Les statistiques les plus récentes témoignent d’une baisse des fraudes aux paiements par carte en France, ce qui est généralement corrélé au déploiement obligatoire de l’authentification forte depuis 20211. Pour autant, les fraudes aux paiements se poursuivent et prennent de nouvelles formes ayant de curieux noms en anglais et en pratique : phishing, smishing, SIM swapping, spoofing, skimming...
Le cas est devenu malheureusement banal. Voici la cliente d’une banque ayant constaté que, les 21 et 23 mars 2022, son compte a été débité en exécution de deux opérations de paiement réalisées à distance au moyen de sa carte bancaire. Le 25 mars 2022, cette cliente a formé opposition à sa carte. Les traces informatiques des opérations réalisées sur l’espace client de Madame P. montrent, d’une part, que, le 19 mars 2022, une adresse IP s’était connectée sur son espace client, qui n’était pas son adresse habituelle ; et que, d’autre part, le 21 mars suivant, la clé digitale de Madame P. avait été enrôlée sur un nouvel appareil téléphonique par l’intermédiaire de l’adresse IP inhabituelle. Contestant avoir autorisé ces opérations, elle a assigné la banque en annulation, sous astreinte, des sommes débitées. Le montant des sommes en jeu n’est pas précisé dans l’arrêt, dans la mesure où cette information n’importe guère sur l’analyse juridique.
Pour rejeter les demandes de la cliente, le tribunal judiciaire de Paris avait décidé, en dernier ressort, que « la carte bancaire bénéficiait d’un système d’authentification dénommé “clé digitale” permettant de s’assurer que le client était à l’initiative des opérations de paiement ou des modifications de ses coordonnées, en renseignant un code confidentiel communiqué par sa banque sur son téléphone par SMS pour valider ces opérations », et a retenu « qu’en validant l’enrôlement de cette clé sur ce nouvel appareil, Madame P. était, par imprudence, à l’origine du préjudice subi ».
Ainsi, le tribunal judiciaire de Paris avait déduit la négligence grave de Madame P. de la seule utilisation de ses données de sécurité personnalisées, ce qui constitue pour la chambre commerciale de la Haute juridiction un motif de cassation2.
La Cour de cassation a déjà eu à rendre des arrêts dans des affaires similaires, notamment en 2019 : une cliente assignant sa banque en remboursement d’opérations de paiement pour des achats effectués par Internet au moyen des systèmes de paiement « Payweb » et « 3D Secure »3 ; des époux victimes sur leur compte joint d’opérations « d’e-retrait » frauduleuses, c’est-à-dire de retraits de billets dans un distributeur sans utilisation de la carte, mais de codes secrets4 ; un couple victime d’opérations de paiement frauduleuses en ligne sur leurs comptes respectifs5.
La position de la chambre commerciale de la Cour de cassation est dorénavant ferme et constante : l’utilisation de données attachées à la carte bancaire du client ne suffit pas, en tant que telle, à prouver que les opérations avaient été autorisées par celui-ci ou qu’il n’avait pas satisfait intentionnellement ou par négligence grave à ses obligations légales et contractuelles. Cette solution ne manque pas de fondement juridique, puisque trois dispositions du Code monétaire et financier sont visées.
Il faut d’abord se référer à l’article L. 133-16, lequel dispose que « dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées » et qu’il doit utiliser « l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées ».
Ensuite et surtout, l’article L. 133-19, IV, dispose que « le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 ».
Cependant, l’article L. 133-23 précise notamment que « l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière ». Cette règle est tirée de l’article 72 de la DSP26, qui ajoute une précision conforme au droit commun de preuve selon lequel celle-ci pèse sur la partie qui invoque un fait : « le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement ». Il en ressort que le juge ne peut se borner à émettre l’hypothèse de la communication d’un code par le titulaire du compte à l’escroc7. En somme, supputer n’est pas imputer. Ces règles spécifiques issues du droit de l’Union européenne (UE), transposées dans le Code monétaire et financier, chassent le droit commun de la responsabilité8.
Cette solution est justifiée en droit au regard de l’article L. 133-23. La règle appliquée au présent cas est favorable à la cliente victime, à l’instar de l’arrêt du 23 octobre 2024 dans un cas de spoofing, bien qu’il s’agisse selon nous d’un arrêt d’espèce en ce qu’il concerne le cas particulier de l’affichage frauduleux du numéro du conseiller clientèle sur le téléphone du client9.
Cependant, une telle solution ne peut satisfaire personne :
– la négligence grave du client est très difficile, voire impossible, à prouver par la banque et il revient finalement à la banque de supporter la charge de l’exploitation intentionnelle par le client de cette preuve impossible et d’assumer entièrement le risque d’escroquerie ;
– quant au client, s’il parvient à être remboursé des sommes indûment débitées, cela peut être au prix d’une procédure longue et forcément contrariante, du fait de l’appauvrissement subi et des tracas liés à l’incertitude du remboursement.
La preuve des fautes respectives des protagonistes est le nœud du problème (I.). Compte tenu du caractère souvent impossible à prouver de la faute de l’escroc et du client, les banques doivent mettre en place des remèdes stratégiques, sous l’impulsion du droit de l’UE (II.).
On peut songer à imputer la responsabilité à trois personnes : l’escroc (1.), le client (2.) et la banque (3.). Dans tous les cas, la preuve de la faute sera aussi essentielle que difficile.
Les auteurs de fraudes au paiement opèrent rarement seuls, mais interviennent généralement dans le cadre d’un réseau, qui est souvent international, et comportent des membres dont les compétences sont spécialisées. Les pratiques frauduleuses tendent d’ailleurs à « s’industrialiser », comme en témoigne une plateforme qui offrait des logiciels de phishing et qui a été démantelée grâce à l’action d’Interpol10.
Les fondements juridiques à une action pénale ne manquent pas : escroquerie et tentative d’escroquerie, vol, recel, abus de confiance, blanchiment d’argent et financement du terrorisme, intrusion frauduleuse dans un système de traitement automatisé de données. La victime peut aussi bien évidemment se constituer partie civile afin de réclamer des dommages-intérêts.
Toutefois, l’efficacité de l’action pénale se heurte à la difficulté d’identifier les escrocs. Qui plus est, ils sont généralement situés à l’étranger, ce qui met les autorités publiques dans une position complexe pour engager des poursuites, en raison des obstacles liés à la coopération judiciaire internationale et aux différences de législation entre les États. Les statistiques européennes montrent que, si la majorité des transactions de paiement sont nationales, la plupart des fraudes aux paiements par carte et une grande part des fraudes aux virements et aux prélèvements sont transfrontalières11.
Comme le font déjà les victimes, les banques pourraient aussi déposer des plaintes. Cependant, la démarche doit être stratégique : faut-il systématiser ces dépôts, au risque de surcharger les services d’enquête, ou les limiter aux seuls cas disposant d’éléments tangibles facilitant l’instruction et valorisant les relations avec les enquêteurs ? Si le dépôt systématique peut sembler sécurisant, il entraîne un suivi administratif coûteux et souvent infructueux.
Une section « cyber » existe au parquet de Paris depuis 2014. Elle est devenue « J3 » en février 2020, au moment de la création de la JUNALCO (Juridiction nationale de lutte contre la criminalité organisée). Elle est compétente en matière de cybercriminalité sur le ressort de Paris mais aussi sur l’ensemble du territoire national. Cette section intervient notamment en matière de « rançongiciel », qui est le fait de bloquer, par l’utilisation d’un logiciel malveillant, l’accès à des fichiers en réclamant à la victime le paiement d’une somme d’argent. Elle intervient aussi sur le jackpotting, qui est le fait de vider un distributeur automatique de billets (DAB) par l’introduction d’un logiciel malveillant.
Il serait peut-être utile et pertinent de créer au sein du parquet de Paris un point unique national de dépôt de plainte, spécialisé dans les fraudes aux paiements en ligne comme hors ligne. Ce dispositif permettrait de regrouper les affaires similaires, d’impliquer des enquêteurs spécialisés et d’identifier les réseaux de fraude. Cette administration spécialisée devrait disposer de ressources humaines et technologiques à la hauteur des enjeux. À l’heure actuelle, la plateforme THESEE pilotée par l’Office anticybercriminalité offre un service de dépôt de plainte en ligne via une identification par France Connect pour plusieurs types d’infractions, telles que le piratage de messagerie électronique et de compte de réseau social, d’escroquerie aux petites annonces et de rançongiciel. Dans le domaine de la fraude bancaire, la plateforme Perceval gérée par la Gendarmerie nationale permet uniquement de recueillir des signalements, et non de déposer des plaintes.
En présence d’une fraude dont est victime son client, la banque n’a d’autre possibilité que de le rembourser. Elle doit dans un premier temps supporter le montant du préjudice du client, à charge pour elle d’initier les procédures nécessaires au recouvrement de sa créance sur l’escroc, au risque de supporter in fine le risque d’insolvabilité de ce dernier. Lorsque la responsabilité du client peut être démontrée par la banque, il en va différemment.
Depuis la fin des années 2000, la sécurité des paiements en ligne s’est renforcée, grâce au recours à des solutions d’authentification renforcée des opérations par carte. D’abord encouragées par l’Observatoire de la sécurité des moyens de paiement (OSMP), les solutions dites d’authentification forte se sont généralisées depuis 2019 en application de l’ordonnance de transposition de la 2e directive européenne sur les services de paiement (DSP2)12. Bien que cette obligation d’authentification forte permette de limiter le risque de fraude, elle ne constitue pas une protection absolue contre celle-ci. En effet, de nouveaux types de fraude sont apparus pour contourner l’authentification forte en manipulant mentalement le porteur de la carte, que ce soit par message écrit frauduleux (phishing pour un courriel, smishing pour un texto), fraude au faux conseiller clientèle ou agent anti-fraude de la banque (spoofing), ou encore intrusion informatique via un logiciel malveillant (malware).
Selon la DSP2, les opérations par carte sur internet sont en principe soumises à une authentification forte du payeur. Celle-ci consiste à vérifier la légitimité de l’opération en vérifiant deux éléments que seul le titulaire de la carte peut utiliser : il s’agit d’un élément de connaissance (mot de passe ou code), d’un appareil possédé dit « de confiance », qui est enregistré auprès de la banque (téléphone ou ordinateur) et/ou d’un élément biométrique (empreinte digitale ou biométrie faciale). Certaines opérations par carte sont toutefois éligibles à des exemptions, comme les opérations de faible montant (moins de 30 euros)13 ou avec un faible niveau de risque car conformes aux habitudes de paiement14. Les « logs techniques » détenus par la banque permettent de retracer l’historique de la consultation en ligne du compte et des opérations de paiement réalisées.
Dans l’arrêt évoqué plus haut, le paiement reposait sur le service gratuit de « clé digitale », lequel renforce la sécurité des paiements en ligne et des opérations bancaires réalisées par le client. C’est un système d’authentification pour les opérations en ligne, dispositif de sécurité servant à s’assurer que le client est à l’initiative de l’opération. La clef digitale permet de changer d’appareil de confiance, d’ajouter des bénéficiaires, de modifier des coordonnées ou de valider un paiement. Le client a la possibilité de refuser l’opération en cliquant sur « refuser » ou de valider celle-ci en cliquant sur « valider ». Pour ce faire, il doit renseigner un code confidentiel qui lui est communiqué par la banque, par SMS.
Dès lors qu’un système d’authentification forte est mis en place par la banque, plusieurs techniques et scénarios de fraude sont envisageables et se réalisent typiquement en trois étapes.
a. Collecte des informations : le fraudeur doit obtenir les identifiants personnels du client, c’est-à-dire son numéro de connexion et son mot de passe. Classiquement, cette collecte est réalisée auprès du client. Différents moyens pour les obtenir sont envisageables : hameçonnage, spoofing, récupération de ces informations stockées par le client dans sa messagerie qui a été « piratée ». Le risque de piratage de la messagerie n’est pas à négliger, dans la mesure où son accès n’est protégé que par un code secret et accessible sans authentification forte. De plus, beaucoup de personnes s’en servent comme espace de stockage partagé entre tous leurs appareils : utilisé comme un « cloud personnel », mais sans les protections adéquates, cette technologie représente un risque important pour la sécurité des données. Actuellement, un autre vecteur croissant de risque est la fuite de données chez un tiers détenteur légitime d’une partie de ces données15 : le fraudeur a obtenu de l’opérateur (le créancier du client) les coordonnées bancaires (IBAN ou numéro de la carte bancaire) ; comme ces éléments ne sont pas suffisants à eux seuls, le fraudeur obtiendra ensuite du client la validation de l’opération, soit en interceptant les messages de la banque (par SIM swapping par exemple), soit en obtenant de lui qu’il valide l’opération à distance. La multiplication des cas de violation de données similaires posera nécessairement la question de la responsabilité des opérateurs défaillants dans la protection des données bancaires de leurs clients, dès lors qu’il pourra être établi que la communication des éléments nécessaires à la fraude aura pour source cette violation. Pour autant, la responsabilité de l’opérateur en cause ne pourra certainement pas être intégrale : le fraudeur devrait toujours avoir besoin d’obtenir les éléments inconnus de ces opérateurs du client lui-même, par l’une des techniques évoquées précédemment.
b. Demande d’opération de paiement : le fraudeur initie en ligne les ordres de virement, au moyen de son propre téléphone ou ordinateur.
c. Validation de l’opération de paiement : à ce stade, deux options sont envisageables pour le fraudeur : soit il déploie à nouveau les efforts visés à la première étape pour obtenir la validation par le client lui-même de l’opération de paiement, soit il a préalablement initié en ligne une demande de modification de l’appareil de confiance. Et soit cette demande de modification a été validée par le client lui-même via un lien internet envoyé par SMS, soit le fraudeur a obtenu une carte SIM auprès de l’opérateur du client via la technique dite du « SIM swapping », ce qui lui permet de prendre la main sur la ligne téléphonique du client, de recevoir les alertes et les demandes de validation émises par la banque, d’approuver lui-même le changement d’appareil enrôlé et de valider ainsi les opérations de paiement initiées par lui. Dans ce cas, la responsabilité de l’opérateur téléphonique peut être recherchée16.
Se pose la question de la charge de la preuve. L’article L. 133-23 dispose que « lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement (PSP) de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre ». Dans un arrêt de 2020, la Cour de cassation avait déjà jugé que la preuve de la négligence grave du client ne suffit pas : la preuve de l’absence de défaillance de la part de la banque s’impose17. Un renversement du fardeau de la preuve est opéré : la charge de la preuve de l’absence d’autorisation régulière de paiement par un utilisateur d’un service de paiement repose sur la banque ; cette dernière ne peut être déchargée de toute responsabilité pour un paiement litigieux que si elle prouve que l’opération a été authentifiée, enregistrée et comptabilisée par ses services en l’absence de toute défaillance.
Si la preuve de l’authentification de l’opération ne soulève pas de difficultés, dans la mesure où elle pourra être rapportée au moyen des traces et archives informatiques, il en va différemment pour la preuve de l’absence de toute défaillance. Une preuve diabolique apparaît ici puisque c’est un fait négatif qu’il s’agit de prouver, ce qui est très difficile : la banque doit-elle présenter au juge et à la partie adverse l’ensemble de ses archives informatiques et faire appel à des experts techniques indépendants pour effectuer un audit ? Qui plus est, en réalité, dans nombre d’affaires, il n’y a pas défaillance technique, mais une négligence plus ou moins grave du client que la banque ne parviendra pas à établir, faute de preuves à sa disposition : absence d’accès à sa messagerie ou à ses textos.
Mais encore le client peut-il n’avoir été absolument pas fautif : tel est le cas d’un fraudeur qui est parvenu à pirater sa messagerie lui permettant d’obtenir des informations sur son abonnement téléphonique et, fort de ces informations, contacte ensuite le service client de l’opérateur, simulant une perte ou un vol de téléphone ; la négligence, simple voire grave, n’est-elle pas du côté des opérateurs de téléphonie ? Dans ce cas très particulier, une action récursoire pourrait alors être envisagée par la banque à l’encontre de l’opérateur de téléphonie qui n’a peut-être pas été suffisamment diligent sur la vérification d’identité18. Cela étant, ces dernières années, les opérateurs de téléphonie ont renforcé leurs contrôles lors de la commande d’une nouvelle carte SIM, afin d’éviter ce type de fraude. En ce sens, un récent arrêt permet d’entrapercevoir un point d’équilibre sur le terrain de la preuve. En l’espèce, la banque avait produit son « fichier de logs », lequel permit d’établir une chronologie des faits conforme à la description faite par le client et d’exclure toute déficience technique. Cela a permis à la banque d’établir que le client avait validé l’ensemble des opérations aboutissant au paiement contesté19.
L’objet de la preuve doit être précisé. Comme le prévoit l’article L. 133-19, IV, le titulaire du compte supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave à ses obligations de sécurité. L’agissement frauduleux nous semble être marginal : il peut s’agir du cas où le titulaire du compte est complice de l’escroc pour débiter son compte et demander a posteriori le remboursement par sa banque. Il peut également s’agir du cas du client qui tente d’exploiter à son profit les contraintes probatoires pesant sur la banque. En revanche, la négligence grave du client est le cas le plus souvent invoqué par la banque. Elle correspond typiquement au cas où le client a communiqué ses identifiants personnels et a validé des changements d’enrôlement et des demandes de virement. Nous souhaiterions souligner que la loi impose de prouver une négligence grave ; une faute de négligence, d’imprudence, d’intensité légère ne suffit point20. Cette faute ne peut non plus se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été utilisées21. Dans des affaires plus anciennes de fraude « hors ligne », la Cour de cassation se fondait sur les notions de faute lourde ou d’imprudence grave22. La faute lourde du client a pu notamment être retenue du fait que, comme il l’a avoué auprès des services de police en déclarant le vol de sa carte, il avait laissé comme d’habitude cette carte dans son véhicule et son code confidentiel dans la boîte à gants. Or, face au caractère de plus en plus poussé des fraudes, le problème de la caractérisation de cette gravité se pose avec acuité et s’analysera nécessairement au cas par cas. Il a été écrit à juste titre que l’analyse doit être à la fois in abstracto et in concreto23. Nous ajouterons qu’il nous semble que, précisément, l’analyse devrait être in abstracto par rapport à la personne de référence, qui est l’utilisateur « normalement attentif »24, c’est-à-dire indépendamment de son âge, de son expérience et de sa profession par exemple ; et in concreto à propos des modalités de la fraude, c’est-à-dire au regard des circonstances de l’espèce25. Cette négligence grave peut consister, par exemple, dans le fait d’avoir répondu à un courriel présentant de sérieuses anomalies tenant tant à la forme qu’au contenu du message frauduleux26. L’appréciation de cette faute est délicate ; comme l’écrit le Professeur Causse, « la négligence grave exige de qualifier quelques faits concrets, au fond, souverainement, montrant le transfert coupable des données personnalisées »27.
Les modes de preuve doivent être déterminés. La négligence grave étant un fait, elle peut être prouvée par tous moyens : indices, témoignages, aveux, documents. La preuve de la négligence grave du client ne peut s’établir qu’au moyen d’investigations judiciaires et de l’expertise des moyens de communication du client. La banque peut se trouver dans l’impossibilité d’obtenir les moyens de preuve nécessaires pour établir cette négligence grave de son client. En effet, la banque ne peut avoir accès à la messagerie électronique ou au téléphone portable de son client et ce dernier sera forcément réticent à communiquer les éléments essentiels qui prouveraient sa négligence. Si la vie privée et les données personnelles du client doivent être respectées, les nécessités de la preuve doivent permettre d’obtenir les informations pertinentes. Les contentieux sur les conflits entre le secret bancaire et le droit à la preuve doivent être résolus à l’aune du principe de proportionnalité28. En vertu de l’article 144 du Code de procédure civile, « les mesures d’instruction peuvent être ordonnées en tout état de cause, dès lors que le juge ne dispose pas d’éléments suffisants pour statuer » et l’article 146 de préciser qu’ « une mesure d’instruction ne peut être ordonnée sur un fait que si la partie qui l’allègue ne dispose pas d’éléments suffisants pour le prouver. En aucun cas une mesure d’instruction ne peut être ordonnée en vue de suppléer la carence de la partie dans l’administration de la preuve ». Or, au cas d’espèce, il n’y a pas carence de la banque, mais simplement impossibilité matérielle d’apporter la preuve de la négligence grave du client. Très concrètement, il nous semble que le juge pourrait désigner un commissaire de justice afin de constater les messages échangés via la messagerie électronique ou les textos, même si cette solution probatoire n’est pas idéale puisqu’il est très probable que le client ait effacé de sa messagerie les courriels compromettants. Un élément probatoire important pourrait toutefois se retrouver dans la contradiction entre le fait d’avoir mentionné dans le dépôt de plainte la réception d’un courriel frauduleux, alors que celui-ci ne se retrouve plus dans sa messagerie. De surcroît, certaines victimes pourraient avoir laissé des témoignages sur les agissements frauduleux sur les forums de discussion. En revanche, les cas de spoofing par appel téléphonique ne permettront pas de prouver le contenu des informations divulguées, mais simplement l’affichage du numéro de téléphone, afin de déterminer si celui-ci correspond à celui du conseiller clientèle.
L’aveu est aussi un mode de preuve admissible du fait de négligence grave. Dès lors, la banque pourrait tirer argument d’un aveu formé par écrit (ou oralement mais enregistré), auprès d’elle ou d’un officier de police judiciaire lors de la plainte. À notre sens, si cet élément de preuve est essentiel, il faut être vigilant sur son admission. En effet, un aveu peut être erroné en raison d’une erreur de mémoire, d’une mauvaise interprétation des faits ou d’une situation de stress.
Comme la doctrine l’a déjà relevé29, la banque se trouve face à un problème de probatio diabolica : comment prouver que son client a communiqué à l’escroc ses données de sécurité personnalisées, ou les a laissées écrites sur un support consulté par ce dernier ? De notre point de vue, la manifestation de la vérité reposera sur une collaboration entre les deux parties, et ce, dès la phase de médiation. Chacun devra pleinement coopérer afin d’apporter les éléments de fait nécessaires, tout en respectant l’exigence de loyauté de la preuve.
L’article L. 133-19, I, du Code monétaire et financier prévoit des cas où le client ne supporte pas les pertes et où donc, a contrario, elles doivent être supportées par la banque. Il en va ainsi notamment en cas d’opération de paiement non autorisée effectuée sans utilisation des données de sécurité personnalisées. Cette situation correspond à celle où il y a eu un défaut d’usage des données de sécurité personnelles, en raison d’une déficience technique ou par choix de se baser sur une dérogation légale à l’authentification forte.
L’OSMP indiquait dans l’une de ses recommandations que « lorsqu’un utilisateur du service de paiement conteste une ou plusieurs opérations qu’il nie avoir autorisées et que ces opérations n’ont pas été authentifiées de manière forte, le prestataire de services de paiement du payeur rembourse sans délai le montant de ces opérations, sauf lorsqu’il a de bonnes raisons de soupçonner une fraude de l’utilisateur lui-même. Ce soupçon de fraude ne peut résulter de la seule utilisation de l’instrument de paiement »30.
Nous voyons là une illustration possible d’une théorie moderne de la fonction de la responsabilité civile ; celle fondée sur le risque. Habituellement appliquée dans le domaine du préjudice écologique, cette théorie sous-tend que le créateur du risque pourrait être condamné pour n’avoir pas pris les précautions nécessaires. Dans le domaine de l’écologie, cette théorie s’appuie avant tout sur un principe de précaution et est destinée à éviter les dommages causés à l’environnement31. Dans le contexte qui est le nôtre, une prise en charge du risque de fraude et de remboursement par la banque est de nature à inciter celle-ci à généraliser l’authentification forte.
En définitive, la pratique jurisprudentielle amène à constater que, de la manière la plus paradoxale, c’est bien souvent la personne dont la responsabilité civile devrait être retenue qui a le moins de chances d’être condamnée. Cela n’est pas satisfaisant du point de vue des fondements de la responsabilité selon laquelle c’est la personne à l’origine de la faute, ou même du simple fait dommageable en cas de responsabilité sans faute, qui doit réparer le préjudice. On ne saurait rechercher la responsabilité de la banque à tout crin, au seul prétexte qu’il convient d’indemniser le client et que l’escroc est « introuvable ». Une logique d’indemnisation inspirée de la célèbre théorie de Starck d’après laquelle la garantie d’une sécurité justifie d’indemniser tout dommage illicite ne saurait prospérer ici selon nous. Cela engendrerait le risque, d’une part, de rendre les clients moins vigilants, de les « infantiliser » et, d’autre part, d’abandonner les efforts de lutte contre la criminalité financière. Dans la mesure où le traitement juridique, voire judiciaire, de la fraude s’avère complexe et souvent insatisfaisant une fois celle-ci commise, il convient d’anticiper au maximum ce type de risques en mettant en place, le plus en amont possible, différentes solutions stratégiques.
La dimension transfrontière des fraudes au paiement en ligne implique une règlementation qui, à défaut d’être internationale actuellement, doit être au moins européenne. Le cadre juridique des instruments de paiement est en cours de modernisation et d’amélioration (1.), dans le même temps que les banques sont appelées à consolider leurs dispositifs technologiques anti-fraude (2.).
D’abord, l’OSMP a publié des recommandations en mai 202332, soit avant les faits ayant donné lieu à l’arrêt précisé. Elles doivent désormais être prises en compte par les banques. L’une d’entre elles précise que « lorsque le prestataire de services de paiement refuse le remboursement ou procède à la reprise des fonds, il veille à informer le client de cette décision et lui en communique le motif, en prenant soin le cas échéant de joindre les éléments qui la justifient (par exemple, mandat de prélèvement, éléments transmis par le commerçant, preuve de négligence grave...) ». S’agissant d’une simple recommandation, ce texte ne relève que du droit doux. Cependant, en pratique, les banques se doivent de les suivre au regard de l’autorité de l’OSMP : il est notamment composé du représentant du garde des Sceaux, du secrétaire général de l’Autorité de contrôle prudentiel et de résolution et du directeur général de la concurrence de la consommation et de la répression des fraudes ou son représentant33.
Ensuite, sur le plan européen, il ressort d’une évaluation indépendante effectuée en 2022 de la DSP2 et des consultations opérées par la Commission que l’authentification forte a des effets positifs en réduisant les fraudes. La proposition de règlement concernant les services de paiement dans le marché intérieur n’entend proposer que quelques améliorations34. Ainsi, une nouvelle disposition est ajoutée pour exiger des prestataires de services de paiement qu’ils disposent de mécanismes de contrôle des opérations afin de prévoir l’application d’une authentification forte du client et d’améliorer la prévention et la détection des opérations frauduleuses. Son article 81 prévoit que les PSP doivent établir un cadre prévoyant des mesures d’atténuation et des mécanismes de contrôle appropriés en vue de gérer les risques opérationnels et de sécurité liés aux services de paiement qu’ils fournissent. Ils doivent établir et maintenir des procédures efficaces de gestion des incidents, y compris pour la détection et la classification des incidents opérationnels et de sécurité majeurs. Les mécanismes de contrôle des opérations doivent être fondés sur l’analyse d’opérations de paiement et tenir compte d’éléments qui sont propres à l’utilisateur de services de paiement. Il peut s’agir notamment de la localisation de l’utilisateur de services de paiement, du dispositif utilisé, de l’heure de l’opération, des habitudes de dépense et du magasin en ligne où l’achat est effectué.
Pour mieux détecter les opérations de paiement frauduleuses et protéger leurs clients, cette proposition de règlement prévoit aussi que les PSP devraient exploiter les données relatives à la fraude aux paiements partagées par d’autres PSP de manière multilatérale, par exemple sur les plateformes informatiques spécialisées fondées sur des dispositifs de partage d’informations35. Afin d’améliorer la protection des payeurs contre la fraude aux virements, les PSP devraient pouvoir s’appuyer sur des informations aussi exhaustives et à jour que possible, notamment en faisant un usage collectif des informations stratégiques collectées par chaque PSP.
La mise en œuvre du Règlement paiement instantané (« règlement IP »)36 nécessite d’accroître la confiance des utilisateurs dans un moyen de paiement dont la rapidité de mise en œuvre n’est pas sans risque de disparition des avoirs bancaires du client. Alors que, jusqu’à présent37, la sécurité des virements ne reposait que sur l’identifiant unique et que les PSP n’étaient pas tenus de vérifier l’identité du destinataire des fonds, le règlement IP impose aux PSP de mettre en place des mesures « solides et actualisées en matière de détection et de prévention de la fraude »38. L’objectif affiché est que, en cas de fraude ou d’erreur, les fonds ne soient pas versés au mauvais destinataire. Dans cette optique, les PSP doivent mettre en place un système robuste qui assure la vérification du bénéficiaire des fonds dans des délais compatibles avec l’exécution instantanée de l’ordre de virement39. En cas d’écart, le client devra en être informé par son PSP accompagné d’une mise en garde sur les conséquences que pourrait avoir sur son patrimoine la confirmation de l’ordre de paiement. Le client reste alors seul décisionnaire quant à l’exécution, ou non, du virement en pareille hypothèse.
De même, le règlement DORA40 vient renforcer les exigences de cybersécurité à la charge des entités financières. Si, par définition, les fintechs ont normalement un système informatique moderne, certaines banques peuvent avoir des éléments de leur infrastructure technologique assez anciens. C’est pourquoi ce texte impose aux entités financières de disposer d’un cadre de gouvernance et de contrôle interne qui garantit une gestion efficace et prudente du risque lié aux technologies de l’information et de la communication.
Il nous semble qu’un certain nombre de précautions technologiques s’avèrent nécessaires, tant au niveau de l’approbation de l’opération de paiement que du changement d’appareil de confiance. Dans l’affaire ici en question, il apparaît que c’est ce changement qui est à la source des paiements non autorisés. Un principe de précaution devrait justifier de renforcer cette opération qui n’est pas banale. Les modalités d’enrôlement d’un moyen d’authentification forte sont actuellement différentes en fonction de l’établissement. Cela peut passer par l’envoi par courrier papier au domicile ou par un autre moyen d’authentification forte déjà enrôlé (téléphone portable, ordinateur).
Un processus assez léger et plus sécurisé consisterait à recourir systématiquement à la biométrie : empreinte digitale ou reconnaissance faciale. Actuellement, l’enrôlement d’un nouveau téléphone portable par biométrie est une simple option pour le client, qui n’est utilisable que si son téléphone portable le permet. Mais si le client ne dispose pas d’un téléphone portable, ou si celui-ci n’est pas équipé de capteurs biométriques, comment valider le nouvel enrôlement ? Qui plus est, d’un point de vue très pratique, une journée de jardinage ou de bricolage peut altérer temporairement la lisibilité des empreintes digitales.
Le processus pourrait inclure un ensemble de questions personnelles et, en dernier ressort, une mise en contact avec le conseiller clientèle, si besoin en agence eu égard aux risques de spoofing, même si cela constitue un retour aux « vieilles pratiques » et nécessite de maintenir des agences avec des horaires d’ouverture larges ! Il nous semble que l’exigence de double authentification devrait laisser place à une authentification multifacteurs et adaptative. Celle-ci reposerait sur un troisième élément, qui serait adapté en fonction du client et du risque.
Toutefois, face aux progrès technologiques incessants et à l’ingéniosité de certains escrocs, les dispositifs anti-fraude aux paiements ne seront jamais infaillibles. La stratégie de gestion des risques reposera sur une parfaite sensibilisation des clients et une adaptation constante des technologies de lutte anti-fraude. On peut douter, par exemple, de l’efficacité de la reconnaissance faciale face aux technologies d’intelligence artificielle (AI) telles que celles permettant de réaliser des deep fakes. En revanche, les banques doivent continuer à exploiter et développer des logiciels d’IA afin d’identifier les risques de fraude, ce qui ne peut néanmoins faire l’économie d’intervenants humains pour analyser les alertes et gérer les demandes des clients. L’IA devra particulièrement être utilisée pour partager les informations dans le cadre de futur règlement sur les services de paiement. Le système d’IA devrait être nourri en données d’entrée des informations personnelles sur le client, ce qui nécessite de mettre en place un dispositif de conformité à la règlementation sur les données personnelles. Typiquement, la banque exigera un consentement à un traitement à des fins de détection de fraude avant d’accepter d’ouvrir le compte bancaire. Le système d’IA devra aussi être alimenté de données qui ne sont pas propres au client, mais qui peuvent résulter par exemple des listes noires et alertes de l’Autorité des marchés financiers sur les entités non autorisées et les sites Internet frauduleux. Le machine learning peut être utile pour analyser un signal faible, c’est-à-dire une indication subtile, peu évidente, ou rare, qui pourrait révéler une opération anormale. Grâce à ses algorithmes, au big data et aux corrélations statistiques, le machine learning se prête à la détection des fraudes. Il peut s’agir d’opérations qui paraissent banales prises individuellement, mais qui, ensemble, révèlent une pratique suspecte. Par exemple, des transactions d’un petit montant mais nombreuses et vers des bénéficiaires atypiques, peuvent cacher une usurpation des identifiants personnels. Les banques continuent de développer leur usage de l’IA, avec des solutions toujours plus innovantes offertes par des start-up partenaires. Des technologies assez étonnantes sont en cours d’expérimentation, telles que l’analyse de la rapidité de saisie du code personnel sur l’application mobile de la banque afin de savoir si elle est bien le fait du client. Le recours à l’IA risque d’engendrer des « faux positifs », c’est-à-dire des alertes de fraude non justifiées. Le risque est alors qu’aucune excentricité ne soit tolérée : un client qui, par exemple, n’a jamais retiré 1 000 euros au distributeur automatique de billets, mais qui en aura besoin exceptionnellement, mettra la banque en alerte. Cela étant, un principe de prudence implique sans doute de bloquer certaines opérations pour éviter une éventuelle fraude, au bénéfice de la banque comme du client, lequel devrait comprendre les raisons de la gêne occasionnée.
Le perfectionnement et l’élargissement de l’IA sur lutte contre les fraudes monétiques pourraient s’avérer à double tranchant pour les banques. Si, en l’état de la jurisprudence, les banques ne sont tenues que de détecter les anomalies apparentes, qu’elles soient formelles ou intellectuelles41, il n’est pas à exclure que la disponibilité de technologies poussées conduise à des solutions plus sévères à leur égard, en étendant leur responsabilité à des anomalies subtiles.
En complément des solutions technologiques avancées reposant sur l’IA, il convient que les banques poursuivent leurs campagnes de sensibilisation et de mises en garde. Se pose alors la question du contenu, du support et du moment de cette information. Ces campagnes doivent prendre en compte les modes de communication aujourd’hui les plus utilisés par les clients. Parmi l’une des meilleures pratiques est l’envoi de textos, avertissant qu’il ne faut jamais partager ses codes d’accès ou SMS de validation, notamment en cas d’appel d’une personne qui prétend travailler pour la banque. Il est également opportun d’afficher périodiquement un message en pop-up lors de la consultation du compte du client, afin de l’informer des risques encourus. Le client doit alors cliquer sur un bouton attestant qu’il a lu et compris le message, ce qui permet de recueillir son consentement de manière explicite.
Comme le font certaines entreprises à l’égard de leurs salariés, les banques pourraient lancer des campagnes de simulation de fraude aux faux conseillers afin de tester la méfiance et prudence de leurs clients. Cette simulation pourrait ensuite être suivie d’un dispositif de sensibilisation et d’information personnalisé. L’ensemble de ces opérations s’avèrerait nécessairement coûteux pour les banques, mais apparaît justifié au regard de l’ampleur des risques. À côté du rôle des banques, c’est le rôle des services d’enquête et de poursuites pénales qui nous semble essentiel. Nombre de fraudeurs agissent sur le dark web pour offrir leurs services. Les opérations y sont très opaques, à cause de l’anonymat quasi complet des internautes sur ce réseau clandestin et des paiements effectués en crypto-actifs. Les fraudeurs y commercialisent des numéros de carte bancaire, avec des prix variables selon la gamme de la carte. Des « kits » de fraudes y sont aussi vendus. L’Office anti-cybercriminalité (OFAC), créé fin 2023, est doté d’enquêteurs et d’ingénieurs spécialisés qui interviennent sur Internet et le dark web pour identifier les diverses criminalités, notamment liées à des ventes de données personnelles, telles que les IBAN.
C’est finalement une véritable guerre technologique à laquelle se livrent les fraudeurs et les banques. Au-delà des banques, ce sont tous les PSP qui sont confrontés aux fraudes monétiques42. Les PSP recourent de plus en plus aux systèmes électroniques de paiement. Certains d’entre eux favorisent d’ailleurs souvent l’utilisation de leur application mobile par rapport aux interfaces web, ces dernières offrant désormais parfois plus de fonctionnalités. Un point d’attention a trait aux tentatives d’attaque par logiciels malveillants sur les téléphones portables : ces malwares pourront-ils ou peuvent-ils déjà subtiliser les codes confidentiels saisis par le titulaire du compte ?
Il faut que les PSP investissent massivement sur la lutte contre la fraude afin de préserver la confiance dans le système de paiement. Des agents anti-fraude doivent continuer à être recrutés et l’infrastructure technologique des banques être modernisée et très sécurisée. Plus techniquement, cette exigence d’investissement humain, technologique et financier concerne tous les PSP, afin de garantir la confiance des clients dans le système de paiement, face au risque qu’ils s’en détournent pour s’en remettre aux crypto-actifs, lesquels ne sont pas nécessairement plus sûrs – le niveau de sécurité mériterait en tout cas d’être comparé.
Pour l’instant, il est essentiel de noter que les liens entre le droit bancaire et financier, d’une part, et le droit du numérique – et plus spécifiquement encore le droit de la cybersécurité –, d’autre part, continueront de se renforcer. Les règles de droit auront toujours un certain retard par rapport aux technologies frauduleuses employées, puisque les escrocs cherchent justement à les contourner de manière rusée. Il revient donc aux PSP et aux autorités publiques de les identifier de la façon la plus précoce possible, en recourant à des solutions technologiques de pointe. Les techniques de fraude de naguère, telles que la contrefaçon des cartes de paiement (cartonnées) dans les années 1970 décrite dans le roman Bank d’Arthur Hailey, sont sans pareil avec les fraudes actuelles, et ces dernières seront évidemment dépassées, et probablement oubliées, au siècle prochain.
Il convient aussi de prendre en compte que le droit n’a pas forcément prise sur la psychologie des clients. Le téléphone portable devient l’objet matériel faisant l’objet des attaques. Son utilisation est protégée, grâce à l’authentification forte. Mais l’utilisateur des moyens de paiement est parfois noyé d’informations sur son portable, faiblement concentré et peu enclin à s’attacher au détail des messages, alors que le diable s’y niche.
Les fraudeurs cherchent donc aujourd’hui plus à intervenir au niveau de la mentalité du client, en le poussant à effectuer ou valider des opérations. L’escroc joue généralement sur les sentiments de crainte du client en demandant des opérations faussement destinées à sécuriser le compte. Il peut aussi promettre un faux gain, par exemple lié à un investissement dans des crypto-actifs, ou entrer dans un jeu de séduction, en se faisant passer pour une personne célèbre. La psychologie du client ne saurait donc être entièrement ignorée des contentieux de fraude au paiement, ce qui appelle des actions de sensibilisation prenant en compte les pratiques frauduleuses les plus récentes. D’où cette question au croisement du droit et de la psychologie : l’humain, plutôt que la technologie, ne représenterait-il pas aujourd’hui la faille principale ?
