Victime d’hameçonnage ou phishing : peut-on contester un prélèvement bancaire ?

Quelques précautions à prendre pour détecter le phishing

Vous avez déjà probablement reçu un mail qui semble provenir de votre banque, qui vous indique qu’il est nécessaire de mettre à jour votre compte ou qu’un paiement est en attente de validation, ou un mail des impôts vous indiquant être éligible à un remboursement.

Ces messages sont en réalité des mails frauduleux ou phishing qui cherchent à obtenir vos coordonnées bancaires afin de réaliser des opérations à votre insu.

En matière de responsabilité, il faut savoir que la responsabilité de la banque n’est pas toujours retenue.

Le principe : le client n’est pas responsable en cas de détournement ou de contrefaçon

Au titre de l’article L. 133-16 du monétaire et financier, il appartient à l’utilisateur du service (le client) de prendre "toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées".

L’article L. 133-19 II du Code monétaire et financier indique que "la responsabilité du payeur n'est pas engagée si l'opération de paiement non autorisée a été effectuée en détournant, à l'insu du payeur, l'instrument de paiement ou les données qui lui sont liées. Elle n'est pas engagée non plus en cas de contrefaçon de l'instrument de paiement si, au moment de l'opération de paiement non autorisée, le payeur était en possession de son instrument".

Une exception : la négligence du client ou l’acte intentionnel

L’article L. 133-19 IV précise que "le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17".

Il appartient à la banque de prouver la négligence grave de son client. Le simple fait que les identifiants sécurisés ont été utilisées par un tiers ne permet pas de caractériser la faute du client.

En effet, il appartient à la banque, d’établir que le tiers ayant utilisé le moyen de paiement a obtenu les informations via une tentative d’hameçonnage.

Ainsi, à défaut de pouvoir prouver que le client a divulgué lui-même ses informations au tiers, la banque devra le rembourser comme l’a rappelé la Cour de cassation le 28 janvier 2017 (pourvoi n° 15-18102).

Par conséquent, l’aveu d’envoi de données personnelles par le client ou la production d’un mail présentant des caractères grossiers permettra à la banque de ne pas rembourser son client.

Ainsi, la Cour de cassation dans un arrêt du 28 mars 2018 (pourvoi 16-20.018), a rappelé qu'il y a négligence grave lorsque "l’utilisateur d’un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu’il soit, ou non, avisé des risques d’hameçonnage".

Concernant un paiement validé par le 3D Secure : la Cour de cassation, dans un arrêt du 25 octobre 2017 (pourvoi 16-11.644), estime qu’il y a négligence grave si le titulaire de la carte a conscience que le courriel qu’il a reçu est frauduleux et qu’il a communiqué son nom, son numéro de carte bancaire, la date d’expiration de celle-ci et le cryptogramme figurant au verso de la carte, ainsi que des informations relatives à son compte SFR permettant à un tiers de prendre connaissance du code 3D Secure.