"Les banques sont obligées d’indemniser leurs clients victimes de phishing" : une décision juridique met le secteur bancaire sous pression

Une jurisprudence qui ne concernerait que la Belgique pour l'instant, mais sait-on jamais, ça pourrait "contaminer" l'Europe entière...

Je vous partage ici le contenu de l'article, pour ceux qui éventuellement n'auraient pas accès à cet article que vous pouvez retrouver ici : https://www.rtbf.be/article/phishing-les-banques-pourraient-passer-a-la-caisse-11734360

"Un couple de nonagénaires, victime d’une arnaque en ligne, s'est fait dérober près de 50.000 euros par des escrocs. Leur banque, estimant qu’ils avaient commis des fautes en donnant leurs codes, refusait de les rembourser. Mais un juge anversois vient de leur donner raison, et oblige la banque à rembourser la somme. À l’heure ou les arnaques en ligne explosent, cette décision pourrait bien faire jurisprudence.

Les banques sont obligées d’indemniser leurs clients victimes de phishing, c’est ce qui ressort d’un arrêt du juge des référés d’Anvers, rapporté par Het Laatste Nieuws ce mercredi. L’affaire concernait un couple âgé qui avait été floué de 50.000 euros. Le couple avait versé cette somme à un faux travailleur bancaire au Portugal. Les banques refusaient d’indemniser le couple, estimant que les clients avaient commis une grave négligence en transférant eux-mêmes l’argent à un destinataire frauduleux.

Mais le juge des référés d’Anvers s’est basé sur une jurisprudence européenne établissant que les banques doivent toujours indemniser les victimes de phishing. Ce n’est qu’ensuite, si la banque estime que le client a commis une négligence grave, qu’elle peut engager une procédure pour récupérer l’argent.

Une décision qui fait date et qui risque d’avoir des répercussions importantes tant les dossiers de ce type sont nombreux dans les cabinets d’avocats. Une décision qui tombe aussi deux mois à peine après un coup de pression de Rob Beenders (Vooruit) - ministre en charge de la protection des consommateurs – sur le secteur bancaire.

Inversion du rapport de force

Pour comprendre ce que change concrètement ce jugement et s’il pourrait faire jurisprudence, nous avons posé la question à Audrey Despontin, avocate spécialiste en droit bancaire, qui a sur son bureau, des dizaines de dossiers de ce type : "Il y a une véritable explosion de ces affaires", explique-t-elle. "De plus en plus d’arnaques, de mieux en mieux réalisées sont faites et donc de plus en plus de gens se font avoir. Mais aujourd’hui, les banques refusent de rembourser immédiatement et c’est un souci."

Le code de droit économique oblige pourtant la banque à rembourser le montant de la transaction frauduleuse, à moins qu’elle ne prouve une faute grave de la part de son client. "Pour l’instant, les victimes de ces arnaques à qui la banque refuse de rembourser les sommes, hésitent à entamer des procédures parce qu’ils pensent qu’ils ne vont pas gagner, et dépenser de l’argent supplémentaire", analyse Audrey Despontin. "Les banques comptent sur le fait que les gens ne vont pas aller plus loin. Elles refusent le remboursement et l’affaire s’arrête là", révèle-t-elle.

Ce que veulent aujourd’hui une série d’avocats et de spécialistes de la question - et même le politique (voir le paragraphe sur le manque de transparence ci-dessous) -, c’est que le remboursement soit automatique et que la charge de prouver la faute grave soit de la responsabilité de la banque. C’est ce qu’a décidé le juge anversois : ce ne sont plus les victimes qui entament une procédure judiciaire mais bien la banque.

"Je vais me servir de cette décision du tribunal d’Anvers dans les dossiers que je défends."

Elle les rembourse puis entame une procédure pour prouver que ce sont les clients qui sont fautifs. "Ça ne voudrait donc pas non plus dire que les clients seraient protégés quoi qu’il arrive", précise l’avocate. "Mais ça inverserait le rapport de pouvoir entre la banque et son client abusé".

Et l’avocate met en lumière un changement de mentalité par rapport à ces rapports de force : "Ce type de décision de la justice anversoise permet cette inversion du rapport de force. Et la réflexion se fait à des niveaux importants. Nous attendons le retour de l’avocat général de cour de Justice européenne sur cette question précise de remboursement immédiat. S’il est de l’avis que les banques doivent le faire, ça fera date et ça sera un pas important pour les victimes."

Pour autant, est-ce que cette décision risque de faire jurisprudence ? Oui, selon la spécialiste : "En tout cas, je vais personnellement me servir de cette décision du tribunal d’Anvers dans les dossiers que je défends."

Cet avis n’est pas partagé par le secteur bancaire : "De manière générale, il convient avant tout de rappeler très clairement que la législation ne traite de la responsabilité des banques qu’en cas de transactions non autorisées", explique Charline Gorez, porte-parole de Febelfin.

Selon elle, il y a deux types de fraudes :

La première, celle ou un escroc vole vos codes et vous dérobe de l’argent, ce qu’on appelle une transaction non autorisée.
Et la seconde, qui inclut des transactions autorisées : "Nous constatons aujourd’hui de plus en plus de formes de fraude dans lesquelles l’escroc manipule la victime afin qu’elle effectue elle-même des virements. Il s’agit d’une transaction autorisée pour laquelle la législation ne prévoit pas de responsabilité des banques", continue Charline Gorez.
Pour la porte-parole, les banques appliquent déjà un remboursement : "Lorsqu’un client est victime de phishing, la banque ouvre une enquête et examine très attentivement les circonstances concrètes du dossier. Si aucune négligence grave ne peut être retenue à charge du client, celui-ci est remboursé. En revanche, lorsqu’une négligence grave est constatée, la banque n’est pas tenue de prendre en charge le préjudice subi". Et Febelfin d’ajouter que si ce cas donne raison aux clients, d’autres décisions judiciaires iraient plutôt dans le sens inverse.

"Il y a un risque que les clients ne fassent plus attention"

Pour Charles Cuvelliez, professeur en Cybersecurité à l’Ecole Polytechnique de Bruxelles (ULB), cette décision de remboursement instantané pourrait avoir des conséquences négatives : "D’abord, les clients ne feront plus attention", estime Charles Cuvelliez, "ensuite, des schémas de fraude encore inconnus vont vite voir le jour".

Selon l’expert, certaines bandes organisées pourraient y voir une nouvelle opportunité de s’enrichir : "En tablant sur un remboursement immédiat d’un cas de tromperie par scamming, il y a un risque que, par exemple, les fraudeurs se fassent passer pour des victimes". Concrètement, ce que Charles Cuvelliez redoute, ce serait que ces escrocs puissent être remboursés d’une somme qu’ils ont eux-mêmes volée sur leur compte. "Ils attendent le remboursement immédiat, vident les comptes et disparaissent", ajoute le professeur.

Plus largement selon lui, on ne s’attaque pas à la racine du problème : "Il faut inculquer, à tout le monde, les caractéristiques incontournables du scamming."

L’expert explique que les appels répètent le même schéma : " Nous sommes appelés par quelqu’un qu’on connaît indirectement, qui lui a soi-disant donné votre numéro. C’est urgent, important, stressant avec une conséquence négative à la clé (ou positive, style ne pas rater une opportunité)", poursuit-il, "On ne vous laisse jamais le temps de faire autre chose pendant l’interaction, pour éviter de pouvoir parler à quelqu’un d’autre qui n’est pas dans le même état émotionnel. Le paiement est toujours inhabituel : ce n’est pas vous qui faites le paiement de bout en bout, c’est quelqu’un qui doit le faire pour vous, ou alors c’est payer par Paypal, par transfert d’argent. Il est difficilement opposable une fois effectué. Enfin, ces techniques reposent toujours sur votre état émotionnel : tout le monde sait que dans l’émotion, on fait des choses qu’on ne ferait pas à froid", analyse Charles Cuvelliez.

Et le professeur de citer le travail de la Federal Trade Commission aux Etats-Unis, très active à ce sujet : "Il y a des campagnes anti-scamming envers la population, des études pour comprendre les ressorts qui font qu’on tombera dans le panneau. Ils mettent en place des avertissements qui fonctionnent vraiment. En Europe (et donc en Belgique), les campagnes sont plus ponctuelles, plus génériques et n’exploitent pas tous ces ressorts. Cela devrait presque être du lavage de cerveau."

"Les banques interprètent trop souvent la législation à leur avantage."

Si le professeur parle d’un travail "éthique et sérieux" des banques, le politique commence à montrer les dents face aux actions (ou aux inactions) du secteur bancaire.

En avril dernier, Rob Beenders, ministre de la Protection des consommateurs augmentait la pression : "Les banques doivent clairement informer leurs clients lorsqu’elles estiment que le phishing s’est produit par leur propre faute", déclare le ministre dans un communiqué. "Les critères actuellement utilisés par les banques pour définir un comportement imprudent de la part des clients ne sont pas transparents et varient d’une institution à l’autre", ajoute le ministre qui a envoyé une lettre à toutes les institutions bancaires. Une lettre dans laquelle elles doivent établir une "check-list" leur servant à déterminer si leurs clients ont fait preuve, ou non, d’imprudence.

"Après avoir discuté avec plusieurs victimes, je constate qu’aujourd’hui, les banques interprètent trop souvent la législation à leur avantage, ce qui empêche les victimes de phishing de récupérer leur argent. Il y a une différence frappante entre la manière dont les gens sont protégés en cas de vol classique et en cas d’escroquerie en ligne. En matière de cybercriminalité, qui est souvent perpétrée à grande échelle et de manière sophistiquée, c’est généralement la victime qui doit assumer elle-même le préjudice. Cela doit changer", déclare le ministre Beenders.

Parmi les demandes du ministre, l’obligation pour les banques d’indiquer sur quelle base juridique elles s’appuient pour ne pas appliquer la procédure de remboursement prévu par la loi. Rob Beenders qui ajoute que des mesures législatives et coercitives pourront être prises à l’avenir.

Un coup de pression, donc vers le secteur bancaire, qui confirme que des travaux sont en cours : "En collaboration avec le ministre Beenders, nous travaillons à la mise en place d’un numéro centralisé à contacter en cas de fraude, grâce à l’extension du service Card Stop. Nous développons également un plan d’action", explique la porte-parole de Febelfin.

Pour vous protéger, les institutions (bancaires ou publiques) vous conseillent d’adopter ces cinq règles d’or :

Inspectez l’expéditeur : vérifiez toujours l’adresse e-mail, le numéro de téléphone et pas seulement le nom affiché

Survolez avant de cliquer : sur un mail, regardez l’adresse URL cachée derrière les liens avant de les ouvrir

Ignorez le sentiment d’urgence : les menaces de blocage immédiat cachent souvent des pièges

Gardez vos secrets : ne partagez jamais vos mots de passe ou codes bancaires par messages. Les employés de votre banque, ceux de l’inspection des finances ou votre fournisseur d’énergie ne vous demanderont JAMAIS ce type d’information pas téléphone, mail ou message Whatsapp

Utilisez le double facteur : activez l’authentification à deux facteurs (2 preuves d’identité différentes) pour verrouiller vos comptes"