De la jurisprudence des tribunaux espagnols, il en ressort que les critères essentiels en matière de phishing bancaire sont les suivants :
1. Responsabilité quasi objective de la banque :
• Le régime juridique applicable (Royal Décret-Loi 19/2018, sur les services de paiement, et la réglementation européenne PSD2 : 2ème Directive Européenne sur Services de Paiement) impose une responsabilité quasi objective à la banque, de sorte que :
o L’absence d’autorisation de l’opération est présumée si le client la nie.
o La banque n’est exonérée que si elle prouve qu’il y a eu négligence grave ou action frauduleuse de l’utilisateur.
o La charge de la preuve incombe exclusivement à la banque, conformément à l’article 45 du Royal Décret-Loi 19/2018.
2. Concept strict de « négligence grave »
• La négligence grave ne peut être confondue avec la simple imprudence ou négligence commune. Elle nécessite un comportement qualifié, proche du dol, et est interprétée de manière restrictive.
• La négligence grave est écartée dans des cas tels que :
o Cliquer sur un lien reçu par SMS apparemment envoyé par la banque.
o Saisir des données sur un site web qui simule être celui de la banque.
o Fournir des codes de vérification par téléphone à une personne qui se fait passer faussement pour un employé de la banque.
• Selon le considérant 72 de la Directive (UE) 2015/2366, l’environnement simulé par le délinquant est de plus en plus sophistiqué, ce qui renforce la conclusion que la victime agit de bonne foi et est raisonnablement trompée, sans commettre de négligence grave.
3. Exigence de hauts standards de diligence de la part de la banque :
• La banque ne peut se limiter à mettre en place des mesures génériques ou des formulaires informatifs stéréotypés.
• Elle est tenue à un standard de diligence supérieur à celui du « bon père de famille » ; elle doit agir comme un commerçant ordonné et expert.
• Cela implique :
o L’analyse des risques en temps réel (Décret-Royal 2018/389).
o La vérification effective du consentement du client.
o La détection de schémas anormaux d’opération (horaires, montants, absence de concepts, fréquence…).
o Des systèmes d’alerte et de blocage automatique des opérations suspectes.
4. Importance de l’environnement frauduleux et apparence de véracité
• L’apparence de légitimité de l’environnement (site web, application, appels, SMS), surtout s’il utilise des canaux habituels du client ou simule des données de la banque, empêche de considérer que le client a commis une négligence grave.
• Les tribunaux réitèrent que la connaissance a posteriori de la fraude ne peut contaminer l’évaluation de l’action du client au moment de la tromperie.
5. Mesures adoptées par le client après la fraude :
• La diligence du client dans la réaction à la fraude (comme la dénoncer à la police ou la notifier rapidement à la banque) est valorisée positivement par les tribunaux.
• Cette réaction contribue à exclure la négligence grave et renforce la position juridique de l’utilisateur en tant que victime et non en tant que coresponsable.
6. Inefficacité de l’allégation de « système sûr » de la part de la banque :
• Le fait que la banque déclare son système comme « sûr » ne prouve pas son efficacité concrète.
• Il ne suffit pas de prouver l’existence théorique de mécanismes de sécurité, mais il doit être attesté leur fonctionnement effectif et adéquat dans le cas concret.
