« Le phishing a coûté 34 millions d'euros aux Belges », « Le SPF Finances met en garde contre les mails frauduleux : « Ne réagissez pas » », « Test Achat met également en garde contre les messages de phishing envoyés au nom de bpost et du SPF Finances ». Ces titres vous sont probablement familiers. Les criminels ont découvert qu'il est bien plus facile et beaucoup plus sûr pour eux de s'introduire chez quelqu’un par voie numérique que de recourir à un pied de biche pour ce faire. Mais la question se pose de savoir qui est responsable des dommages que vous subissez si vous tombez dans le panneau sans même vous en douter.

Vous avez sans doute vous aussi déjà reçu des e-mails de votre (prétendue) banque vous demandant de vérifier d'urgence vos données, un (faux) SMS de bpost contenant un lien vers un colis ou un message du SPF Finances contenant un lien vers un remboursement ou une prime auquel vous auriez droit.

Tous ces messages ont une chose en commun : ils ont (parfois) l'air très réels mais ils proviennent de criminels et leur seul but est de piller vos comptes bancaires. Cliquez sur le lien et suivez les différentes étapes et vous pouvez être sûr que vos comptes bancaires seront dévalisés peu après. Les cybercriminels n'hésitent même pas à recréer des sites web de banques en entiers afin de ne pas éveiller les soupçons. Cette forme de criminalité (« phishing ») est donc de plus en plus sophistiquée.

La question se pose de savoir qui est responsable des dommages en cas de phishing.

Suite à une modification de la loi en 2018, les banques sont responsables des dommages en cas de phishing (ou hameçonnage). Votre banque est donc tenue de vous indemniser pour l'intégralité du préjudice subi (avec un minimum de 50 euros).

Toutefois, il existe une exception importante à cette règle. Si la banque peut prouver que vous avez fait preuve d'une négligence grave dans le cadre du phishing, vous serez responsable de l'intégralité du dommage. Et, comme on peut s'y attendre et le craindre, les banques n’hésitent pas d’invoquer cette disposition pour refuser le remboursement des fonds détournés.

Mais qu'est-ce qui est considéré comme une « négligence grave » ? Le législateur n’a non plus défini ce critère et a donc laissé aux tribunaux et cours d'appel le soin de le concrétiser.

La négligence grave est le superlatif de la négligence ordinaire. Alors que la négligence est une chose qui peut arriver à tout le monde, la négligence grave devrait plutôt être qualifiée de véritable bêtise.

Cette législation étant relativement récente, il n’y a pas encore beaucoup de jurisprudence sur la manière dont le critère de « négligence grave » doit être évalué en pratique.

Pour l'instant, nous devons principalement nous appuyer sur un arrêt dans lequel la cour d'appel d'Anvers a jugé qu'il y avait bien eu négligence grave dans une affaire.

La cour d'appel a fondé sa décision sur le fait que l'e-mail de phishing ne provenait pas d'une adresse électronique (similaire à une adresse électronique) de la banque, que l'e-mail ne contenait pas de logo de la banque et ne renvoyait pas à un (faux) site web de la banque.

Que pouvons-nous apprendre de ce jugement ? Eh bien, ce sera toujours une question de fait. Le tribunal examinera toujours chaque cas individuellement pour déterminer dans quelle mesure la tentative d'hameçonnage était astucieuse et dans quelle mesure le faux courriel, le faux SMS et/ou le faux site web était réaliste. Si ceux-ci sont très convaincants et se distinguent à peine de la réalité, il y a de fortes chances que le tribunal juge qu'il n'y a pas eu de négligence grave et que la banque soit obligée de rembourser les montants volés. En revanche, si l'e-mail ou le site web relèvent de l'amateurisme, le tribunal sera susceptible de conclure à une négligence grave.

C'est d'autant plus la leçon à retenir que les banques mettent de manière proactive et régulière en garde leurs clients par e-mail, dans les médias traditionnels et les réseaux sociaux contre le phishing et soulignent qu'il ne faut jamais divulguer son code secret à des tiers. D'ailleurs, il ne serait pas irréaliste de penser que les tribunaux jugeront les victimes encore plus sévèrement à l'avenir, maintenant que le phénomène du phishing (et comment s'en protéger) est de plus en plus connu.

Il est également intéressant de noter que la cour (ainsi que les tribunaux de première instance) ne prend pas non plus en compte l'âge de la victime. Pour le critère de « négligence grave », les tribunaux prennent comme critère « le comportement présumé d'un payeur normalement prudent et diligent, placé dans les mêmes circonstances extérieures concrètes, sans que ne soient prises en compte les caractéristiques propres au payeur, telles que l'âge, etc.».

Enfin, je tiens à mentionner que si vous êtes victime de phishing et que votre banque refuse de traiter avec vous, vous pouvez également faire appel à Ombudsfin, le service de médiation pour les services financiers. Ce service de médiation établit un rapport accompagné d’une proposition, mais les banques ne sont pas liées par ce rapport ou cette proposition. Dans la pratique, il arrive (très) régulièrement que les banques ignorent le verdict du Médiateur (ou Ombudsman). A ce moment-là, vous n'avez pas d'autre choix que de vous tourner vers le tribunal.

Si vous découvrez que vous avez été victime d’hameçonnage (phishing), vous devez immédiatement contacter votre banque pour mettre fin à l'utilisation frauduleuse de vos comptes. Nous vous conseillons de nous contacter par la suite le plus tôt possible afin qu'ensemble nous puissions nous assurer que le rapport à la banque soit fait de la meilleure façon possible et qu'aucune déclaration ne soit faite qui vous soit défavorable.

Roeland Moeyersons, Seeds of Law