De l’importance de l’authentification forte en cas d’opération de paiement non autorisée

Les directives concernant les services de paiement dans le marché intérieur 2007/64/CE du 13 novembre 2007 et (UE) 2015/2366 du 25 novembre 2015, dites DSP1 et DSP2, sont au cœur d’un dispositif protecteur capital en droit économique de l’Union.

Les arrêts rendus à ce titre sont donc particulièrement importants pour cerner les contours du dispositif avec précision notamment pour les achats en ligne (v. à ce titre, Com. 9 févr. 2022, n° 17-19.441 FS-B, Dalloz actualité, 14 févr. 2022, obs. C. Hélaine ; D. 2022. 276 ; Rev. prat. rec. 2022. 19, chron. S. Piédelièvre ; 30 nov. 2022, n° 21-17.614 F-B, Dalloz actualité, 6 déc. 2022, obs. C. Hélaine; D. 2022. 2156 ; RTD com. 2023. 201, obs. D. Legais ; 1^er juin 2023, n° 21-19.289, F-B, Dalloz actualité, 6 juin 2023, obs. C. Hélaine ; D. 2023. 1116 ). La décision rendue le 30 août 2023 par la chambre commerciale de la Cour de cassation permet de nouveau de mesurer l’intérêt du système d’authentification forte prévue par la directive DSP2 au moment d’un paiement sur internet (pour la présentation en détail du mécanisme, M. Mignot, J. Lasserre Capdeville, M. Storck, N. Éréséo et J.-P. Kovar, Droit bancaire, 3^e éd., Dalloz, coll. « Précis », 2021, p. 714 s., n° 1461 s.). La solution intéressera les services juridiques des établissements bancaires qui opposent parfois des refus plus ou moins justifiés à leurs clients victimes de fraude.

Tout commence par une situation d’apparence, il faut bien le dire, assez banale. Une personne physique reçoit un appel téléphonique et un message d’un pirate se faisant passer pour un employé de la société bancaire dans laquelle il dispose d’un compte courant. Le faux employé lui demande, lors de l’appel et du message, son code « 3D secure » (un des systèmes de double authentification pour sécuriser les achats sur internet). Peu de temps plus tard, le 27 janvier 2020, un achat non réalisé par le titulaire du compte est constaté...