Les banques pourraient bientôt ne plus rembourser les victimes d'arnaques en ligne

Les banques pourraient bientôt ne plus rembourser les victimes d'arnaques en ligne

Dans deux arrêts récents, la Cour de cassation a jugé deux victimes d'arnaque bancaire responsables de négligence grave. Une décision qui pourrait faire jurisprudence en exemptant les établissements bancaires de toute responsabilité.

Les arnaques et les fraudes en ligne sont devenues monnaie courante, et malheureusement beaucoup de personnes tombent dans le piège. Certaines ont la mauvaise surprise de se réveiller un matin et de découvrir que d'importantes sommes ont disparu de leur compte en banque. Elles se tournent alors vers leur banque pour demander des explications et, surtout, pour réfuter ces virements.

En effet, selon la loi, lorsqu'un client conteste une transaction suspecte auprès de sa banque, celle-ci est tenue de le rembourser dans les 24 heures. C'est à la banque de lancer des investigations en cas de doute, puisque le client paye un service visant à assurer la sécurité de ses transactions (voir notre article). Enfin, ça, c'est en théorie, car nombre d'entre elles refusent, accusant les victimes de négligence et estimant qu'elles ont elles-mêmes participé à l'arnaque.

Et la dernière décision de la Cour de cassation ne devrait pas arranger les choses. Dans deux arrêts rendus le 15 janvier 2025, l'institution estime que les clients ont été coupables de "négligence grave", ce qui dégage la banque de toute responsabilité, même en cas de manquement à son devoir de vigilance. Une décision qui vient faire jurisprudence aux dépends des consommateurs victimes…

Arnaque bancaire : des boîtes mails piégées par des pirates

Dans la première affaire, un couple a effectué deux virements pour l'achat d'un véhicule. Mais le vendeur leur signifie qu'il n'a jamais reçu l'argent. Ils découvrent alors que leur messagerie électronique a été piratée et que l'IBAN du vendeur a été remplacé par celui d'un escroc, qui a ainsi empoché la totalité de la somme. Ils se tournent alors vers leur banque afin de récupérer la totalité des fonds.

Dans la seconde affaire, un homme, comptable au sein de deux entreprises, a reçu un mail suspect écrit en anglais. Or, celui-ci était infecté par un virus et, en cliquant dessus, la victime a installé un cheval de Troie sur son appareil. Le malware a alors récupéré de nombreuses données personnelles et bancaires afin de, par la suite, effectuer plusieurs débits bancaires pour un total de 498 000 euros. Là encore, l'homme s'est tourné vers sa banque pour obtenir un remboursement. 

Fraude à la carte bancaire : les clients coupables de négligences graves

La Cour de cassation a toutefois estimé que ces fraudes bancaires relevaient de la responsabilité des clients. En effet, selon l'article L. 133-23 du Code monétaire, "le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées plus haut." L'institution a estimé que cliquer sur un e-mail manifestement frauduleux ou fournir soi-même un IBAN erroné, même si celui-ci a été substitué à l'insu de la victime, relevaient d'une négligence grave.

Notons que les cours d'appel avaient initialement retenu un partage des responsabilités, considérant que les banques avaient aussi manqué à leur obligation de vigilance, notamment en ignorant des alertes de sécurité et de nombreuses tentatives de connexion suspectes. 

Le sujet du remboursement des fraudes bancaires par les banques est un sujet extrêmement complexe et l'interprétation de la loi est extrêmement variable, ce qui complique la jurisprudence. Par exemple, en 2023, la Cour de cassation a condamné une banque à indemniser un client victime d'une escroquerie au paiement non autorisé, alors que celle-ci cherchait à se dégager de toute responsabilité de remboursement en invoquant la négligence grave dont aurait fait preuve la victime (voir notre article). Bien que le client ait communiqué le numéro lié à l'authentification forte à un tiers, qui se faisait passer pour un employé de la banque, l'instance a jugé que la banque avait l'obligation légale de mettre en place des mesures de sécurité robustes pour garantir que les paiements en ligne sont authentiques et sécurisés.