La responsabilité des entités financières dans le phishing constitue dans certains cas un filet de sécurité pour les fraudeurs. Il y a quelques jours ont été publiées les conclusions de l'avocat général de la CJUE (étape préalable à la conclusion du contentieux) sur la responsabilité des institutions financières dans les cas de phishing.

Le cas, à notre grand regret, est qu'un client va acheter sur un site Web et il s'avère qu'il s'agit d'un clone de celui-ci et qu'après avoir transmis les données de la passerelle de paiement, le pirate informatique avait déjà obtenu les données de la victime. Après avoir reçu ces données, le pirate informatique a effectué un virement vers un numéro de compte pour lequel aucune information n'a pu être obtenue.

Une fois l'erreur détectée, la victime a déposé une plainte auprès des autorités compétentes et en a informé son institution financière. Suite à la plainte de la victime, la banque a refusé de restituer l'argent, alléguant une grave négligence de la part de l'utilisateur lors de la saisie de ses données sur la fausse page. Ce qui nous amène à la question :

Existe-t-il une quelconque responsabilité des institutions financières dans ces cas de phishing ?

L'avocat général conclut que, conformément à la directive sur les services de paiement (UE) 2015/2366 (PSD2), la banque ne peut refuser le remboursement immédiat du montant de la transaction non autorisée en raison d'une négligence grave de la part du client. Cependant, ce n'est pas un moyen gratuit de toujours se plaindre auprès des institutions financières, mais elles pourront plutôt réclamer la restitution de ces sommes.

Dans un premier temps, la banque doit rembourser immédiatement le montant de la transaction non autorisée, à moins qu'elle n'ait des motifs raisonnables de soupçonner une fraude de la part du client et qu'elle en informe l'autorité compétente.

Dans un deuxième temps, une fois le remboursement effectué, la banque pourra ultérieurement réclamer des pertes au client si elle démontre que celui-ci a, délibérément ou par négligence grave, manqué à ses obligations de sauvegarde des éléments de sécurité. Toutefois, la charge de la preuve de la négligence de son client incombe à l'institution financière.

Quoi qu’il en soit, il convient de rappeler que les conclusions de l’avocat général ne sont pas contraignantes pour la Cour de justice, donc l’avis de la Cour peut finir par différer des conclusions, il faut donc en être conscient.

Antoni Mut

MONLEX Avocat

amut@monlexabogados.es

★★★★★

Je me présente comme la responsable de rédaction spécialisée dans le tourisme culturel, un rôle qui me permet de marier mon intérêt profond pour l'exploration culturelle à ma passion pour l'écriture, depuis maintenant 5 ans. Chaque jour, je suis déterminée à révéler des histoires fascinantes et à promouvoir des destinations enrichissantes qui attendent d'être découvertes par les amateurs de culture du monde entier.