Un jugement rendu contre un établissement financier allemand vient relancer le débat sur la responsabilité des banques en cas d'attaque de phishing réussie. Quelle est la situation actuelle en Suisse ?
Lorsqu’un client est victime d’une attaque de phishing et subit une perte financière suite à un accès frauduleux à son compte bancaire, la banque considère généralement que son client a manqué à son devoir de diligence. Les remboursements ne sont donc accordés qu’à titre de geste commercial et ne couvrent généralement qu'une partie du préjudice subi.
Or une décision inédite de la justice allemande pourrait bien bousculer ces pratiques. Le tribunal régional de Berlin a en effet condamné l’ApoBank (la banque des pharmaciens et des médecins) à rembourser plus de 200 000 euros, exigeant de l'institution une meilleure prévention technique de la fraude (source : Heise online). C’est la première fois qu’un tribunal renforce ainsi les droits des consommateurs face aux cyberattaques, tout en imposant aux établissements financiers d’assumer leurs responsabilités sur le plan technologique.
Cette décision envoie un message clair : à l’heure où les fraudes sont de plus en plus sophistiquées, les banques ne peuvent plus se contenter d'invoquer le devoir de diligence de leurs clients. Dans ce cas précis, les auteurs de l’attaque avaient fait preuve d'un professionnalisme tel que la victime avait été trompée à plusieurs reprises. Selon le tribunal, le fait de se faire piéger par une « arnaque quasi parfaite » ne constitue pas une négligence grave. Les juges ont par ailleurs souligné que la banque aurait pu détecter et empêcher l’escroquerie par des moyens techniques appropriés. Ce point de vue s’inscrit dans une tendance de fond de la jurisprudence allemande et représente un signal fort.
En Suisse, les tribunaux restent prudents dans les affaires de fraude numérique. Dans la plupart des attaques de phishing médiatisées, ce sont les banques qui décident éventuellement de rembourser leurs clients. Mais dans la majorité des cas, celles-ci continuent de considérer que le client a manqué à son devoir de diligence, refusant ainsi toute prise en charge.
À l’heure actuelle, la responsabilité de la protection contre le phishing et autres cyber-escroqueries incombe donc principalement au consommateur final. Consultez notre article sur le Phishing pour connaître les mesures à prendre pour éviter de vous faire prendre au piège.
