L’Observatoire de sécurité des moyens de paiement définit l’hameçonnage – dit phishing – comme l’une des techniques de fraude les plus utilisées. À l’aune de la crise sanitaire liée à la Covid 19 et des mesures de confinement imposées aux français, il en résulte que le e-commerce connait un essor considérable, dont la propulsion doit son origine à la multiplication des commandes de biens et services sur internet. En cette période de fêtes de fin d’année, ce phénomène a, en outre, tendance à s’accentuer et risque de perdurer.
Qui dit commandes sur internet dit également multiplication des opérations par carte bancaire. Ainsi, l’usage répété et systématique des instruments de paiements, soit plus fréquemment en temps de crise, ouvre la porte aux risques d’hameçonnage.
L’hameçonnage est organisé par une personne malveillante qui prend souvent la forme d’une tromperie visuelle vous incitant à communiquer des données personnelles et bancaires en se faisant passer pour un tiers de confiance (banque, organisme de sécurité sociale, finances publiques, site marchand fréquemment visité etc.).
De plus en plus créatifs et expérimentés, les cyber-escrocs ont fait plus de 90.000 victimes en 2019 selon le dispositif Cybermalveillance.gouv.fr soit une augmentation de plus de 210% par rapport à 2018. L’accroissement perpétuel des moyens techniques à disposition des fraudeurs a pour conséquence qu’il devient de moins en moins évident de détecter ce type d’arnaques.
Par un arrêt rendu le 12 novembre 2020 (n° 12-11.2020), la Chambre commerciale de la Cour de cassation est venue préciser les contours de l’obligation de prudence de l’utilisateur et de l’exonération du prestataire de services de paiement en cas d’hameçonnage.
Avant cette nouvelle jurisprudence, la Chambre commerciale avait d’ores-et-déjà réaffirmé le principe d’appréciation in abstracto de la condition de négligence grave(Com. 28 mars 2018, n° 16-20.018). C’est le critère de l’utilisateur normalement attentif qu’elle a retenu, celui-ci étant à même de douter de la provenance d’un courrier au regard d’indices visuels indéniables.
Le profane en matière d’hameçonnage n’est pas un ingénu, il doit analyser certains indices de confiance tels que : le contenu, les fautes d’orthographes éventuelles, le caractère sécurisé du lien de paiement communiqué, l’identité de l’expéditeur avant de procéder à tout paiement ou toute communication d’informations personnelles et confidentielles.
Alors que la faute de l’utilisateur était la plus souvent et facilement admise jusqu’à présent – en ce qu’il suffisait de démontrer la négligence grave par la divulgation de ses données personnelles à un tiers et l’utilisation ultérieure non-autorisée mais effective de ces dernières -, l’arrêt du 12 novembre 2020 a eu pour effet de limiter cette exonération des établissements bancaires même en cas de négligence grave de la part de l’utilisateur.
À ce titre et en contrepartie de l’obligation pour l’utilisateur de faire preuve de vigilance, la Chambre commerciale a consacré le principe selon lequel une banque devait également prouver que l’opération était enregistrée, comptabilisée, authentifiée et n’avait pas été affectée d’une déficience technique.
En l’espèce, par la divulgation des données personnelles liées à son compte chez SFR, la victime a permis au fraudeur d’obtenir un code 3D-Secure afin de faire valider les opérations litigieuses, ce qui fait la singularité mais également l’innovation de ce type d’arnaque.
Le prestataire n’ayant fourni qu’un tableau chronologique attestant de l’enregistrement, comptabilisation, authentification et défaut de déficience technique, qui, de plus, avait édité par lui-même, il n’a donc pas suffisamment démontré cette absence de déficience technique qui est pourtant l’un des critères cumulatifs d’exonération posés par l’article L.133-23 du Code monétaire et financier.
Dans ce cadre, il apparaît primordial pour les professionnels de renforcer la protection de leurs données en ligne, notamment en déposant brevets, marques ou noms de domaines nécessaires à leur activité et susceptibles de faire l’objet de cybersquatting. La thématique fait l’objet d’un suivi particulier de la part d’Avocats Picovschi qui ne manquera pas de vous tenir informé des évolutions législatives et jurisprudentielles liées à l’hameçonnage.