La Banque Postale condamnée à rembourser un virement frauduleux


le 30 avril 2013 vers 15 heures, Véronique O. se connecte sur le site Internet de la Banque Postale, où elle a son compte. Elle tape son identifiant et son mot de passe. Pour poursuivre sa connexion, dit-elle, elle doit reproduire un code de sécurité qu’elle vient de recevoir par SMS sur son téléphone portable.

Elle découvre alors qu’une somme de 2950 euros sera virée de son compte sur celui d’un certain Dmitry Silvian qu’elle ne connaît pas, au cours de la nuit. Elle appelle immédiatement son agence, pour lui demander de bloquer le virement. Cela n’est pas fait.

Véronique O. dépose une plainte à la gendarmerie, et demande à la banque le remboursement de la somme virée, en invoquant l’article L 133-4 du code monétaire et financier. Celui-ci dispose qu' »en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu ».

La Banque Postale refuse de rembourser sa cliente. Elle soutient qu’elle « a commis une faute ou négligence grave », lui ayant valu ce préjudice. Elle en en effet recopié sur Internet le code qui a autorisé le virement. Ce code aurait été envoyé « avec la précision qu’il lui permettait de valider l’inscription du bénéficiaire, Dmitry Silvian ».

La Banque Postale se prévaut d’un article de ses conditions générales selon lequel « l’utilisation du code de validation à usage unique constitue la preuve de l’identification du client et de son consentement au traitement de l’opération demandée. En conséquence, toute opération effectuée dans le cadre du présent service est présumée émaner du client. »

Sur le conseil de l’Association française des usagers des banques (Afub), Véronique O. saisit le tribunal d’instance de Lyon. Elle conteste toute faute de sa part, et assure que l’opération s’est faite sans son consentement, à la suite d’un détournement de ses données personnelles.

Le tribunal, qui a statué le 28 août, constate que Véronique O. « n’a jamais eu l’intention d’effectuer un tel virement ». Le fait qu’elle ait tapé le code reçu par SMS, « ayant en fait validé contre sa volonté la création du compte bénéficiaire Dmitry Silvian, ne peut constituer qu’un acte matériel ayant déclenché l’opération frauduleuse sans caractériser pour autant le consentement de Véronique O. au transfert des fonds litigieux ».

En outre, précise le tribunal, selon l’article L 133-23 du code monétaire et financier, il incombe au prestataire de services de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée d’une déficience technique ou autre. L’utilisation de l’instrument de paiement ne suffit pas à prouver que l’opération a été autorisée par le payeur.

Or, en l’espèce, la Banque Postale « se borne à soutenir que l’opération de paiement a été réalisée et enregistrée conformément à la procédure de sécurisation des transactions convenue ». Elle n’explique pas comment le système d’identification et de sécurisation utilisé par la banque a permis « à un tiers de se procurer illégitimement non seulement les identifiant, mot de passe et numéro de téléphone de la demanderesse mais également de se substituer à elle pour la création du compte  »bénéficiaire » frauduleux Dmitry Silvian et pour l’organisation du virement qui a été validé non intentionnellement ».

Le tribunal condamne donc la banque à rembourser les 2950 euros et à verser à sa cliente 150 euros de dommages et intérêts, pour « les tracas et la contrariété » que lui a occasionnés la « résistance à sa demande ».

On peut, comme le juge, se demander comment il se fait qu’un système sécurisé permette le détournement de l’identifiant et du mot de passe, l’obtention d’un numéro de téléphone ainsi que la création d’un virement, mais aussi pourquoi l’opération dénoncée à 15h30, pendant que les bureaux sont ouverts, n’est pas bloquée, et pourquoi enfin la Banque Postale n’en poursuit pas le bénéficiaire, dont elle a le nom et le numéro de compte.

[Mise à jour le 6 novembre : Huit personnes ont été interpellées aujourd’hui, et se trouvent en garde à vue à Toulouse et à Angers. Elles sont soupçonnées d’avoir détourné près de 600 000 euros de la Banque postale en profitant d’une faille dans le système Certicode pour mettre en place des virements frauduleux et ponctionner les comptes à l’insu de leurs titulaoires. Certains des individus interpellés étaient surveillés par la Direction générale de la sécurité intérieure pour leurs liens avec l’islamisme radical.]

Publicités

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :