Il y a quelques jours, le compte quotidien d'une arnaque numérique a atteint les plus hautes étapes de la loi européenne : un client polonais a perdu de l'argent après être tombé dans une attaque d'hameçonnage et sa banque, PKO BP, a refusé de le rembourser. Cette affaire - une vente sur une plateforme d'enchères, un lien malveillant qui imitait l'écran d'accès de la banque, introduisait des lettres de créance et un transfert par les criminels - s'est terminée devant le tribunal de district de Koszalin, qui a posé une question préliminaire devant la Cour de justice de l'Union européenne (TUE).
L'avocat général de l'Union européenne, M. Athanasios Rantos, a maintenant publié un avis formel sur l'affaire, qui, bien qu'il ne s'agisse pas d'un jugement contraignant, marque la direction probable dans laquelle le tribunal se dirigera. En termes simples: Rantos considère que, conformément à la directive européenne sur les services de paiement (PSD2), la banque doit rembourser immédiatement au client le montant d'une opération non autorisée, à moins qu'elle n'ait des motifs raisonnables de soupçonner que le client lui-même a agi frauduleusement.. Cette suspicion devrait également être communiquée par écrit à l'autorité nationale compétente.
Les textes officiels expliquent en détail la recommandation de l'avocat général. Le communiqué du TUE contient les conclusions de Rantos et une partie de l'analyse juridique à l'appui de l'obligation de remboursement provisoire, disponible sur le site officiel de la Cour: Communication UE. Le texte intégral de l'avis de l'avocat général figure également dans la jurisprudence de la Cour: texte intégral de l'avis.
Il est important de le placer dans le cadre réglementaire: la directive (UE) 2015 / 2366 connue sous le nom de PSD2 réglemente les obligations des prestataires de services de paiement - y compris les banques - et les droits des utilisateurs aux transactions non autorisées. La directive et son objet peuvent être lus sur le portail de l'Union européenne sur les services de paiement: explication du PSD2 à la Commission européenne et le texte juridique du dépôt EUR-Lex: Directive (UE) 2015/2366.
Qu'est-ce que cela signifie, dans la pratique, pour une personne qui a souffert d'hameçonnage? Premièrement, que la présomption initiale serait en faveur du client: s'il dénonce l'opération comme non autorisée, la banque devrait lui rendre le montant sans délai, à moins qu'il ait des raisons claires de croire que ce client a agi frauduleusement. Deuxièmement, que le remboursement initial ne clôture pas l'affaire : si la banque est en mesure de démontrer plus tard que le client intentionnellement ou avec négligence grave vos données de sécurité (par exemple, en partageant délibérément des mots de passe), vous pouvez réclamer ou exiger du client qu'il assume la perte; et, si la perte est refusée, vous devrez vous adresser au tribunal pour obtenir ce remboursement.
Cet équilibre - remboursement immédiat avec possibilité de récupération ultérieure - vise à protéger l'utilisateur qui a été victime de techniques de plus en plus sophistiquées, sans exonérer complètement la responsabilité personnelle quand il y a des comportements clairement en conflit avec les obligations de sécurité. Dans la pratique, cela obligerait les entités à réagir rapidement aux allégations de fraude, ainsi qu'à documenter rigoureusement tout motif de suspicion de la conduite du client, car cette suspicion doit être communiquée par écrit à l'autorité nationale conformément à l'interprétation proposée par l'avocat général.
Les conséquences pour l'écosystème financier et la lutte contre la fraude peuvent être profondes. Pour les victimes, l'avantage est évident : récupérer des fonds évite rapidement la détresse économique et réduit l'impact immédiat d'une escroquerie. Pour les banques, toutefois, l'obligation de remboursement provisoire implique une augmentation des coûts opérationnels et la nécessité d'améliorer leurs capacités de détection et d'analyse des incidents afin de pouvoir justifier, le cas échéant, le non-remboursement et les réclamations ultérieures. En ce qui concerne la fraude, la mesure rend difficile pour les criminels de garder le butin dans des comptes non réclamés indéfiniment, même si elle n'empêche pas les tactiques d'ingénierie sociale initiales qui restent le vecteur majoritaire d'arnaques telles que le phishing, selon les organismes européens qui étudient le phénomène (voir, par exemple, le suivi d'Europol sur le phishing: Europol: phishing).
D'un point de vue pratique, cela exerce également une pression supplémentaire sur les entités pour qu'elles investissent dans une authentification plus robuste et des mesures qui empêchent les titres de créance volés de permettre des transactions non autorisées. Le PSD2 et les normes techniques connexes ont déjà investi dans l'authentification améliorée du client, mais l'interprétation de l'avocat général renforce l'incitation : si la banque est celle qui répond initialement, elle est intéressée à réduire la probabilité d'accès frauduleux.
Enfin, une question de procédure et de politique doit être soulignée: l'avis d'un avocat général n'est pas le dernier mot. Sa fonction est de guider la Cour; les juges du TUE peuvent suivre cette ligne ou la rendre plus sensible dans le jugement final, qui sera celui qui marquera la jurisprudence obligatoire pour les juridictions des États membres. D'ici là, l'avis de Rantos indique clairement où la Cour pourrait aller, mais pas un mandat à effet immédiat et uniforme dans l'ensemble de l'Union.
En termes humains, ces types de décisions reformulent la manière dont le risque est partagé entre les clients et les banques à l'ère numérique. L'objectif est simple et légitime: qu'un escroc reçoive une réponse rapide et que les responsabilités soient déterminées par la preuve, et non par l'inertie du compte vide. Le jugement du TEU doit être suivi de près et, dans l'intervalle, il faut se rappeler que la prévention - ne pas cliquer sur des liens suspects, toujours vérifier l'URL d'une banque, en utilisant l'authentification en deux étapes et en signalant dès que possible - reste le premier obstacle contre la fraude.
Alerte de sécurité La vulnérabilité critique du médicament par injection SQL dans PostgreSQLTM nécessite une mise à jour immédiate
Drucal a publié des mises à jour de sécurité pour une vulnérabilité qualifiée "très critique" qui touche Drumal Core et permet à un attaquant d'effectuer une injection SQL arbit...
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...