Pas d’authentification forte exigée : remboursement du client
Dans un arrêt du 30 septembre 2023, la chambre commerciale, financière et économique de la Cour de cassation rappelle que, sauf agissement frauduleux du client d’une banque, ce dernier ne supporte aucune conséquence financière si une opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur, prévue par l’article L. 133-44 du code monétaire et financier dans sa rédaction issue de l’ordonnance du 9 août 2017.
Dans cette affaire, une personne avait, en réponse à un appel téléphonique et à un message, communiqué à un interlocuteur qu’elle pensait être un employé de sa banque le code à six chiffres, dénommé « 3D Secure », destiné à valider les paiements par internet à partir de son compte. Suite à cet échange, un paiement avait été effectué sans qu’elle en soit à l’origine, et sa banque avait refusé de lui rembourser la somme qui avait été prélevée à ce titre et de réparer son préjudice. La banque avait opposé un refus au motif que sa cliente aurait commis une négligence grave en communiquant volontairement un code de sécurité validant une opération financière à une personne extérieure. Ce raisonnement a été approuvé par le tribunal judiciaire par un jugement du 13 janvier 2022, rendu en dernier ressort. La Cour de cassation l’a cependant rejeté. « En se déterminant ainsi, sans rechercher, comme il lui incombait, si l’opération de paiement litigieuse avait été exécutée sans que la banque exige l’authentification forte du payeur, la cour d’appel n’a pas donné de base légale à sa décision » a déclaré la Cour cassant le jugement dans toutes ses dispositions.