Pour refuser le remboursement d’opérations de paiement frauduleuses, la banque doit prouver l’existence d’une négligence grave de la part de l'utilisateur ainsi qu’une absence de déficience technique émanant d’elle.
Mme Y. a répondu favorablement à un email de hameçonnage lui demandant de communiquer diverses informations relatives à son compte bancaire, telles que le nom, le numéro, la date d’expiration et le cryptogramme rattachés à sa carte de paiement. Mme Y. a par la suite reçu deux messages par téléphone indiquant un code d’authentification afin de valider deux paiements sur internet non réalisés par elle. Mme Y. a alors fait opposition à sa carte bancaire. La banque C. et la banque F. ont refusé de rembourser le montant desdites opérations frauduleuses au motif que Mme Y. a commis une négligence grave dans la conservation des dispositifs de sécurité personnalisés mis à sa disposition, en violation de l'article L. 133-16 et de l'article L. 133-17 du code monétaire et financier dans leur rédaction issue de l’ordonnance du 15 juillet 2009. Mme Y. a contesté avoir transmis le code d’authentification autorisant les deux paiements.
Mme Y. a agi en justice aux fins de remboursement desdits paiements frauduleux. Le tribunal d’instance de Dunkerque, saisi de l’affaire sur renvoi après cassation, a fait droit à la demande de remboursement de Mme Y.
En application de l’article L.133-19, IV du code monétaire et financier dans sa rédaction issue de l’ordonnance du 15 juillet 2009, les juges du fond ont retenu qu’une négligence grave de la part de Mme Y. était effectivement qualifiée par le fait d’avoir transmis des informations personnalisées de sécurité en réponse à un email qui était manifestement frauduleux selon le critère de l’utilisateur normalement attentif.
Néanmoins, si un utilisateur nie avoir autorisé un paiement litigieux, l’article L. 133-23 du code monétaire et financier dans sa rédaction issue de l’ordonnance du 15 juillet 2009, dispose qu’en pareilles circonstances, le prestataire de services de paiement doit prouver que l’opération a bien été authentifiée, enregistrée et comptabilisée et qu'elle n'a pas été affectée d'une déficience technique. Or, le tribunal d’instance a souverainement retenu que la preuve d’une absence de déficience technique n’était pas rapportée. La banque C. (...)
