Dans nos précédents articles, nous rappelions les principes applicables en cas de phishing.
La jurisprudence récente revient sur ces principes et permet d’enrayer la tendance qui consiste, pour une victime de fraude, à faire appel à son établissement bancaire afin d’obtenir un remboursement automatique des sommes dérobées.
Aperçu de certaines décisions récentes
- Anvers, 5 novembre 2020
La cour d’appel d’Anvers a confirmé un décision rendue en première instance, en rappelant notamment les obligations pesant sur l’utilisateur d’un instrument de paiement telles que visées à l’article VII.38 du Code de droit économique : utilisation de l’instrument de paiement conformément aux conditions régissant l’émission et l’utilisation de cet instrument de paiement ; obligation d’informer sans délai en cas de perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ; obligation de prendre toutes les mesures raisonnables afin de préserver la sécurité de l’instrument de paiement et de ses données de sécurité personnalisées).
Pour la cour, un faisceau d’éléments aurait dû attirer l’attention du client, malgré ses 89 ans, lors des faits : l’e-mail d’hameçonnage ne reprenait pas le logo de la banque et l’appel téléphonique subséquent avait été réitéré un samedi, alors que le sujet ne revêtait aucune urgence. L’ignorance de ces éléments, combinée à la transmission des codes personnels du client, sont autant de négligences graves entraînant une responsabilité illimitée du client.
Quant au grand âge de la victime, la cour d’appel a rappelé que la négligence grave s’apprécie selon le critère du comportement d’un utilisateur de services de paiement normalement prudent et diligent, placé dans les mêmes circonstances externes. Ainsi, pour la cour, il ne peut être tenu compte des caractéristiques propres de l’utilisateur de services de paiement telles que l’âge. La cour développe son propos en indiquant qu’il y a négligence dès que l’on s’écarte du comportement attendu de tout client faisant usage d’un système de paiement électronique. En l’espèce, la victime avait conclu, depuis plusieurs années, un abonnement aux services de paiement électroniques de la banque et faisait usage de ces services, de sorte qu’il devait être considéré comme tout autre utilisateur “normal” de services de paiement.
- Liège, 9 janvier 2020
Devant la cour d’appel de Liège, une cliente de banque avait été victime d’une fraude informatique après avoir été contactée par plusieurs personnes anglophones et se présentant comme des responsables de la société « Windows ». Ces derniers l’avaient convaincue d’acquérir un logiciel de protection informatique d’une valeur de 25 EUR. Lors de l’ouverture du logiciel en même temps que le site de la banque, elle avait procédé au paiement du montant précité au moyen de son logiciel de banque à distance habituellement utilisé. Dans les heures ayant suivi, les mots de passe avaient été changés, la cliente procédant au blocage de ses comptes par téléphone, s’apercevant ensuite que son compte bancaire avait été débité d’un montant important. L’opération de débit avait été validée par une signature de type UCR, soit par le biais d’un lecteur de carte.
En première instance, le tribunal avait fait droit à la demande de la cliente de voir la banque supporter le montant de la fraude, sous déduction du forfait prévu par la loi.
En appel, la cour a estimé que le débit litigieux ne pouvait s’expliquer autrement que par la communication par la cliente, aux auteurs de la fraude, des codes nécessaires à la création d’une signature électronique correspondant à un virement du montant débité, et que ces codes ne pouvaient être obtenus que par l’introduction, dans le lecteur de carte de la cliente, des données correspondant à une transaction de ce montant, comprenant le montant de l’opération et une combinaison du numéro de compte du bénéficiaire. Le lecteur de carte était toujours resté en possession de la victime, la cour a estimé que le « piratage à distance des données de la carte » n’était étayé par aucune expertise technique accréditant la vraisemblance de cette hypothèse.
Conformément aux dispositions du Code de droit économique, l’opération de virement a été considérée comme autorisée, le consentement de la cliente ayant été donné dans les formes convenues entre cette dernière et la banque et conformément à la procédure décrite dans les conditions générales.
La cour retient également la négligence grave de la cliente, le paiement n’ayant pu être réalisé qu’avec le concours de cette dernière qui aura soit communiqué ses codes aux fraudeurs, soit les aura encodés directement sur les instructions de ces derniers. La cour relève enfin les mêmes éléments factuels que dans l’arrêt précédemment commenté, étant entendu l’existence de nombreux avertissements et recommandations en tous genres dont l’ignorance est constitutive d’une négligence grave.
- Tribunal de Première instance d’Anvers, 16 mars 2022
Les comptes bancaires du client avaient été débités suite à une arnaque par phishing dans le cadre d’une demande de paiement de frais de port supplémentaires. Les fraudeurs avaient redirigé le client vers un site frauduleux de la banque.
Le tribunal a retenu la négligence grave dans le chef de la victime car elle avait reconnu avoir trouvé les faits suspects, mais avait poursuivi la transaction. Elle avait par ailleurs reçu une notification explicite de la banque concernant la connexion d’un nouvel appareil.
- Tribunal de Première instance d’Anvers, 4 avril 2022
Deux clients de la banque avaient été victimes de phishing dans le cadre d’un achat en ligne. Au cours du processus d’achat, le fraudeur avait réussi à obtenir certaines données des clients et à installer une application bancaire en ligne. Un montant total de 22.428,61 € avait été subtilisé sur divers comptes bancaires des clients.
Le tribunal a retenu la négligence grave des clients qui auraient pu détecter la supercherie car plusieurs éléments auraient dû les alerter, notamment le fait qu’on leur ait envoyé un lien pour effectuer un paiement et que la page vers laquelle ils ont été dirigés ne contenait aucune référence à la banque.
- Tribunal de l’entreprise francophone de Bruxelles, 9 mai 2022
Le client s’était rendu dans une salle de sport et avait déposé ses affaires (dont sa carte de paiement, son GSM, …) dans un casier. Après avoir quitté la salle de sport, il avait reçu un sms de la banque l’avertissant qu’un nouveau profil a été créé avec ses données, l’invitant à contacter le help desk en cas de problème. Plusieurs opérations (retraits et virement) avaient été effectuées.
Toutefois, la victime avait reconnu que son code PIN était composé des derniers numéros de son GSM, ce qui pouvait expliquer comment le fraudeur avait pu effectuer des retraits. Le tribunal a retenu la négligence grave.
- Tribunal de Première instance d’Anvers, 20 mai 2022
Le 23 décembre 2020, le client avait répondu à un message de phishing concernant la demande d’un nouveau digipass. Le client avait été contacté après 23h par téléphone et avait transmis ses coordonnées aux fraudeurs peu avant et après minuit. Un montant de 50.000 euros avait été dérobé. Le tribunal a retenu la négligence grave.
- Tribunal de Première instance d’Anvers, 29 juin 2022
Le client avait répondu à un e-mail de phishing concernant un digipass. Il avait ensuite été en contact avec les fraudeurs et avait révélé ses codes secrets pour le digipass et le SMS.
Le tribunal a jugé qu’en validant les virements par la transmission des codes SMS d’étape par téléphone, le client avait donné son accord à ces transactions. En conséquence, le tribunal a jugé que les transactions étaient des opérations de paiement autorisées.
Laisser un commentaire