Marie Bourdellès
Le remboursement n’est pas automatique
Pour la deuxième fois en quelques mois, la Cour de cassation a donné raison à une banque qui plaidait la négligence d'un client victime d'hameçonnage pour ne pas le rembourser. Une décision qui invite à redoubler de vigilance face aux courriers électroniques malveillants.
Dans un arrêt rendu récemment, la Cour de cassation donne une nouvelle fois raison à un établissement bancaire qui refuse de rembourser une victime d'hameçonnage (ou phishing). Cette fois, la haute juridiction statue sur la négligence grave de monsieur X., client du Crédit mutuel de Beauvais, qui a fourni à une personne malveillante ses données personnelles, pensant répondre à un courrier électronique de sa banque, très bien imité.
Cette personne a en effet reçu trois messages, censés provenir du Crédit mutuel, logo très bien falsifié à l'appui, lui demandant de transmettre ses données bancaires et ses codes d'accès. Il s'est exécuté, pensant bien faire, et a même demandé à sa banque de lui fournir une nouvelle carte de clés personnelles pour renseigner correctement le prétendu « certificat de sécurité ». Les escrocs qui se cachaient derrière ce courrier ont alors effectué des achats en ligne par carte bleue pour un montant de 2 731,98 €, parvenant à se procurer le code 3D-Secure pourtant envoyé sur le téléphone personnel de la victime, et un virement de 4 500 € sur son livret bleu.
La cour d'appel d'Amiens a précisé qu'il n'y avait pas négligence dans la mesure où monsieur X., qui se connectait rarement au site de sa banque, n'a pas vu les messages de mise en garde contre le phishing et n'était pas à même de détecter le contenu malveillant (adresses de l'expéditeur différentes et fautes d'orthographe), arguant de la « totale naïveté » du plaignant. Elle a ainsi condamné le Crédit mutuel de Beauvais à procéder au remboursement intégral des opérations frauduleuses.
La Cour de cassation vient casser et annuler ce jugement, au titre des articles L. 133-16 et L. 133-19 du code monétaire et financier. Ce dernier article stipule notamment que le payeur « supporte toutes les pertes occasionnées par des opérations de paiement non autorisées » en cas de négligence grave. La haute juridiction indique que le client a manqué « à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés » (article L. 133-16). Elle juge qu'il y a négligence grave car l'utilisateur a transmis des données personnelles, alors même que le message contenait des indices concernant son caractère frauduleux, « peu important qu'il soit, ou non, avisé des risques d'hameçonnage ». L'affaire est renvoyée devant la cour d'appel de Rouen.
Cette décision rappelle que l'acquittement des personnes victimes d'actes bancaires illicites à la suite d'une opération de phishing n'est pas automatique. Si la banque parvient à prouver la négligence du client, elle n'est pas tenue de le rembourser.
Comment éviter l'arnaque de l'hameçonnage
Les faux courriers électroniques, censés émaner d'établissement officiels (banque, assurance maladie, opérateur téléphonique…) sont nombreux. Afin d'éviter d'être victime de phishing, vérifiez l'adresse de l'expéditeur et contactez l'organisme concerné pour vous assurer qu'il est bien à l'origine du message.
Quoi qu'il en soit, ne communiquez jamais vos coordonnées bancaires et codes d'accès en réponse à un mail.
S’il est trop tard, la plateforme officielle Cybermalveillance.gouv.fr vous aide à savoir comment réagir et qui contacter. Le portail Web émanant du ministère de l’Intérieur vous permet de signaler une tentative de phishing (Internet-signalement.gouv.fr).