Hameçonnage bancaire : quelle responsabilité pour le titulaire du compte ?

 Le hameçonnage (phishing ou filoutage) est une technique frauduleuse utilisée pour obtenir des renseignements personnels dans le but d’usurper l’identité d’une personne physique ou morale.
Avec 5 arrêts du 18 janvier 2018, la Cour de cassation a rappelé qu’un établissement financier doit apporter la preuve qu’un utilisateur d’un moyen de paiement, qui nie avoir effectué un achat, a agi frauduleusement ou a communiqué à un tiers ses données personnelles ou identifiants par sa négligence.

Par un arrêt du 3 octobre 2018, la Cour de cassation a aussi rappelé que :

1- Une banque doit rembourser son client qui conteste un achat sur internet à condition que l’opération litigieuse ne résulte pas d’une négligence grave de son client à ses obligations.
Les obligations du client résultent de l'article L. 133-16 du code monétaire et financier aux termes duquel :
"Dès qu'il reçoit un instrument de paiement, l'utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées.
Il utilise l'instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées."
En l'occurence, la Cour de cassation a reproché au Juge d'avoir condamné le Crédit Mutuel à rembourser les sommes contestées sans avoir recherché si le client avait répondu à un courriel d’hameçonnage.

2- Seul le prestataire de services de paiement contractuellement lié au payeur (ex : la banque gestionnaire du compte, tel que le Crédit mutuel local) est tenu de rembourser au client le montant des opérations non autorisées.
Et non l'établissement gestionnaire des services informatiques de paiement (ex : le Crédit mutuel fédéral).
Et ce aux termes de l'article L. 133-18 du Code monétaire et financier. 
A noter que le prestataire de services de paiement gestionnaire du compte doit rembourser immédiatement, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, au payeur le montant de l'opération non autorisée et, le cas échéant, doit rétablir le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu. La date de valeur à laquelle le compte de paiement du payeur est crédité ne doit pas être postérieure à la date à laquelle il avait été débité.