Présentation des recommandations de l’Observatoire de la sécurité des moyens de paiement sur les modalités de remboursement des opérations de paiement frauduleuses
Récemment, l’Observatoire de la sécurité des moyens de paiement a émis des recommandations sur les modalités de remboursement des opérations de paiement frauduleuses. Il est vrai que de nouvelles techniques de fraude sont apparues ces dernières années afin de contourner les mesures de protection prenant la forme de l’authentification forte. Ces recommandations attirent alors l’attention. Certaines d’entre elles se révèlent particulièrement utiles.
1. Créé par une loi du 9 décembre 20161, l’Observatoire de la sécurité des moyens de paiement (OSMP) est une instance destinée à favoriser l’échange d’informations et la concertation entre toutes les parties concernées par le bon fonctionnement des moyens de paiement et la lutte contre la fraude2.
2. L’article L. 141-4, I, du Code monétaire et financier indique, à son sixième alinéa, que cet Observatoire, qui regroupe des parlementaires, des représentants des administrations concernées, des émetteurs de moyens de paiement, des opérateurs de systèmes de paiement, des associations de commerçants, des associations d’entreprises et des associations de consommateurs3 « assure, en particulier, le suivi des mesures de sécurisation entreprises par les émetteurs, les commerçants et les entreprises, l’établissement de statistiques de la fraude et une veille technologique en matière de moyens de paiement, avec pour objet de proposer des moyens de lutter contre les atteintes à la sécurité des moyens de paiement ». L’Observatoire établit alors chaque année un rapport d’activité remis au ministre chargé de l’économie, des finances et de l’industrie et transmis au Parlement.
3. C’est ainsi que le 16 mai 2023, l’OSMP a rendu public un rapport d’activité ayant pour caractéristiques de regrouper des recommandations ayant trait aux modalités de remboursement des opérations de paiement frauduleuses4. Reprenons-en, en les clarifiant, les principaux enseignements.
I – Effets positifs de l’authentification forte
4. Dès ses premières lignes, le rapport évoque les incidences de la mise en place de l’authentification forte dans notre pays. Un rappel s’impose alors à propos de cette notion « d’authentification forte »5. Pour mémoire, il s’agit d’une authentification reposant sur l’utilisation de deux éléments, ou plus, appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît), « possession » (quelque chose que seul l’utilisateur possède) et « inhérence » (quelque chose que l’utilisateur est), éléments qui sont indépendants, en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres ; cette authentification est conçue de manière à protéger la confidentialité des données d’authentification6. Ce dispositif, d’origine européenne7, est progressivement entré en application en 2019, mais n’est réellement obligatoire que depuis le 15 juin 2021 (phase transitoire du 14 septembre 2019 au 15 juin 2021).
5. Aujourd’hui, cette authentification forte est exigée dans toute une série de cas. Ainsi, pour l’article L. 133-44, I, du Code monétaire et financier, elle doit être obligatoirement appliquée dans trois cas : lorsque le payeur accède à son compte de paiement en ligne ; lorsque le payeur initie une opération de paiement électronique ; et enfin lorsque ce même payeur exécute une opération par le biais d’un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse.
6. Le rapport étudié observe alors que l’utilisation de mécanismes d’authentification forte du payeur, qui s’est progressivement généralisée à partir de 2019, a permis de « baisser substantiellement »8 le taux de fraude intéressant les paiements opérés sur internet.
7. En effet, la veille assurée par l’Observatoire montre que, sur l’ensemble des paiements par carte sur internet (y compris réalisés auprès de sites étrangers), le taux de fraude au montant sur les paiements en ligne est passé de 0,249 % en 2020 à 0,196 % en 2021, tandis que, sur la même période, le montant des opérations de paiement par carte a augmenté de 21 % pour atteindre 177,1 milliards d’euros9. Plus clairement encore, le communiqué de presse accompagnant le rapport évoque une baisse de 30 % entre 2019 et 2022 du taux de fraude sur les paiements par carte sur internet.
8. Cette baisse, témoignant de l’efficacité de l’authentification forte, intervient après deux ans de stagnation qui soulignaient les limites atteintes, en termes de sécurité, par l’authentification simple employée jusqu’alors, c’est-à-dire le « 3D Secure ».
9. Cependant, l’Observatoire ne manque pas de relever que ces bons résultats se sont accompagnés du développement de nouvelles techniques de fraude, particulièrement préoccupantes.
II – Développement de nouvelles techniques de fraude
10. À défaut de pouvoir émettre désormais eux-mêmes des paiements frauduleux, en raison des exigences liées à l’authentification forte précitée, les fraudeurs cherchent de plus en plus à tromper leurs victimes afin de les amener à valider à leur place des opérations frauduleuses. Le rapport de l’Observatoire s’intéresse ainsi, plus spécifiquement, à ce que l’on nomme aujourd’hui la « fraude au faux conseiller bancaire »10 ou « spoofing » (attaque par usurpation d’identité).
11. De quoi s’agit-il ? Un (faux) conseiller alerte un client par téléphone11 sur une opération qui lui paraît frauduleuse sur son compte. Pour l’annuler, il demande à sa victime d’agir directement sur son téléphone ou de lui transmettre diverses informations (code d’accès à l’espace numérisé sur le site de la banque, cryptogramme visuel de la carte bancaire, code de validation reçu par SMS, etc.). Or, en procédant de la sorte, le client réalise sans le savoir une opération de paiement au profit de l’escroc, ou lui transmet toutes les informations utiles pour la passer lui-même. Des décisions sont désormais rendues en la matière12, dont certaines ont déjà été particulièrement remarquées13.
12. Toutefois, pour l’Observatoire, si la proportion de paiements frauduleux avec authentification forte est « restée contenue » en 2021 (en l’occurrence 9 % du nombre total des paiements frauduleux par carte sur internet), leur proportion dans le montant total des opérations frauduleuses « est bien plus significative »14 (30 % du montant total de 103 millions d’euros). Dit autrement, s’il y a moins de victimes, les préjudices consécutifs aux fraudes sont plus lourds15.
13. Il est encore noté que, pour les associations de consommateurs, ce nouveau type de fraude entraînerait une augmentation du montant du préjudice financier supporté par les consommateurs, en raison plus particulièrement du refus de nombreuses banques de rembourser les opérations ainsi passées. Ces associations ont d’ailleurs interpellé la Banque de France et l’OSMP sur cette dernière difficulté.
14. C’est pour ces raisons que l’OSMP a décidé de mettre en place un groupe de travail chargé d’émettre des recommandations sur le traitement des demandes de remboursement d’opérations frauduleuses « en vue d’assurer la bonne application des dispositions de la DSP 2 en matière de protection des consommateurs victimes de fraude ».
III – Recommandations en faveur des victimes
15. L’Observatoire publie 13 recommandations tendant à améliorer les démarches de remboursement des victimes de fraude tout en rappelant la responsabilité des utilisateurs dans la sécurité de leurs moyens de paiement, c’est-à-dire les solutions prévues par les articles L. 133-18 et suivants du Code monétaire et financier.
16. En effet, il est important de garder à l’esprit que, de longue date16, notre droit protège le payeur des opérations passées qu’il n’a pas autorisé. Plus concrètement, en présence d’une telle opération, l’article L. 133-18 impose simplement au payeur de la signaler, sous un certain délai17, à son prestataire de services de paiement (PSP), ce dernier se devant alors de le rembourser rapidement. En effet, ce remboursement devra être réalisé « immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant » (sauf si le PSP « a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement »)18. Le prestataire rétablira ainsi le compte débité dans l’état où il se serait trouvé si l’opération non autorisée n’avait pas eu lieu19.
17. Une limite existe cependant en la matière. En effet, il résulte de l’article L. 133-19, IV, du Code monétaire et financier, que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si elles résultent d’un agissement frauduleux de sa part ou si ce même payeur n’a pas « satisfait intentionnellement ou par négligence grave aux obligations prescrites par les articles L. 133-16 et L. 133-17 [du Code monétaire et financier] », c’est-à-dire, respectivement, l’obligation de préserver la sécurité de ses données de sécurité personnalisées et celle d’informer sans tarder son prestataire (ou l’entité désignée par celui-ci) de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées. Ainsi, dans l’un de ces cas, la charge totale de l’opération pèsera sur le seul payeur.
18. La notion de « négligence grave », visée par cet article L. 133-19, IV, a donc une importance considérable. Ce n’est que si le juge la caractérise que le prestataire de services de paiement échappera à son obligation de rembourser l’opération dénoncée. Pour l’Observatoire, « il convient pour les prestataires de services de paiement qui souhaitent recourir à ce motif d’exclusion du droit à remboursement d’évaluer le cas au regard de la jurisprudence, qui sera vraisemblablement amenée à s’enrichir dans les prochaines années, certaines décisions étant néanmoins d’ores et déjà éclairantes ». Il est vrai que certains critères peuvent déjà être dégagés des décisions de justice rendues en la matière20.
19. Observons alors les 13 recommandations rendues publiques par l’OSMP. Elles s’adressent, selon les cas, aux prestataires de services de paiement (recomm. 1 à 6) ou, plus largement, à l’ensemble des acteurs (recomm. 7 à 13). Quatre groupes de recommandations peuvent être distingués.
20. En premier lieu, il faut observer des recommandations générales applicables au traitement des contestations d’opérations de paiement. Celles-ci portent sur :
· le délai pour la conduite des investigations (recomm. 1) ;
· les modalités et le délai de reprise des fonds (recomm. 2) ;
· l’information délivrée au client en cas de refus de remboursement ou de reprise des fonds (recomm. 3).
21. La première de ces recommandations attire l’attention. Elle prévoit que les PSP sont invités à mettre en œuvre les investigations dès la réception de la contestation, en prenant en compte les éventuels éléments de description fournis par l’utilisateur, et « à en limiter la durée à 30 jours, sauf situation exceptionnelle ».
22. Ce délai maximum est à souligner. En effet, passé celui-ci, s’ils ne sont pas en mesure de prouver la malhonnêteté ou la négligence grave du payeur, les PSP devront nécessairement le rembourser. Il ne leur sera plus possible, comme c’est le cas parfois, d’appliquer des délais très longs en espérant que le client se lassera et abandonnera son action.
23. La deuxième recommandation présente également un intérêt. L’OSMP rappelle qu’il existe différents cas de figure dans lesquels une décision initiale de remboursement du client par le PSP est susceptible d’être remise en cause a posteriori (par exemple en cas d’investigations complémentaires), conduisant ce même prestataire à opérer une reprise des fonds. Il apparaît donc nécessaire que l’utilisateur soit informé de cette possibilité au moment de son remboursement initial. Cette même recommandation invite alors à ce que, en cas de remboursement susceptible de donner lieu à une reprise de fonds ultérieure en fonction du résultat d’investigations engagées, « le prestataire de services de paiement informe son client de cette éventualité au moment du remboursement, et veille à ne pas procéder à la reprise des fonds dans un délai excédant 30 jours à compter de la date à laquelle le remboursement a été effectué, sauf situation exceptionnelle ». Cette limite de 30 jours est, à notre sens, utile. Il est toujours fâcheux qu’une contre-passation de fonds soit réalisée par le banquier longtemps après les premières discussions concernant une opération de paiement. De la rapidité est logiquement attendue en la matière.
24. Par ailleurs, une obligation nouvelle de motivation est envisagée par la troisième recommandation. Aux termes de cette dernière, « lorsque le prestataire de services de paiement refuse le remboursement ou procède à la reprise des fonds, il veille à informer le client de cette décision et lui en communique le motif, en prenant soin le cas échéant de joindre les éléments qui la justifient (par exemple, mandat de prélèvement, éléments transmis par le commerçant, preuve de négligence grave…). En outre, il détaille dans cette même communication les modalités suivant lesquelles une réclamation peut être déposée ». Dit autrement : pas de refus sans preuve. Une telle transparence ne peut, évidemment, qu’être approuvée. Elle est de nature à réduire certains abus de quelques établissements de crédit régulièrement dénoncés par les associations protectrices des consommateurs.
25. En second lieu, des recommandations sont applicables au traitement de cas spécifiques :
· les opérations de paiement effectuées sans authentification forte (recomm. 4) ;
· le paiement au moyen d’une application mobile se substituant à l’instrument de paiement (recomm. 5) ;
· le paiement ayant fait l’objet d’une authentification forte (recomm. 6).
26. La cinquième recommandation a ainsi pour intérêt de clarifier les solutions applicables au paiement réalisé à l’aide d’un téléphone portable, c’est-à-dire le paiement mobile sans contact. Il est à noter que le recours à ce dernier a progressé de plus de 130 % au premier semestre 202221. Or cette évolution représente aussi une nouvelle opportunité pour certains délinquants22. Une clarification était donc nécessaire. Ainsi, aux termes de cette recommandation : « Lorsque l’utilisateur du service de paiement conteste une opération de paiement qu’il nie avoir autorisée et qui a été réalisée au moyen d’une solution mobile pour laquelle l’enrôlement de l’instrument de paiement n’a pas donné lieu à authentification forte, le prestataire de services de paiement du payeur procède sans délai au remboursement du montant de cette opération ». Il convient donc d’appliquer ici le régime de l’article L. 133-18 du Code monétaire et financier23. Voilà une précision opportune.
27. Par ailleurs, la sixième recommandation est encore plus importante : elle vient clarifier une « zone grise » concernant les opérations contestées ayant donné lieu à une authentification forte. Elle indique ainsi que, dans un tel cas, « le prestataire de services de paiement doit procéder dans le délai d’un jour ouvré à une première analyse de cette opération. Cette analyse vise à apprécier, en prenant en compte les 3 familles de paramètres mentionnées ci‐après, si l’utilisateur est susceptible d’avoir consenti à l’opération ou s’il s’agit d’une opération non autorisée ». Sont alors visés : les paramètres techniques associés à l’opération24 afin d’évaluer la possibilité que l’utilisateur en soit à l’origine ; les modalités de l’authentification forte mise en œuvre25 pour s’assurer du rôle effectif de l’utilisateur ; et enfin les éléments de contexte dont il dispose26.
28. Ce n’est pas tout. La suite de la sixième recommandation indique quel comportement doit adopter le PSP en fonction des résultats de l’analyse précitée. Trois circonstances sont distinguées. D’une part, s’il constate que l’opération n’a pas été autorisée ou a un doute sur le consentement donné à l’opération, il doit procéder sans délai au remboursement de la transaction. D’autre part, et à l’inverse, s’il dispose de bonnes raisons de soupçonner une fraude de l’utilisateur et qu’il communique ses raisons à la Banque de France, le PSP peut refuser de rembourser immédiatement la transaction dans les conditions prévues à la troisième recommandation27. Enfin, si ce professionnel a suffisamment d’éléments de preuves pour considérer que l’opération a été autorisée par l’utilisateur ou que ce dernier a été gravement négligent28 ou qu’il n’a pas satisfait intentionnellement à ses obligations, il peut refuser le remboursement de l’opération contestée au client, ici encore dans les conditions prévues à la troisième recommandation.
29. Les solutions précitées sont importantes. Elles démontrent que l’authentification forte n’est pas infaillible. Elle ne saurait ainsi être utilisée par les PSP comme seul justificatif d’un refus de rembourser une opération de paiement passée à la suite d’une fraude. Plus concrètement, cette recommandation va obliger les PSP à mener des investigations plus poussées.
30. En troisième lieu, des recommandations sont dégagées à l’attention des consommateurs et de leurs représentants. Elles concernent :
· les bonnes pratiques pour la sécurité des moyens de paiement (recomm. 7) ;
· la transparence dans la déclaration des cas de fraude (recomm. 8).
31. La septième recommandation se veut ainsi très précise. Selon elle, les consommateurs doivent s’efforcer de rester vigilants quant à la préservation de la sécurité des données de sécurité associées à un instrument de paiement (mot de passe, code confidentiel, cryptogramme, etc.), en respectant les bonnes pratiques en la matière. Ces dernières sont alors listées :
· ne jamais communiquer ces données à un tiers ;
· ne pas conserver ces données de sécurité sur quelque support que ce soit, physique ou informatique (messagerie électronique, disque dur, portable, etc.) ;
· ne pas répondre aux sollicitations de personnes se présentant comme des collaborateurs des prestataires de services de paiement (conseillers bancaires, service de lutte contre la fraude, etc.) ;
· toujours utiliser un canal sécurisé et connu pour établir un contact avec son prestataire de services de paiement ;
· ne jamais ouvrir un lien reçu par messagerie électronique ou SMS dont l’origine n’est pas sûre ;
· ne jamais confier son instrument de paiement à une tierce personne (proche, coursier, etc.) ;
· être attentif aux communications de son prestataire de services de paiement et des autorités en matière de sécurité.
32. Il est encore rappelé que « le personnel du prestataire de services de paiement ne sera jamais amené à demander ces informations en cas d’appel de son client et n’en a pas besoin pour annuler une opération frauduleuse ». On voit bien ici que la recommandation en question cherche à lutter contre la fraude au faux conseiller bancaire évoquée précédemment29.
33. En dernier lieu, un nombre plus important de recommandations s’adresse à la prévention de la fraude, c’est-à-dire :
· la consultation des comptes du client à l’aide de la banque en ligne ou de l’application mobile (recomm. 9) ;
· l’information délivrée au client lors de l’ajout d’un bénéficiaire de virement (recomm. 10) ;
· l’information et les options présentées à l’utilisateur du service de paiement au moment de l’authentification forte (recomm. 11) ;
· la simplicité d’accès aux procédures de blocage des instruments de paiement (recomm. 12) ;
· le rôle des fournisseurs de services et technologiques de l’information dans la lutte contre la fraude (recomm. 13).
34. La dixième recommandation attire également l’attention. Elle invite les PSP, par son premier alinéa, à indiquer clairement, à chaque ajout d’un bénéficiaire de virement, si un contrôle de concordance entre IBAN et nom du bénéficiaire a été effectué. Si tel n’a pas été le cas, il doit être précisé à l’utilisateur que le champ « Nom du bénéficiaire » est exclusivement destiné à faciliter le suivi des opérations par le client qui émet des virements, et que son contenu ne fait l’objet d’aucun contrôle de concordance avec l’identité du titulaire de l’IBAN du bénéficiaire30.
35. Par ailleurs, il est noté que les opérateurs de téléphonie et les fournisseurs de services numériques sont des parties prenantes centrales dans la sécurité des opérations de paiement effectuées à distance, pour lesquelles ils assurent la mise en relation entre les différentes parties et l’échange de données. Ils ont ainsi, pour l’Observatoire, « une responsabilité dans la lutte contre les techniques utilisées par les fraudeurs pour collecter des données de paiement à l’insu de l’utilisateur par des messages électroniques (hameçonnage) ou SMS (smishing) usurpant l’identité d’un expéditeur légitime, la mise en ligne de faux sites miroir, ou encore l’affichage, lors d’un appel entrant malveillant, du numéro de téléphone d’un interlocuteur légitime (spoofing) »31.
36. Dès lors, pour la treizième recommandation, ces mêmes acteurs du secteur des technologies de l’information (c’est-à-dire les opérateurs de téléphonie, les hébergeurs de contenu, les éditeurs de sites de référencement, les moteurs de recherche, les fournisseurs de services de messagerie, etc.) doivent veiller « à protéger les utilisateurs contre les risques d’usurpation d’identité et d’atteinte à l’intégrité et la confidentialité de leurs données ». Il leur est donc demandé d’empêcher l’utilisation de techniques frauduleuses telles que l’hameçonnage, le spoofing ou le SIM‐swapping.
37. Pour conclure cette présentation, il convient de s’interroger sur la valeur juridique de toutes ces recommandations. L’OSMP ne disposant pas d’un pouvoir réglementaire, elles ne sauraient a priori présenter une force juridique particulière. Cette affirmation demeure cependant, selon nous, à relativiser quelque peu. D’une part, ces recommandations sont de nature à inspirer le législateur. Il n’est donc pas impossible que, dans l’avenir, certaines de ces solutions deviennent d’authentiques obligations légales. D’autre part, il convient de garder à l’esprit que l’Observatoire de la sécurité des moyens de paiement relève de la Banque de France. Or le superviseur des banques, c’est-à-dire l’Autorité de contrôle prudentiel et de résolution (ACPR), est pour sa part adossé à cette même Banque de France. Les professionnels de la banque, craignant le pouvoir de contrôle de ce superviseur (et plus encore son pouvoir de sanction), sont alors « naturellement » encouragés à se mettre en « conformité » avec ce type de recommandations.
38. En l’espèce, l’Observatoire indique que les 13 recommandations précitées constituent « des pratiques de référence pour les acteurs du marché des paiements, qui précisent les attentes des autorités françaises au regard de la réglementation européenne »32. En revanche, et fort logiquement, il précise qu’elles « n’ont pas vocation à se substituer à la réglementation applicable, ni à la jurisprudence en la matière ».
39. Les associations de consommateurs interrogées considèrent, pour leur part, que si ces recommandations ne sont pas révolutionnaires, « elles vont permettre, au moins, une harmonisation des pratiques des banques »33.
40. L’OSMP, qui assurera la diffusion de ces recommandations auprès des publics concernés34 (avec l’appui de l’ACPR au titre de son mandat des pratiques commerciales), s’engage à procéder à un bilan de ces dernières et, le cas échéant, à leur révision sous un délai maximal de 18 mois à compter de leur adoption, soit d’ici la fin de l’année 2024. Voilà qui est utile dans un contexte où les mécanismes de fraude évoluent rapidement.
Notes de bas de pages
-
1.
L. n° 2016-1691, 9 déc. 2016, relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique : JO, 10 déc. 2016.
-
2.
L’OSMP a repris toutes les missions précédemment dévolues à l’Observatoire de la sécurité des cartes de paiement créé en 2001, auquel il a succédé, sur un périmètre élargi à l’ensemble des moyens de paiement scripturaux.
-
3.
C. mon. fin., art. R. 142-22.
-
4.
R. Cotte, « Vers un meilleur remboursement des victimes de fraude à la carte bancaire », Les Échos, 17 mai 2023, p. 26.
-
5.
Pour une présentation détaillée, J. Lasserre Capdeville et a., Droit bancaire, 3e éd., 2021, Dalloz, Précis, nos 1461 et s.
-
6.
C. mon. fin., art. L. 133-4, f.
-
7.
Il résulte, en effet, de la directive DSP 2, c’est-à-dire la directive (UE) n° 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur (JOUE, L. 337, 23 déc. 2015).
-
8.
OSMP, rapp. d’activité, 16 mai 2023, p. 2.
-
9.
OSMP, rapp. d’activité, 16 mai 2023.
-
10.
J. Lasserre Capdeville, « La fraude au faux conseiller bancaire », GPL 6 juin 2023, n° GPL449e2.
-
11.
Il peut aussi s’agir d’un soi-disant technicien de la banque : CA Lyon, 22 mars 2023, n° 22/03169.
-
12.
V. par ex., CA Nîmes, 24 nov. 2022, n° 21/02764 – CA Douai, 5 janv. 2023, n° 21/04625 – CA Paris, 19 janv. 2023, n° 21/02584.
-
13.
CA Versailles, 28 mars 2023, n° 21/07299 : LEDB juin 2023, n° DBA201m9, obs. J. Lasserre Capdeville.
-
14.
OSMP, rapp. d’activité, 16 mai 2023, p. 3.
-
15.
V. Mignot, « Non-remboursement de fraude bancaire : ce que votre banque n’a plus le droit de faire », MoneyVox, 16 mai 2023.
-
16.
Il en va ainsi depuis la transposition en droit interne des dispositions de la directive (CE) n° 2007/64 du Parlement européen et du Conseil du 13 novembre 2007, dite directive DSP 1 (JOUE L 319, 5 déc. 2007). Cette transposition a été réalisée par l’ordonnance n° 2009-866 du 15 juillet 2009 relative aux conditions régissant la fourniture de services de paiement et portant création des établissements de paiement (JO, 16 juill. 2009).
-
17.
C. mon. fin., art. L. 133-24, al. 1er.
-
18.
On notera que la loi n° 2022-1158 du 16 août 2022 portant mesures d’urgence pour la protection du pouvoir d’achat est venue renforcer cet article. Quatre nouveaux alinéas prévoient désormais des pénalités en cas de manquement du prestataire de services de paiement au remboursement immédiat ou dans un délai très bref : J. Lasserre Capdeville, « Retour sur l’obligation du banquier de rétablir le compte bancaire du client frauduleusement débité », GPL 21 févr. 2023, n° GPL444s5.
-
19.
Ainsi, comme le déclare le rapport, « l’appréciation du caractère autorisé ou non d’une opération est donc un critère déterminant pour le remboursement des clients qui contestent une opération de paiement pour motif de fraude » : OSMP, rapp. d’activité, 16 mai 2023, p. 5.
-
20.
J. Lasserre Capdeville, « Droit des opérations de paiement non autorisées : retour sur la notion de “négligence grave” du payeur », JCP E 2023, n° 15, 1118.
-
21.
S. Auffray, « Apple Pay, Google Pay : l’usage augmente, la fraude aussi », MoneyVox, 17 mai 2023.
-
22.
R. Cotte, « L’essor du paiement mobile s’accompagne de nouveaux types de fraude », Les Échos, 17 mai 2023, p. 26.
-
23.
V. supra, § 16.
-
24.
On peut citer ici l’origine de la transaction, le terminal utilisé pour l’achat ou la connexion à la banque en ligne, la localisation géographique, etc.
-
25.
Il en va ainsi avec le type de solution, l’intégrité des facteurs d’authentification et du canal de communication, la preuve d’une utilisation précédente de la solution par l’utilisateur ou à l’inverse caractère récent de l’enrôlement, etc.
-
26.
On peut citer, ici, les informations délivrées à l’utilisateur lors de l’authentification (v. recomm. n° 11), les éventuelles alertes liées à l’opération et adressées à l’utilisateur par différents canaux de communication, ou encore les éléments rapportés par l’utilisateur (v. recomm. n° 8), tels que les procédés manipulatoires auxquels il a pu être confronté.
-
27.
V. supra, § 24.
-
28.
Il s’agit de la « négligence grave » des articles L. 133-19 et L. 133-23 du Code monétaire et financier.
-
29.
V. supra, § 11.
-
30.
En outre, pour l’alinéa 2 de la recommandation, les prestataires de services de paiement établis en France sont encouragés à explorer par anticipation la possibilité d’implémenter au plus tôt un service de confirmation du bénéficiaire tel qu’envisagé par la Commission européenne dans sa proposition de révision du règlement SEPA.
-
31.
OSMP, rapp. d’activité, 16 mai 2023, p. 15.
-
32.
OSMP, rapp. d’activité, 16 mai 2023, p. 16.
-
33.
V. Mignot, « “C’est mieux que rien” : le point de vue d’UFC-Que Choisir sur les nouvelles règles de remboursement des fraudes », MoneyVox, 17 mai 2023.
-
34.
Par son communiqué de presse en date du 16 mai 2023, l’Observatoire indique aussi se montrer très favorable à la campagne de sensibilisation lancée par la Fédération bancaire française dans les différents médias depuis le 22 avril, qui rappelle aux utilisateurs de ne jamais authentifier des opérations dont ils ne sont pas à l’initiative ni communiquer leurs mots de passe et codes confidentiels à des tiers, même leur banquier.
Référence : AJU009c6