Même en cas de « phishing » ou « hameçonnage », la banque peut être tenue de rembourser à son client les sommes dérobées. C'est à cette banque qu'il appartient, selon la Cour de cassation, de prouver que son client a agi frauduleusement ou encore a été gravement négligent en communiquant ses identifiants, références bancaires ou mots de passe.
Cette preuve de la faute du client ne peut pas se déduire seulement du fait que les données bancaires personnelles ont été utilisées par un tiers, même si, selon la banque, il ne peut pas en être autrement, compte tenu des systèmes de sécurité mis en place.
Le client faisait valoir que même en possession des données de connexion bancaires, un tiers ne devrait pas pouvoir débiter un compte. Il soulignait qu'en l'espèce, la banque avait commis une faute en répondant aux sollicitations et en envoyant sans s'en rendre compte un code secret, pour confirmation du paiement, à une adresse inhabituelle. Le code monétaire et financier impose en effet au banquier, disait ce client, de s'assurer que les dispositifs de sécurité personnalisés d'un instrument de paiement ne sont pas accessibles à d'autres personnes qu'à l'utilisateur autorisé.
Devant les accusations réciproques de « faute », la justice a donc estimé que celle de la banque était plus importante que celle de son client et a décidé qu'elle assumerait les conséquences de la fraude. Et ceci même si le contrat signé par le client rendait celui-ci « entièrement responsable de l'usage et de la conservation de ses codes personnels » ainsi que « des conséquences d'une divulgation involontaire à quiconque ».
Cass. Com, 18.1.2017, M 15-18.102
