Le fait que ce soit la connexion du client d’une banque réalisée à la suite d’un faux courriel (phishing) qui ait permis la fraude, ne suffit pas à caractériser la négligence grave du client. Ce dernier n’est pas fautif dès lors qu’il n’a pas divulgué à des tiers ses éléments personnalisés de sécurité.
En l’espèce, la banque, contredite en cela par les données techniques, ne démontre pas que son client aurait validé volontairement l’ajout du bénéficiaire (auteur du phishing) ou l’exécution des virements.
Affaire BNP Paribas
Il résulte des explications de M. [Z], qui indique être ingénieur de formation et employé de la société Orange, notamment lors de son dépôt de plainte à la gendarmerie du 31 juillet 2019 :
– qu’il n’est pas entré en contact par téléphone ou en conversant par courriel avec un tiers mais qu’il a reçu un courriel le 29 juillet 2019
– qu’il n’a pas conservé – semblant provenir de ‘BNP NET’ lui demandant de valider de nouveaux documents figurant sur son interface internet bancaire, que compte tenu de l’apparence de la provenance de ce courriel, de ce qu’il n’avait pas été bloqué par son système de filtrage, il a ‘validé ces documents via la clé digitale’ c’est à dire que, suivant le lien proposé par le courriel, il a fait usage de cette clé, consistant plutôt qu’en une confirmation de l’opération par l’envoi d’un sms comme auparavant, en l’apparition d’un écran lui demandant de rentrer son code secret, ce qu’il a fait pour la validation sollicitée des documents,
– qu’il a eu ensuite la surprise de constater qu’un nouveau bénéficiaire, d’une personne prétendument nommée [I] [H] avait été ajouté à la liste de ceux préexistants et deux virements au profit de ce dernier, chacun de la somme de 5 999 euros effectués les 29 et 30 juillet 2019,
– qu’il a immédiatement renseigné un formulaire de contestation du 30 juillet 2019 déjà adressé à la banque lorsqu’il a porté plainte lendemain puis formulé une demande de remboursement et de réclamation le 11 septembre 2019.
D’une part, il est constant que seule la validation de la clé digitale faite à la demande de tiers a constitué une authentification forte et qu’en revanche les virements ont été demandés sans cette authentification forte.
En tout état de cause, les conséquences juridiques de l’usage d’une authentification forte ne sont tirées par l’entrée en vigueur des articles L133-44 et 133-19 du code monétaire et financier dans leur rédaction issue de l’ordonnance du 9 août 2017, postérieures aux faits litigieux comme étant du 14 septembre 2019.
Obligation de remboursement de la banque
Il résulte de ces textes que la banque est, en principe, tenue de rembourser à sa cliente les sommes virées sans son autorisation, sauf à démontrer que celle-ci a agi frauduleusement ou encore n’a pas satisfait à son obligation de préservation de la sécurité du dispositif de sécurité personnalisé, et ce, soit intentionnellement ou par négligence grave
Cyberfraude bancaire : ce que dit le code monétaire et financier
Il résulte de l’article 34, VIII, 3°, de l’ordonnance n° 2017-1252 du 9 août 2017, que l’article L. 133-44 du code monétaire et financier, auquel renvoie son article L. 133-19, V est entré en vigueur le 14 septembre 2019, dix-huit mois après l’entrée en vigueur du règlement délégué (UE) 2018/389 de la Commission du 27 novembre 2017 complétant la directive (UE) 2015/2366 par des normes techniques de réglementation relatives à l’authentification forte du client et à des normes ouvertes communes et sécurisées de communication.
En conséquence, à la date des faits litigieux, les dispositions du code monétaire et financier applicables étaient encore les suivantes :
– Article L133-18 :
‘En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France.
Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu.
– Article L133-19 :
‘I. ‘ En cas d’opération de paiement non autorisée consécutive à la perte ou au vol de l’instrument de paiement, le payeur supporte, avant l’information prévue à l’article L. 133-17, les pertes liées à l’utilisation de cet instrument, dans la limite d’un plafond de 50 €.
Toutefois, la responsabilité du payeur n’est pas engagée en cas :
‘ d’opération de paiement non autorisée effectuée sans utilisation des données de sécurité personnalisées ;
‘ de perte ou de vol d’un instrument de paiement ne pouvant être détecté par le payeur avant le paiement ;
‘ de perte due à des actes ou à une carence d’un salarié, d’un agent ou d’une succursale d’un prestataire de services de paiement ou d’une entité vers laquelle ses activités ont été externalisées.
II. ‘ La responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées.
Elle n’est pas engagée non plus en cas de contrefaçon de l’instrument de paiement si, au moment de l’opération de paiement non autorisée, le payeur était en possession de son instrument.
III. ‘ Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si le prestataire de services de paiement ne fournit pas de moyens appropriés permettant l’information aux fins de blocage de l’instrument de paiement prévue à l’article L. 133-17.
IV . ‘ Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.
– Article L133-16 :
‘Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés.
Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation’.
– Article L133-17 alinéa 1er, le second étant relatif aux cartes de paiement :
‘I. ‘ Lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci.’
Des opérations non autorisées
En l’espèce la banque ne conteste pas que les opérations litigieuses ne sont pas autorisées, au sens où elles n’ont pas été consenties par M. [Z] selon l’article L 133-6 du code monétaire et financier, ce que les données techniques permettent de conforter puisque selon la feuille des traces informatiques produite par la société Bnp PARIBAS les connexions ayant donné lieu à des virements ont été faites à partir d’une même adresse IP correspondant à une localisation en République Tchèque.
Il ressort au demeurant de la même feuille que toutes les connexions du 29 juillet 2019 – à l’exception d’une seule examinée ci-après – ont été faites à partir de deux adresses IP sises en Suisse ou en République Tchèque y compris celle du 29 juillet 2019 à 09h40 intitulée ‘Canal valid’ au regard de laquelle est inscrit ‘clé digitale’, concomitante d’une autre intitulé ‘CanalRib’, correspondant, respectivement à l’ajout d’une référence de bénéficiaire et à sa validation, effectuées toutes deux à partir de la Suisse.
Une troisième connexion est concomitante des deux autres, à 09h40 le 29 juillet 2019, intitulée ‘Canal NET” et cette fois réalisée à partir d’une adresse IP française.
Si les faits relatés et la concomitance de ces connexions permettant d’établir que l’usage par M. [Z] de sa seule connexion et de l’emploi de sa clé digitale à cette occasion ont pu permettre aux escrocs de se connecter également à l’interface bancaire internet et de récupérer ses données, elle conforte également le récit de ce dernier selon lequel il n’a jamais volontairement validé l’ajout d’un bénéficiaire ou validé un virement, opérations toutes effectuées à partir d’autres adresses IP.
S’il est donc constant, que c’est la connexion de M. [Z], réalisée à la suite du courriel reçu lui demandant de valider de nouveaux documents présents sur son interface qui a permis la fraude, la banque, contredite en cela par les données techniques, ne démontre pas qu’il aurait validé volontairement l’ajout du bénéficiaire ou l’exécution des virements.
Il résulte ainsi des éléments produits et des explications données que M. [Z], qui n’a pas divulgué à des tiers ses éléments personnalisés de sécurité, alors qu’il n’est pas établi qu’il aurait validé l’ajout d’un nouveau bénéficiaire non plus qu’il n’a effectué les virements, qu ‘il n’a pas été, ensuite, alerté sur son téléphone de cet ajout ou des virements réalisés par des tiers aux fins de validation avant de le découvrir par lui-même ne saurait être considéré comme ayant été gravement négligent, au sens du texte appliqué, au seul motif qu’il a obtempéré au courriel semblant provenir de sa banque lui demandant de se connecter en faisant usage de ses codes et identifiants et de la clé digitale vantée comme garantissant un degré supérieur de sécurité.