Deux victimes de phishing, âgées de 62 et 89 ans ont recherché la responsabilité de la banque pour une fraude de plus de 50.000,00 €
Ils ont assigné leur banque devant le tribunal de première instance d’Anvers.
Les clients de la banque X avaient reçu un e-mail – très bien fait – prétendument adressé par son « service client », sollicitant qu’ils actionnent une procédure en ligne pour le remplacement de leur carte bancaire.
L’e-mail provenait d’une adresse «aanvraag@startprocedure.com», qui n’était aucunement liée à une adresse officielle de la banque X. L’e-mail ne mentionnait en objet que le mot « message », tandis que le corps dudit message faisait référence à la « non-ouverture de votre [Banque-X]-mail » (les clients ne disposaient pas d’une messagerie électronique liée à la banque X). La signature apposée en fin du mail litigieux mentionnait était renseignée comme provenant d’un « département des affaires personnelles ». L’adresse web vers laquelle pointait l’e-mail frauduleux était, pour sa part, non-sécurisée. Ultérieurement, l’un des clients avait été contacté téléphoniquement sur son numéro portable privé, ce qu’il déclarera dans son audition avoir trouvé « suspect ».
C’est lorsque les clients ont découvert que plus de 50.000,00 EUR avaient été détournés de leur compte qu’ils ont fait le rapprochement avec ces événements et pris contact avec leur banque.
La banque avait, de son côté, spontanément détecté les opérations frauduleuses : elle avait bloqué les comptes des clients et les avait avertis, ne parvenant cependant à récupérer qu’une partie du montant détourné.
Réalisant qu’ils avaient été victimes d’un phishing, les clients ont sollicité de leur banque d’intervenir pour les montants non-récupérés, sur base des dispositions de droit bancaire reprises dans le livre VII du Code de droit économique.
Le phishing en bref
Le « phishing » est une forme d’escroquerie par e-mail ou par SMS, par laquelle des pirates informatiques tentent d’obtenir les données personnelles des internautes, en vue d’une utilisation frauduleuse de celles-ci. Les pirates se font passer pour des entreprises connues, dans des messages qui paraissent aujourd’hui plus réels que jamais. Les banques et leurs clients sont évidemment une cible privilégiée. Voy. le lien ici.
Malgré la multiplication des avertissements par les autorités publiques et les grandes entreprises, financières ou non, certains clients tombent malgré tout dans le piège qui leur est tendu.
Que prévoit le droit bancaire en cas de phishing ? Quelle responsabilité pour la banque ?
Les principes de droit applicables en cas de phishing sont identiques à ceux applicables en cas de perte ou vol d’un instrument de paiement. En cas de perte, vol ou falsification d’un instrument de paiement, le titulaire de l’instrument ne supporte qu’une responsabilité limitée : elle est de 50 EUR pour les opérations intervenues avant que le titulaire n’avertisse sa banque des faits, et repose entièrement sur la banque pour toutes les opérations passées par la suite.
Exception à ce principe : si le client/titulaire se rend coupable d’un comportement frauduleux ou gravement négligent du titulaire, il supportera l’entière responsabilité des opérations critiquées.
Qu’entend-on par négligence grave d’un client bancaire ?
La négligence est une notion subjective laissée à l’appréciation du juge, mais il va de soi qu’il est attendu du titulaire d’un instrument de paiement qu’il fasse usage de celui-ci conformément aux conditions accompagnant son émission, qu’il prenne toutes les mesures raisonnables pour assurer la sécurité de l’instrument de paiement et la confidentialité des données qui y sont liées, et qu’il prévienne immédiatement l’émetteur (la banque) de toute perte, vol, utilisation illégale ou non-autorisée de l’instrument
Le Code de droit économique qualifie l’exemple suivant de négligence grave dans son article VII.44 §4 :
« Sont notamment considérées comme négligences graves visées au § 1er, le fait, pour le payeur de noter ses données de sécurité personnalisés, comme son numéro d’identification personnel ou tout autre code, sous une forme aisément reconnaissable, et notamment sur l’instrument de paiement ou sur un objet ou un document conservé ou emporté par le payeur avec l’instrument de paiement, ainsi que le fait de ne pas avoir notifié au prestataire de services de paiement ou à l’entité indiquée par celui-ci, la perte ou le vol, dès qu’il en a eu connaissance ».
(art. VII. 44, §4 du Code de droit économique)
Les clients disaient tout ignorer des mécanismes de phishing… Mais il faut toujours être prudent en lisant ses e-mails…
Le tribunal a conclu a la négligence grave des clients de la banque X.
Au vu des circonstances, la négligence grave des clients ne faisait aucun doute aux yeux du tribunal, dès lors que l’attention de ceux-ci aurait dû être attirée par le faisceau d’éléments troublants rencontrés lors de la lecture et du traitement subséquent de l’e-mail frauduleux.
Les deux clients invoquaient leur grand âge et leur ignorance de l’existence de mécanismes de phishing. Le tribunal a rejeté l’argument en soulignant les communications régulières des autorités belges, des médias et de la banque elle-même quant aux risques de phishing et quant à la manière de détecter les pratiques des auteurs de phishing.
Le tribunal a également rappelé que l’on doit attendre d’un utilisateur de services de paiement prudent et diligent qu’il lise ses e-mails avec une attention particulière lorsqu’il lui est demandé de cliquer sur un lien. S’il clique malgré tout sur ce lien et est ensuite contacté par un inconnu sollicitant la communication de codes de sécurité personnels, il est attendu de l’utilisateur des services de paiement qu’il ne les communique pas.
S’il le fait, il est considéré comme gravement négligent.