Phishing, paiements frauduleux : négligence grave du consommateur ou responsabilité des banques ?
En cette période il n’est pas rare de recevoir un mail des « impôts » vous annonçant un remboursement et vous demandant de remplir un formulaire pour ce faire. Prenez gare aux faux mails qui promettent un remboursement ! Il s’agit tout simplement d’une tentative de phishing.
Comme chaque année, des escrocs tentent d’arnaquer de nouvelles victimes. Mais, plus encore cette année où les personnes ayant subi les effets des mesures des restrictions en lien avec la Covid-19 et n’étant pas toujours aux faits des crédits d’impôts sur le revenu, se hasardent à visionner et ouvrir ces mails, allant jusqu’à remplir le formulaire de remboursement.
Ainsi, ensuite du dépôt des déclarations de revenus, depuis quelques jours, un faux mail des impôts, provenant d’une adresse intitulée «ne_pas_repondre@dgfipfinances.gouv.fr», serait en train de circuler sous cette forme :
Cher (e) client (e),
Après les derniers calculs d'administration fiscale des crédits d'impôts sur le revenu , nous avons déterminé que vous êtes admissible à recevoir un remboursement de notre part d'un montant de 628,85 Euro .
Que devrais-je faire ?
• Rendez-vous sur le formulaire de remboursement. • Remplissez le formulaire de remboursement. • 48heures après la confirmation vous recevrez vos fonds. Accéder Au Formulaire
Cordialement, Impots.
Il s’agit d’une tentative de phishing (ou hameçonnage en français) destinée à voler les informations d’identité et bancaires de son destinataire. L’administration fiscale rappelle d’ailleurs régulièrement qu’elle ne demande jamais de coordonnées bancaires ou d’informations personnelles par mail ou par téléphone pour le paiement ou le remboursement d’un impôt.
Pour autant la victime d’un phishing sur son compte bancaire faisant l’objet de prélèvements frauduleux demeure t-elle démunie ou peut-il se retourner contre sa banque pour engager sa responsabilité ?
I – Le texte en question
Le « hameçonnage », appelé aussi « phishing », consiste à se faire remettre par les victimes contactées par des courriels non sollicités, leurs données bancaires personnelles afin de les exploiter frauduleusement. Or, la réponse à un tel « phishing » par une personne amenée à contester par la suite des opérations de paiement, peut présenter des incidences sur le remboursement de ces dernières par son prestataire de services de paiement (PSP), à savoir, sa banque.
L’article L. 133-19, IV du Code monétaire et financier précise en effet que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées s’il n’a pas satisfait par négligence grave, exclusive de toute appréciation de sa bonne foi, à l’obligation, imposée à l’utilisateur de services de paiement par l’article L. 133-16 du même code, de prendre toute mesure raisonnable pour préserver la sécurité du dispositif de sécurité personnalisé mis à sa disposition.
II – En pratique
Si la victime transmet les informations demandées dans le mail frauduleux, peut-elle se voir priver de son droit à remboursement ? Pour y répondre, il convient de s’intéresser à l’état de la jurisprudence et de la doctrine : la responsabilité de la banque n’étant pas retenue de manière automatique.
La Cour de cassation, dans plusieurs décisions en date du 18 janvier 2018, a rappelé qu’un établissement financier doit apporter la preuve qu’un utilisateur d’un moyen de paiement, qui nie avoir effectué un achat, a agi frauduleusement ou a communiqué à un tiers ses données personnelles ou identifiants par sa négligence.
Puis dans un arrêt du 3 octobre 2018 la Cour de cassation a rappelé qu’une banque doit rembourser son client qui conteste un achat sur internet, à condition qu’il ne résulte pas d’un manquement de ce dernier, par négligence grave, à ses obligations figurant à l’article L. 133-16 du code monétaire et financier (Cass. com., 3 octobre 2018, n° 17-21.395).
La Cour de cassation a d’ailleurs estimé que « manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l’utilisateur d’un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu’il soit, ou non, avisé des risques d’hameçonnage » (Cour de cassation, ch. com., arrêt du 28 mars 2018, Caisse de crédit mutuel / M. X.).
Et encore, dans un arrêt du 1er juillet 2020 (18-21.487), la Chambre commerciale de la Cour de cassation a considéré que si le payeur reconnait avoir été victime d’un cas de « phishing », les juges du fond ne peuvent pas retenir la responsabilité de son prestataire de services de paiement, mais doivent s’interroger sur la présence, à la vue des circonstances de fait, d’une négligence grave de sa part.
Au cas présent, le tribunal d’instance a relevé une telle faute, l’intéressé ayant reconnu avoir répondu à un courriel présentant « de sérieuses anomalies ». Un partage de responsabilité n’était donc pas possible.
L’arrêt confirme également que les anomalies en question peuvent résulter de la forme du message et/ou de son contenu. La présence de fautes d’orthographe « manifestes » devrait, notamment, être un indice important.
A l’inverse, si l’intéressé conteste avoir été victime d’un tel « hameçonnage », sa responsabilité semble encore difficile à engager aujourd’hui. Dans ce cas, le prestataire de services de paiement devra lui rembourser (Cass. com., 18 janvier 2017, n° 15-18.102, FS-P+B+I ; Cass. com., 21 novembre 2018, n° 17-18.888, F-D ; Cass. com., 13 février 2019, n° 17-23.139, F-D ; Cass. com., 29 mai 2019, n° 18-10.147, F-D).
En définitive, en matière de service de paiement (que ce soit par carte bancaire, par virement ou par prélèvement), le paiement doit être autorisé par le client utilisateur. Si un paiement est effectué sans son autorisation, la banque est responsable de plein droit. Cela signifie, en matière de fraude à la carte bancaire, de compte bancaire piraté ou d’arnaque par faux mails, que la banque doit rembourser toutes les sommes débitées même si elle n’a commis aucune faute. Pour refuser de rembourser, la banque doit prouver une négligence grave de la part du client dans l’utilisation du service.
Eu égard aux contrôles réalisés par les juges, la négligence grave pourrait être retenue par les juges concernant un consommateur qui viendrait à répondre à un faux mail des impôts, dès lors qu’il existe une campagne préventive en ce sens sur le site des impôts. Autrement dit, de bonne foi ou non, la négligence grave de la victime lui fait perdre entièrement le droit au remboursement.
Sandra NICOLET