La justice sanctionne les banques en retard sur l’authentification forte des paiements en ligne

0


Le retard avec lequel les banques ont mis en place l’« authentification forte », censée limiter la fraude, risque de leur porter préjudice : la Cour de cassation vient en effet de juger que l’une d’elles devait rembourser son client, victime de retraits frauduleux pendant cette période transitoire.

Pour mémoire, c’est à partir du 14 septembre 2019, que les consommateurs faisant des achats en ligne étaient censés valider leurs paiements au moyen de ce protocole, qui impose une double vérification de leur identité (le mot de passe habituel, puis un code secret reçu par SMS ou par serveur vocal, par exemple).

C’est ce que prévoit le règlement délégué du 27 novembre 2017, qui complète la directive sur les services de paiement dans le marché intérieur, adoptée le 25 novembre 2015.

Mais, comme les commerçants et les banques n’étaient pas prêts, l’Autorité bancaire européenne (ABE) leur a accordé un délai, jusqu’au 31 décembre 2020. En France, la double authentification n’est entrée totalement en vigueur au premier euro que le 15 mai 2021.

Or, le 27 janvier 2020, M. X, client du Crédit agricole mutuel de Centre France, communique le code à six chiffres, dénommé « 3D Secure », censé valider ses achats sur Internet, à une personne qui le joint par téléphone, et qu’il croit être un employé de sa banque. Des paiements qu’il n’a pas autorisés sont alors effectués depuis son compte. Le Crédit agricole refuse de les lui rembourser, en l’accusant de négligence grave, et le tribunal judiciaire de Clermont-Ferrand donne raison à la banque, le 13 janvier 2022.

« Des milliers de dossiers »

M. X se pourvoit en cassation. Son avocat, Me François Bardoul, rappelle qu’aux termes de l’article L. 133-44 du code monétaire et financier, entré en vigueur le 14 septembre 2019 (en vertu de l’article 34-VIII-3° de l’ordonnance de transposition de la directive), le prestataire de services de paiement doit, depuis cette date, appliquer l’authentification forte lorsque le client « exécute une opération par le biais d’un moyen de communication à distance ». Et que, aux termes de l’article L. 133-19, le client, « sauf agissements frauduleux de sa part », ne supporte aucune conséquence d’une opération exécutée sans le respect de ce protocole.

L’avocat conclut que, si, comme l’assure M. X, le Crédit agricole n’avait pas mis en place l’authentification forte le 27 janvier 2020, il ne pouvait invoquer la négligence de son client. Il affirme que le tribunal a violé les textes cités plus haut, en n’exigeant pas de la banque qu’elle lui prouve le contraire.

Il vous reste 25% de cet article à lire. La suite est réservée aux abonnés.



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.