Par un arrêt du 30 août 2023, la chambre commerciale de la Cour de cassation clarifie la responsabilité du prestataire de service de paiement pour une opération soumise à l’exigence d’authentification forte du payeur (article L. 133-44 du Code monétaire et financier).
Dans cette affaire, un client d’une banque, victime d’une fraude, sollicitait le remboursement d’un paiement exécuté par un tiers, se présentant comme un employé de sa banque, à qui il avait communiqué le code à six chiffres, dénommé « 3D Secure », destiné à valider les paiements par internet.
La banque, pour refuser de procéder au remboursement des sommes, lui opposait sa négligence grave dès lors qu’il avait communiqué volontairement un code de sécurité validant une opération financière à une personne extérieure.
La juridiction du premier degré statuant en dernier ressort a approuvé la banque et rejeté la demande aux motifs que le client avait commis une négligence grave.
Le jugement est cassé par la Cour de cassation qui relève qu’il résulte des articles L. 133-19, V et L. 133-44 du Code monétaire et financier que, sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur exige une authentification forte du payeur prévue par le second de ces textes.
Or, tel n’était pas le cas en l’espèce, l’opération ayant été réalisée moyennant une procédure d’authentification forte.
Autrement dit, dès lors que l’opération est assujettie à la procédure d’authentification forte prévue à l’article L. 133-44 du Code monétaire et financier, la banque ne peut pas se retrancher derrière la négligence grave de son client pour refuser de procéder au remboursement des sommes captées frauduleusement.
