En cas de paiement en ligne non autorisé, le client qui a communiqué par négligence son code de sécurité à un tiers n’a pas à en supporter les conséquences financières si la banque n’a pas exigé son authentification forte avant de valider le paiement.
Sauf s’il a commis un agissement frauduleux, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée
a été effectuée sans que sa banque (ou un autre prestataire de services de paiement) n’exige une authentification forte de sa part prévue à l’article L.133-44 du Code monétaire et financier (C. mon. fin. art. L 133-19, V, issu de ord. 2017-1252 du 9-8 2017).
En réponse à un appel téléphonique et à un message, le client d’une banque communique à un tiers, qu’il croit être un employé de la banque, le code de sécurité destiné à valider les paiements effectués à partir de son compte sur internet. Un paiement, non initié par le client, est ensuite effectué le 27 janvier 2020. Ce dernier en demande alors le remboursement à la banque.
Un tribunal judiciaire rejette la demande du client en retenant sa grave négligence d’avoir fait confiance à une personne qu’il ne connaissait pas et qui lui racontait une histoire peu crédible.
La Cour de cassation censure cette décision (Cass.com. 30-8-2023 n° 22-11.707 F-B) : l’article L 133-44 du Code monétaire et financier, qui institue l’exigence d’authentification forte pour les paiements en ligne et auquel renvoie l’article L 133 19, V précité, est entré en vigueur le 14 septembre 2019 (Ord. 2017-1252 du 9-8-2017 art. 34, VIII-3°) et cette exigence s’appliquait donc au paiement litigieux.
Les juges du fond auraient donc dû rechercher si ce paiement avait été exécuté sans que la banque exige l’authentification…
Source : Dalloz