et qui consiste le plus souvent en une notification sur mobile qui invite l’utilisateur à valider l’opération sur l’application de l’établissement bancaire, auquel il accède via un code secret ou par biométrie (reconnaissance faciale ou empreinte digitale).
La solution retenue par la chambre commerciale de la Cour de cassation n’est donc pas particulièrement étonnante, en ce qu’elle se contente d’appliquer l’article L. 133-19, V, du Code monétaire et financier qui exige désormais une authentification forte qui n’était pas appliquée par l’établissement bancaire lors des faits.
Cependant, une plume avertie[5] observe toutefois que l’arrêt démontrerait que les juges prennent en considération la date du 14 septembre 2019, date d’entrée en vigueur de l’article L. 133-19, V, du Code monétaire et financier, date correspondant à dix-huit mois après l’entrée en vigueur du Règlement délégué (UE) n° 2018/389, de la Commission du 27 novembre 2017, alors que l’Autorité bancaire européenne avait décidé de repousser cette entrée en vigueur, celle-ci n’ayant finalement été opérée le 15 mai 2021.
L’arrêt ne résout pas toutefois les nombreuses interrogations que se posent actuellement les justiciables en matière probatoire. Comment la banque doit-elle concrètement rapporter la preuve d’une authentification forte ? En effet, l’article L. 133-23 du Code monétaire et financier précise que le prestataire de prestataire de services de paiement doit prouver « que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée ».
On s’interroge toujours encore, sur l’application du critère de négligence grave de la victime par la Cour de cassation. Ce critère non retenu dans l’arrêt commenté, est bien visé par l’article L. 133-19 du Code monétaire et financier lorsque une authentification forte est rapportée. Un arrêt de la Cour d’appel de Versailles avait choisi de ne pas retenir de négligence grave en matière de spoofing alors que la victime avait reçu un appel du numéro de son conseiller, et n’avait pas divulgué de données de sécurité personnalisées[6].
En ce qui nous concerne, l’arrêt ne révolutionne pas la question.
Maître Amaury Ayoun, avocat au Barreau de Marseille, conseille et défend les victimes de fraudes ou arnaque au faux conseiller / spoofing / vishing.
Vous pouvez joindre notre cabinet par téléphone au 04 84 25 40 95 ou par mail : avocat@amauryayoun.com
[1] Cass. com. 30 août 2023, n° 22-11.707, Publié au Bulletin, Dalloz actualité, 28 sept. 2023, obs. C. Hélaine ; Le Quotidien Lexbase, 7 sept. 2023, obs. J. Lasserre Capdeville.
[2] généralement communiqués par SMS.
[3] Directive (UE) 2015/2366, préc., pt. 95.
[4] https://www.moneyvox.fr/banque/authentification-forte.php
[5] J. LASSERRE CAPDEVILLE, obs. sous Cass. com., 30 août 2023, Le Quotidien Lexbase, 7 sept. 2023.
[6] CA Versailles, 28 mars 2023, n°21/07299 ; LEDB juin 2023, n° DBA201m9, obs. J. Lasserre Capdeville ; Gaz. Pal. 2023, 6 juin, n°19, p. 22, note J. Lasserre Capdeville.
Amaury Ayoun Avocat 