Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Phishing : négligent, un client d’une banque doit assumer les prélèvements frauduleux

Vous allez me le payer
Droit 3 min
Phishing : négligent, un client d’une banque doit assumer les prélèvements frauduleux
Crédits : weerapatkiatdumrong /iStock/ThinkStock

En appel, une banque a été tenue d'assumer un prélèvement frauduleux de plus de 7 000 euros suite à une vague d’hameçonnage visant un client. La Cour de cassation a invalidé la décision, précisant les obligations de vigilance pesant sur la victime. 

Le phishing est une bête noire dans le secteur bancaire. Pour le client, qui peut si facilement tomber dans le piège d’un email frauduleux imitant une communication officielle. Pour l’établissement, qui sait que le Code monétaire et financier est intraitable. Il exige en particulier la démonstration d’une faute grave de la victime. À défaut ? C’est à lui d’en assumer les frais.

7 000 euros prélevés chez un client non avisé

Une affaire opposait un client du Crédit Mutuel (M.X). Il s’était fait ponctionner plus de 7 000 euros suite à une vague d’hameçonnage en 2012. Il avait reçu plusieurs mails prétendument de sa banque, accompagnés d'un « certificat de sécurité à remplir attentivement », ce qu’il a fait.

Il a même été jusqu’à demander à sa banque « la communication de sa nouvelle carte de clefs personnelle pour pouvoir renseigner complètement le certificat litigieux ». De ce fait, le fraudeur avait pu récupérer l'ensemble des données personnelles qui lui ont permis de profiter du système de paiement 3D Secure.

Le 19 avril 2016 cependant, la Cour d’appel d’Amiens a considéré que la banque devait rembourser ces prélèvements frauduleux. En effet, « seul un examen vigilant des adresses internet changeantes du correspondant ou certains indices, comme les fautes d'orthographe du message » étaient de nature à interpeller le client. Or, un tel examen a été jugé inaccessible par un client non avisé.

C’est d’autant plus vrai que M. X. ne se connectait presque jamais à sa banque et ignorait ses différentes alertes de phishing. Les juges d’appel en ont ainsi déduit que « c'est à son insu que [le client] a fourni les renseignements qui ont permis les opérations frauduleuses sur son compte ». Mieux : cette transmission n’est en rien constitutive d’une faute grave, car un client « normalement » attentif pouvait ne pas percevoir « les indices propres à faire douter de la provenance des messages reçus ».

Des indices dans les yeux de l’utilisateur normalement attentif

Dans un arrêt du 28 mars 2018, signalé par Legalis.net, la Cour de cassation n’a pas eu la même analyse. Saisie par la banque, elle pose que « manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l'utilisateur d'un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu'il soit, ou non, avisé des risques d'hameçonnage ».

Dit autrement, un mail de phishing qui contient des traces suspicieuses d’une arnaque (par exemple une URL mal formée ou des fautes), doit immédiatement phosphorer chez le client normalement attentif, quand bien même celui-ci n’a pas été alerté des risques de mails frauduleux. Cette obligation est la conséquence de son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés, prévue par les articles L. 133-16 et L. 133-17 du code monétaire et financier.

Le 18 janvier 2017, la Cour de cassation avait également rappelé qu’il revient au prestataire « de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations ».

Et « cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ». En particulier, une banque ne pouvait invoquer l’hypothèse d’un phishing pour se dédouaner, elle devait en apporter la démonstration. 

108 commentaires
Avatar de wpayen Abonné
Avatar de wpayenwpayen- 20/04/18 à 08:03:57

Signaler ce commentaire aux modérateurs :

C'est une bonne chose.
Il n'est pas correct que la justice considère normal que les gens soient cons.

Avatar de bilbonsacquet Abonné
Avatar de bilbonsacquetbilbonsacquet- 20/04/18 à 08:13:09

Signaler ce commentaire aux modérateurs :

wpayen a écrit :

Il n'est pas correct que la justice considère normal que les gens soient cons.

Sauf qu'il y a des "vrai" organismes qui envoient des emails plein de fautes et avec des adresses à la c**… cela devient de plus en plus difficile de démêler le vrai du faux…

Avatar de revker INpactien
Avatar de revkerrevker- 20/04/18 à 08:13:37

Signaler ce commentaire aux modérateurs :

Par défaut, ne jamais cliquer sur un lien provenant d'un mail. Se rendre soi-même sur le site idoine.
 

Avatar de anonyme_7c080d0b57a30a99451672cfc228f71f INpactien

Signaler ce commentaire aux modérateurs :

Le Crédit Mutuel Nord Europe, La Banque Postale , avec leurs mots de passe à 6 chiffres et régulièrement dénoncés par l'AFUB (Association française des usagers des banques)...

Édité par Radithor le 20/04/2018 à 08:15
Avatar de Keizo Abonné
Avatar de KeizoKeizo- 20/04/18 à 08:15:43

Signaler ce commentaire aux modérateurs :

Ouais enfin la...
Donner ton login et mot de passe de ton compte en ligne.
Donner tout les numéros de ta carte de clefs personnelle.

Y'a un moment quand un mec dans la rue se fais passer pour un conseiller de ta banque et te demande ta carte bancaire et ton code associé et que tu lui donnes faut pas se plaindre.

Avatar de GérardMansoif Abonné
Avatar de GérardMansoifGérardMansoif- 20/04/18 à 08:16:51

Signaler ce commentaire aux modérateurs :

bilbonsacquet a écrit :

Sauf qu'il y a des "vrai" organismes qui envoient des emails plein de fautes et avec des adresses à la c**… cela devient de plus en plus difficile de démêler le vrai du faux…

Solution? Ne pas répondre.
Ca m'est déjà arrivé et j'ai pris en malin plaisir à expliquer qu'il fallait bosser sérieusement. Ca peut même devenir un argument de mauvaise foi.

Avatar de eglyn Abonné
Avatar de eglyneglyn- 20/04/18 à 08:20:31

Signaler ce commentaire aux modérateurs :

Ben par défaut ne jamais prendre un mail de la banque au sérieux (surtout avec un lien), s'ils veulent vraiment te contacter, ils te téléphoneront.

Avatar de hellmut Abonné
Avatar de hellmuthellmut- 20/04/18 à 08:22:47

Signaler ce commentaire aux modérateurs :

surtout en général tu as une messagerie sur le site de la banque.
du coup la banque ne te contacte jamais par mail (à part pour du marketing éventuellement).
je ne reçois aucun mail non sollicité de ma banque.

Avatar de eglyn Abonné
Avatar de eglyneglyn- 20/04/18 à 08:23:29

Signaler ce commentaire aux modérateurs :

oui c'est pour ça que la plupart des banques ont des messageries internes

Avatar de Haken Trigger Abonné
Avatar de Haken TriggerHaken Trigger- 20/04/18 à 08:23:57

Signaler ce commentaire aux modérateurs :

Pour le hameçonnage, je suis plutôt pour mettre la faute sur le client. Il n'est pas compliqué d'avoir à l'esprit que :

1) les banques communiquent régulièrement sur les mails frauduleux
2) elles répètent sans arrêt que JAMAIS elles ne demanderont d'infos personnelles ou sur le compte par simple mail
3) si le client clique partout, la banque n'y est pour rien
4) si le mail contient trop de fautes, des soucis d'affichage ou que la boîte mail la classe comme indésirable, c'est qu'il y a (souvent) une raison
5) si le lien a une forme bizarre, faut se méfier
6) un coup de fil à la banque pour demander confirmation, ou de l'aide à un proche qui s'y connaît en ca de doute, c'est pas dur.

Certains diront "c'est trop de trucs à retenir", je répondrai sincèrement "pas la faute de la banque si vous êtes idiots" pour rester poli. Je ne vois honnêtement pas pourquoi la banque devrait casquer pour la connerie des gens.

Il n'est plus possible de commenter cette actualité.
Page 1 / 11