Contexte — BleepingComputer rapporte que l’avocat général de la Cour de justice de l’Union européenne (CJUE), Athanasios Rantos, a émis un avis formel suggérant que les banques doivent procéder à un remboursement immédiat des titulaires de compte affectés par des transactions non autorisées, y compris lorsque la faute leur est imputable.
Avis de la CJUE : les banques devraient rembourser immédiatement les victimes de phishing
Contexte
L’avocat général de la Cour de justice de l’Union européenne (CJUE), Athanasios Rantos, a rendu un avis juridique indiquant que les banques doivent rembourser immédiatement les clients victimes de transactions non autorisées, même lorsque la fraude résulte d’une erreur de l’utilisateur.
Cet avis fait suite à une demande d’interprétation du droit européen déposée par un tribunal polonais dans un litige entre :
- la banque PKO BP S.A.
- l’un de ses clients victime de phishing.
Origine du litige
L’affaire concerne une fraude par phishing.
Scénario de l’attaque
- Le client publie une annonce de vente sur une plateforme d’enchères.
- Un fraudeur le contacte et lui envoie un lien malveillant.
- La page imite l’interface de connexion de la banque.
- Le client saisit ses identifiants bancaires.
- Le fraudeur utilise ces informations pour effectuer un paiement non autorisé.
Réaction de la banque
Le client :
- signale la transaction le lendemain
- dépose plainte auprès de la police
Cependant :
- les fraudeurs ne sont pas identifiés
- la banque refuse de rembourser la somme
La banque justifie son refus en invoquant la négligence du client.
Le client engage alors une action en justice.
Position de l’avocat général
Selon l’avocat général, le droit européen impose aux banques :
➡️ de rembourser immédiatement la transaction frauduleuse
sauf si la banque dispose de raisons valables de suspecter une fraude du client lui-même.
Cette règle découle de la directive européenne :
PSD2 – Payment Services Directive (2015/2366).
Obligation de remboursement immédiat
L’avis précise que la banque doit :
- rembourser la transaction sans délai
- sauf si elle soupçonne une fraude du client
Dans ce cas :
- la banque doit signaler ces soupçons à l’autorité nationale compétente
- par écrit.
Possibilité de recours contre le client
L’obligation de remboursement immédiat ne signifie pas que la banque supporte définitivement la perte.
Si la banque peut prouver que le client a agi avec :
- négligence grave
- ou intention frauduleuse
elle peut demander au client de rembourser les fonds ultérieurement.
Dans ce cas :
- la banque devra engager une procédure judiciaire.
Statut juridique de l’avis
L’avis de l’avocat général :
- n’est pas une décision finale de la CJUE
- constitue une recommandation juridique
Cependant :
- les juges de la CJUE suivent souvent l’avis de l’avocat général.
La décision finale de la CJUE sera contraignante pour tous les tribunaux de l’Union européenne.
Impact potentiel
Si la CJUE suit cet avis, les conséquences pourraient être importantes :
- renforcement de la protection des consommateurs
- obligation pour les banques de rembourser immédiatement les fraudes
- transfert temporaire du risque financier vers les banques
Les banques pourraient ensuite chercher à récupérer les pertes uniquement si la négligence grave du client est prouvée.
Analyse
Cette interprétation de la directive PSD2 pourrait modifier la gestion des fraudes bancaires dans l’UE :
- priorité donnée au remboursement rapide des victimes
- charge de la preuve déplacée vers les banques
- nécessité pour les institutions financières d’améliorer leurs mécanismes de prévention du phishing.ursement**.
Conclusion
- Type: cyberlégislation — objectif principal: informer sur un avis juridique de l’UE concernant la prise en charge des transactions frauduleuses et les obligations de remboursement des banques.
🔗 Source originale : https://www.bleepingcomputer.com/news/legal/eu-court-adviser-says-banks-must-immediately-refund-phishing-victims/