Un conseiller de la Cour de justice de l’Union européenne a déclaré que les banques devraient rembourser les clients qui perdent de l’argent à cause d’arnaques de phishing, même si le client a pu contribuer à l’incident.
L’avis a été rendu par Athanasios Rantos, Avocat général à la Cour de justice de l’Union européenne, la plus haute juridiction de l’UE chargée d’interpréter le droit européen. L’avis porte sur la manière dont les banques devraient gérer les transactions non autorisées effectuées après que les clients ont été trompés par des attaques de phishing. Elle concerne l’interprétation des règles énoncées dans la directive européenne sur les services de paiement, qui régit les paiements électroniques dans toute l’Union européenne.
Selon l’opinion, les banques doivent rembourser immédiatement les clients après un paiement non autorisé, sauf s’il existe des motifs raisonnables de soupçonner que le client a commis une fraude. Dans de tels cas, la banque doit informer par écrit l’autorité nationale compétente.
L’avis fait suite à une demande de clarification du tribunal de district de Koszalin, en Pologne. Le tribunal a demandé à la cour de l’UE d’interpréter la directive dans un litige impliquant PKO Bank Polski, une banque polonaise contrôlée par l’État, et l’un de ses clients.
L’affaire concerne un incident de phishing impliquant un client qui vendait un article via une plateforme en ligne. Le client a reçu un message d’une personne se faisant passer pour un acheteur qui a envoyé un lien imitant le site web de la banque. Après avoir cliqué sur le lien, le client a saisi ses identifiants bancaires sur la page frauduleuse.
Ces informations permettaient à l’attaquant d’accéder au compte bancaire du client et d’initier un transfert non autorisé. Le client a découvert la transaction et l’a signalée à la banque le lendemain.
PKO Bank Polski a refusé de rembourser les fonds. La banque a soutenu que le client avait fait preuve d’une négligence grave en fournissant des identifiants de connexion sur le site frauduleux. Le client a alors porté l’affaire devant le tribunal polonais.
Selon lui, Rantos a déclaré qu’en vertu des règles de paiement de l’UE, la banque doit d’abord rembourser le montant de la transaction non autorisée. Si la banque estime que le client a intentionnellement violé les obligations de sécurité ou a agi avec une négligence grave, elle peut ensuite tenter de récupérer les fonds.
Selon l’opinion, la charge de la poursuite du remboursement incomberait à la banque. Si le client refuse de restituer les fonds, la banque peut engager une action en justice pour récupérer le montant.
L’avis stipule que l’authentification d’une transaction utilisant les identifiants de connexion corrects ne prouve pas automatiquement que le paiement a été autorisé par le client. Les banques doivent démontrer que le client a agi de manière frauduleuse ou de grave négligence si elles ont l’intention de refuser le remboursement.
Un avis de l’avocat général n’est pas une décision définitive. Il s’agit d’une recommandation juridique fournie pour assister les juges de la Cour de justice de l’Union européenne lors de la préparation d’une décision. Le tribunal rendra son jugement à une date ultérieure.