L’hameçonnage (ou phishing) est une technique utilisée par les fraudeurs pour obtenir d’une victime les renseignements personnels (identifiant, mot de passe, numéro de carte de crédit, code secret, etc.) nécessaires à l’autorisation d’un paiement à leur profit en lui faisant croire qu’elle s’adresse à un tiers de confiance (sa banque, une administration ou encore un proche).
Dans une telle hypothèse et s’agissant d’une opération non autorisée par l’utilisateur, c’est à la banque de supporter la perte qui en résulte sauf à ce que cette perte résulte d’une faute intentionnelle ou d’une négligence grave de la victime (article L. 133-19 IV. du Code monétaire et financier).
Or l’utilisateur doit, dès qu’il reçoit un instrument de paiement, prendre “toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées” (article L. 133-16 du Code monétaire et financier).
Dès lors qu’il se laisse convaincre de remettre ses données de sécurité à un tiers, l’utilisateur victime peut-il se retourner contre sa banque ?
Oui, il lui suffit de déclarer à l’établissement bancaire qu’il n’a pas autorisé l’opération quand bien même elle a été régulièrement authentifiée au moyen des données de sécurité transmises par l’utilisateur au fraudeur.
L’établissement de crédit doit alors, pour ne pas supporter la perte résultant d’une opération non autorisée, rapporter la preuve que l’hameçonnage aurait pu être évité avec un minimum de vigilance (par exemple la présence de nombreuses fautes d’orthographe dans le corps du texte adressé par le fraudeur ou encore le caractère totalement incongru de son message).
Voir par exemple : Cour de cassation, Chambre commerciale, 2 juin 2021, n° 19-19.577.
La solution est sévère pour l’établissement bancaire en mesure de rapporter la preuve que l’opération a été correctement authentifiée puisque réalisée à partir des données de sécurité fournies à son client. Elle est cependant conforme à la lettre de l’article L. 133-23, alinéa 2, du Code monétaire et financier qui ne permet pas de présumer dans une telle hypothèse que l’utilisateur a commis une faute intentionnelle ou une négligence grave.
La jurisprudence est ainsi favorable aux victimes d’hameçonnage à condition toutefois qu’elles aient dans leurs comportements fait preuve d’un minimum de prudence.