Aucune demande de remboursement contre les banques en cas de dommages liés au phishing en cas de négligence grave – Clarifications décisives du tribunal d’instance de Munich
En mars 2024, le tribunal d’instance de Munich a précisé de manière déterminante, par son jugement (n° 222 C 15098/24), les principes applicables à la répartition des responsabilités dans le cadre des attaques de phishing relevant du droit des services de paiement. L’objet principal de la décision était de déterminer dans quelles conditions les clients d’une banque peuvent faire valoir des droits à réparation contre celle-ci lorsque des opérations de paiement non autorisées sont effectuées sur leur compte à la suite d’un phishing.
Contexte du litige
Dans l’affaire en question, un client de la banque a reçu un courriel parfaitement imité, prétendument envoyé par sa banque. Dans ce message, il était invité à communiquer ses identifiants personnels et un code TAN, ce qu’il a fait en pensant qu’il s’agissait d’un contrôle de sécurité authentique. Par la suite, plusieurs prélèvements ont été effectués sur son compte sans qu’il les ait autorisés. Le client concerné a alors demandé à la banque de lui rembourser les sommes non autorisées, arguant qu’il bénéficiait d’une protection en tant que client bancaire.
Appréciation juridique : Critère de la négligence grave
Le tribunal a souligné qu’en vertu de la législation sur le contrat-cadre des services de paiement (§§ 675c et suivants BGB), la banque est en principe tenue d’annuler les opérations de paiement non autorisées. Toutefois, il existe une exception si le client a manqué de manière substantielle à ses obligations de diligence, notamment en cas de négligence grave.
Qu’est-ce que la négligence grave dans la banque en ligne ?
L’obligation des clients de protéger leurs identifiants et caractéristiques de sécurité personnalisées – tels que le code PIN ou le TAN – contre tout accès non autorisé et de ne jamais les transmettre à des tiers constitue un élément fondamental de la relation contractuelle entre le client et la banque. Selon la jurisprudence, il y a habituellement négligence grave lorsqu’un client transmet, malgré des avertissements clairs de la banque, des informations sensibles à des tiers inconnus, en particulier lorsqu’il s’agit de demandes inhabituelles ou suspectes visant à obtenir ces données.
Le tribunal d’instance de Munich a considéré que le comportement du client plaignant constituait une négligence grave, car la présentation de l’email aurait pu susciter des doutes chez un utilisateur normalement attentif, et il est rappelé à maintes reprises par les banques qu’aucune donnée confidentielle ne doit être demandée par email.
Conséquences sur la répartition des risques dans les services de paiement
Recours contre la banque exclu
Dans ce cas précis, le tribunal a rejeté la responsabilité de la banque, car un comportement gravement négligent du client entraîne l’absence d’un droit au remboursement, même en cas d’opérations non autorisées. Le tribunal parvient à cette conclusion en se référant expressément au § 675v, alinéa 3 BGB, qui exclut toute responsabilité en cas de violation gravement négligente par le débiteur.
Importance pour d’autres procédures
Au-delà de l’impact sur la relation contractuelle individuelle, cette décision constitue une référence juridique importante pour des cas similaires et renforce la sensibilisation à la sécurité des données dans les paiements numériques. La tendance de la jurisprudence à restreindre la protection des clients là où les mesures de précaution élémentaires ne sont pas respectées est ainsi confirmée.
Réserves et jurisprudence en cours
Il convient de noter que les faits ont donné lieu à un jugement de première instance. Des voies de recours sont en principe possibles contre cette décision ; l’affaire ne peut donc pas encore être considérée comme définitivement tranchée. Au moment où ces informations sont établies, aucun jugement définitif n’a été rendu public. La présentation dans la presse se réfère uniquement au jugement publié ainsi qu’aux motifs de la décision accessibles au public (source : urteile.news).
Portée pour les clients bancaires et les établissements
Cette décision met en évidence l’importance d’un traitement vigilant des données bancaires sensibles dans les paiements numériques. Elle souligne également la responsabilité des clients pour éviter les dommages dus au phishing et à d’autres formes de fraude dans la banque en ligne. Les banques, de leur côté, doivent garantir des normes de sécurité et d’information claires et compréhensibles, et sensibiliser régulièrement leurs clients aux risques et aux mesures de précaution nécessaires.
Compte tenu de la complexité et de la portée de ces questions de principe, il est recommandé, en cas de doute ou d’incertitude, de solliciter un conseil juridique afin d’évaluer les marges de manœuvre et les droits dans chaque cas particulier. Pour toute question supplémentaire ou évaluation juridique concernant les services de paiement, la sécurité du banking en ligne et les questions potentielles de responsabilité, les Rechtsanwälte de MTR Legal se tiennent à votre disposition en tant qu’interlocuteurs compétents.
Sources : Tribunal d’instance de Munich, jugement du 27.03.2024, n° 222 C 15098/24 ; www.urteile.news.
