Vorige

Fraude informatique – préservation de la sécurité des instruments de paiements.

 

2014.1881

 

THEME

 

Fraude informatique – préservation de la sécurité des instruments de paiements.

 

AVIS

 

Présents :
Monsieur A. Van Oevelen, Président ;

Madame M.-F. Carlier, Vice-Président;

Messieurs F. de Patoul, E. Struye de Swielande, N. Claeys, L. Jansen, membres
Mesdames M. Mannès, N. Spruyt, membres.

 

Date : 16 décembre 2014

 

I. OBJET DE LA CONTESTATION ET POINT DE VUE DES PARTIES

 

Le lundi 13 mai 2013, la requérante dépose plainte auprès de la police. Elle expose avoir été contactée par téléphone la veille, dimanche 12 mai entre 12h30 et 12h40, par un homme se présentant comme étant membre de la « Brigade Fraude de la police ». Il lui a expliqué que des personnes avaient été arrêtées en possession de doubles de cartes de banque et que son aide était requise pour récupérer les montants que les fraudeurs auraient détournés.  A cette fin, la requérante a inséré sa carte de banque dans son lecteur et communiqué à son interlocuteur « le code ». L’homme lui a alors signalé que le code correspondait, que les fraudeurs avaient procédé à des achats en ligne, que ces paiements étaient annulés  et qu’elle devait se présenter à sa banque pour faire bloquer sa carte. La requérante fait bloquer sa carte et s’aperçoit du retrait frauduleux de son compte d’une somme totale de 1.475 € (8 opérations réalisées entre 12h41 et 12h54).

 

Le 1er juin 2013, la requérante précise auprès de l’agent verbalisant que le procès-verbal d’audition du 13 mai 2013 ne reflète pas exactement sa déclaration. Lorsqu’il est indiqué « j’avais donné le code de ma carte mais je l’ai introduit dans le carte reader », c’est en réalité l’inverse qui s’est produit. Elle a introduit sa carte dans le lecteur de carte et a ensuite communiqué le numéro de réponse qui s’est affiché sur le lecteur. La requérante souligne qu’elle n’a jamais communiqué son code ou le mot de passe du homebanking.

 

Après avoir affirmé dans un premier temps que la fraude est due à un dysfonctionnement du système de la banque et que la limite d’utilisation de sa carte est de 650 €, la requérante reconnaît que la banque n’a pas commis de faute en autorisant les transactions dans les limites prévues.

 

Elle sollicite l’intervention de la banque pour les huit retraits frauduleux et oppose au refus d’intervention de cette dernière qu’il n’est pas établi que les pertes résulteraient du fait qu’elle n’aurait pas satisfait intentionnellement ou à la suite d’une négligence grave à une ou plusieurs des obligations qui lui incombent et que les moyens d’accès et de signature ont été indûment utilisés par des tiers puisqu’elle est toujours restée en possession de ses moyens d’accès et de signature.

 

La banque souligne, ce qui n’est plus contesté aujourd’hui, que les huit opérations litigieuses consistent en des paiements sur Internet et non en des retraits en cash en sorte que la limite d’utilisation était de 5.000 € par période de cinq jours, sans limite journalière, et non de 650 €.

 

Elle objecte à la demande de la requérante que c’est sur la sollicitation d’un inconnu qu’elle s’est identifiée sur son card reader au moyen de sa carte de débit et de son code secret, qu’elle a ensuite, à huit reprises, introduit les numéros « challenge » communiqués par cet inconnu et lui a transmis les codes réponses calculés par le card reader.

 

Au regard de ce comportement qu’elle qualifie de négligence grave, la banque se refuse d’intervenir, et ce d’autant plus que :

-      la requérante est une utilisatrice régulière de Home Bank en sorte qu’elle n’ignore pas que la réponse au challenge ne sert qu’à la validation d’une opération;

-      l’exécution d’opérations - même pour récupérer des fonds - dépend de la banque et non de la police;

-      aux termes de son règlement général des opérations, des obligations particulières de précaution et de sécurité sont requises de l’utilisateur de carte;

-      outre des avertissements à la clientèle sur la page d’accueil de son site, la banque a expressément attiré l’attention de la requérante, par un message personnalisé du 28 août 2012, sur le fait de ne jamais communiquer par téléphone d’informations personnelles ou un code généré par le lecteur de carte (response, code secret,…).

 

II. AVIS DU COLLEGE

 

L’article 31, § 2, de la loi du 10 décembre 2009 relative aux services de paiement (actuellement intégrée dans le Code de droit économique) précise que l’utilisateur de services de paiement prend toutes les mesures raisonnables afin de préserver la sécurité de sa carte et de son code secret.

 

L’article 37, § 1, de la même loi prévoit que le client supporte jusqu’à la notification faite de la perte, du vol ou de l’utilisation frauduleuse de sa carte, les pertes liées à toute opération de paiement non autorisée et ce à concurrence d’un montant de 150,00 €, sauf s’il a agi avec négligence grave ou frauduleusement, auquel cas le plafond prévu n’est pas applicable.

 

Il indique également, en son alinéa 3, 2°, que lorsque le payeur n’a pas agi frauduleusement ni n’a manqué intentionnellement aux obligations qui lui incombent en vertu de l’article 31, il ne supporte, par dérogation à ce qui précède, aucune perte si l’instrument de paiement a été copié par un tiers ou a été indûment utilisé pour autant que le payeur était, au moment de l’opération contestée, en possession de l’instrument de paiement. Selon les travaux préparatoires (Doc.parl., Chambre, 52, 2179/001, p.71), sont visées l’hypothèse de la contrefaçon de l’instrument et par analogie celle où l’instrument physique n’est pas contrefait mais où certaines données sont copiées ou des systèmes piratés (« hacking »).

 

L’article 37, § 3, indique que la charge de la preuve en matière de fraude, d’intention ou de négligence grave incombe au prestataire de services de paiement. Pour l’appréciation de la négligence, le juge tient compte de l’ensemble des circonstances de fait.

 

En l’espèce, la requérante affirme ne pas avoir communiqué son code secret et le mot de passe de son lecteur de carte, ce qui n’est pas contesté.

 

En revanche, il convient d’observer que :

-      la requérante a été contactée par téléphone par un inconnu;

-      elle a accepté, à la demande de cet inconnu, d’utiliser sa carte de banque et son lecteur de carte;

-      elle a introduit, dans son lecteur de carte, son code secret et elle a fourni à l’inconnu le résultat chiffré fourni par son lecteur de carte;

-      elle a procédé de la sorte à huit reprises;

-      elle est une utilisatrice régulière de Home Bank en sorte qu’elle n’ignore pas que la réponse fournie par le lecteur de carte ne peut être obtenue qu’au départ de son code secret;

-      son attention a en outre expressément été attirée par la banque, dans un message personnalisé, sur l’existence de fraudes et la recommandation de ne jamais communiquer, par téléphone ou par mail, d’informations personnelles ou de code (response, code secret, …).

 

Au regard de ces éléments, le Collège est d’avis, en l’espèce, qu’en communiquant par téléphone à un inconnu des informations qui ne peuvent qu’être obtenues au moyen de l’utilisation de sa carte de banque et de son code secret, la requérante n’a pas pris toutes les mesures de nature à préserver la sécurité de l’instrument de paiement et de ses dispositifs de sécurité personnalisés et qu’elle a donc commis une négligence grave. Dès lors que la réponse à un challenge donné ne peut être obtenue qu’à l’aide de la carte et en introduisant son code secret, communiquer le résultat correspondant revient à communiquer ce que l’on ne peut obtenir qu’au moyen du code secret.

 

Dans les circonstances particulières de l’espèce, il ne peut pas davantage être retenu que l’instrument de paiement aurait été indûment utilisé au sens de l’article 37, § 1, alinéa 3, 2° de la loi. En effet, si la carte de banque est restée en possession de la requérante, il demeure que le concours de cette dernière a été nécessaire. Ce n’est que grâce à la participation de la requérante que le fraudeur est arrivé à ses fins. Il n’est pas question, dans le cadre de la présente fraude, de données copiées ou des systèmes informatiques piratés, comme rappelé ci-avant.

 

III. CONCLUSION

 

Le Collège considère dès lors que la demande d’indemnisation de la requérante est recevable mais non fondée.