La Banque de France à travers son « Observatoire de la sécurité des moyens de paiement » a émis le 16 mai 2023 des recommandations claires sur le remboursement des victimes de fishing à l’attention des banques, leur enjoignant de respecter le droit applicable et de rembourser les clients victimes de phishing dès lors qu’aucune négligence grave de ces derniers ne peut être démontrée.
En cas de phishing, les banques doivent rembourser !
En cas de phishing, le droit des opérations de paiement est très protecteur pour le payeur. Lorsqu'une opération bancaire non autorisée est effectuée par une banque après qu'un tiers a obtenu les identifiants du titulaire du compte, l'établissement bancaire doit immédiatement rembourser le payeur pour rétablir le solde du compte dans l'état où il se serait trouvé si l'opération non autorisée n'avait pas eu lieu.
Le payeur ne doit supporter les pertes liées à des opérations de paiement non autorisées que s'il n'a pas respecté, par négligence grave, les obligations de sécurisations de ses données personnelles. De plus, la preuve d’une telle négligence incombe à l’établissement bancaire et ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles liées au titulaire du compte ont été effectivement utilisées.
La Banque de France dans son communiqué a rappelé utilement ces principes en la matière alors que dans la pratique les banques ne manquaient pas de rechercher systématiquement la négligence grave de leurs clients pour éviter de procéder au remboursement de la somme débitée en leur reprochant d'avoir répondu à un message frauduleux et communiqué un certain nombre d'informations « sensibles » afin de les décourager dans leurs démarches de remboursement.
Les banques régulièrement condamnées devant les juridictions
Les plus téméraires d’entre eux, en exerçant des recours judiciaires parviennent toutefois à faire appliquer la loi. Ainsi il est régulièrement jugé qu’une banque ne saurait démontrer la faute caractérisée de sa cliente, susceptible de l'exonérer de sa responsabilité, en se bornant à la déduire du piratage de son adresse électronique ou de la connaissance par les pirates de la signature du dirigeant ou du numéro de compte social, « tous ces renseignements pouvant être obtenus aisément par des malfaiteurs habiles. »
Des décisions ont également souligné qu’il revenait aux banques de démontrer que leur plateforme « serait totalement inviolable et qu'il ne serait pas possible à un tiers, par une opération frauduleuse, de récupérer les données personnelles et confidentielles du titulaire du compte, en ce compris les données figurant sur la carte de code ci-dessus évoquée. »
Aussi, la Banque de France rappelle également la nécessaire vigilance à laquelle doivent être sensibles les consommateurs comme les entreprises, et enjoint les établissements bancaires à renforcer leur système de sécurisation de leurs plateformes afin de s’assurer du consentement des titulaires du compte.
Alexandre Lazarègue,
Avocat spécialisé en droit du numérique,
---
A lire aussi :
Présomption de démission pour abandon de poste, que dit le décret ?