Hameçonnage, conditions d’une prise en charge des pertes financières par la banque

Par Jean-Marin LEROUX-QUETEL
Avocat associé
Docteur en droit

Mise à jour du 23 mars 2022

L’hameçonnage (ou phishing) est une technique utilisée par les fraudeurs pour obtenir d’une victime les renseignements personnels (identifiant, mot de passe, numéro de carte de crédit, code secret, etc.) nécessaires à l’autorisation d’un paiement à leur profit en lui faisant croire qu’elle s’adresse à un tiers de confiance (sa banque, une administration ou encore un proche).

Dans une telle hypothèse et s’agissant d’une opération non autorisée par l’utilisateur, c’est à la banque de supporter la perte qui en résulte sauf à ce que cette perte résulte d’une faute intentionnelle ou d’une négligence grave de la victime (article L. 133-19 IV. du Code monétaire et financier).

Or l’utilisateur doit, dès qu’il reçoit un instrument de paiement, prendre « toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées » (article L. 133-16 du Code monétaire et financier).

Dès lors qu’il se laisse convaincre de remettre ses données de sécurité à un tiers, l’utilisateur victime peut-il se retourner contre sa banque ?

Oui, il lui suffit de déclarer à l’établissement bancaire qu’il n’a pas autorisé l’opération quand bien même elle a été régulièrement authentifiée au moyen des données de sécurité transmises par l’utilisateur au fraudeur.

L’établissement de crédit doit alors, pour ne pas supporter la perte résultant d’une opération non autorisée, rapporter la preuve que l’hameçonnage aurait pu être évité avec un minimum de vigilance (par exemple la présence de nombreuses fautes d’orthographe dans le corps du texte adressé par le fraudeur ou encore le caractère totalement incongru de son message).

Voir par exemple : Cour de cassation, Chambre commerciale, 2 juin 2021, n° 19-19.577.

La solution est sévère pour l’établissement bancaire en mesure de rapporter la preuve que l’opération a été correctement authentifiée puisque réalisée à partir des données de sécurité fournies à son client. Elle est cependant conforme à la lettre de l’article L. 133-23, alinéa 2, du Code monétaire et financier qui ne permet pas de présumer dans une telle hypothèse que l’utilisateur a commis une faute intentionnelle ou une négligence grave.

La jurisprudence est ainsi favorable aux victimes d’hameçonnage à condition toutefois qu’elles aient dans leurs comportements fait preuve d’un minimum de prudence.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Retour en haut