L'Observatoire de la sécurité des moyens de paiement a récemment publié le 16 mai 2023 des recommandations face aux refus des banques de rembourser leurs clients au titre de fraudes.
Les banques allèguent généralement que toute opération faisant l'objet d'une authentification forte ne peut laisser de doute sur le caractère autorisé de l'opération bancaire. Elles viendront également très vite chercher votre responsabilité, notamment s'il y a eu phishing, au titre de votre grave négligence.
Les montants fraudés sont parfois importants, et comme par hasard les fraudes ont souvent lieu durant les week-ends à des moments où nou sommes moins vigilants, en famille et avec les agences bancaires fermées.
Les recommandations publiées sont très intéressantes en ce qu'elle donne un vrai vade-mecum sur l'argumentaire juridique à développer, y compris lorsque les opérations bancaires ont fait l'objet d'une authentification forte.
Est notamment rappelé aux banques (Recommandation n°6):
Lorsqu’un client conteste une opération de paiement qu’il nie avoir autorisée et que cette opération a été authentifiée de manière forte, le prestataire de services de paiement doit procéder dans le délai d’un jour ouvré à une première analyse de cette opération.
Cette analyse vise à apprécier, en prenant en compte les 3 familles de paramètres mentionnées ci‐après, si l’utilisateur est susceptible d’avoir consenti à l’opération ou s’il s’agit d’une opération non autorisée :
1‐ les paramètres techniques associés à l’opération (tels que l’origine de la transaction, le terminal utilisé pour l’achat ou la connexion à la banque en ligne, la localisation géographique…), pour évaluer la possibilité que l’utilisateur en soit à l’origine ;
2‐ les modalités de l’authentification forte mise en œuvre (tel que le type de solution, intégrité des facteurs d’authentification et du canal de communication, la preuve d’une utilisation précédente de la solution par l’utilisateur ou au contraire caractère récent de l’enrôlement…), pour s’assurer du rôle effectif de l’utilisateur ;
3‐ les éléments de contexte dont il dispose : tels que les informations délivrées à l’utilisateur lors de l’authentification (cf. recommandation n°11), les éventuelles alertes liées à l’opération et adressées à l’utilisateur par différents canaux de communication, les éléments rapportés par l’utilisateur (cf. recommandation n°8), tels que les procédés manipulatoires auxquels il a pu être confronté.
En cas de fraude et d'opérations non autorisées, il ne faut pas hésiter à contester et à franchir la porte de nos cabinets pour que nous puissions trouver avec vous les bons arguments à soulever dans votre dossier.
Pas de contribution, soyez le premier