Une opinion rendue par l’avocat général de la Cour de justice de l’Union européenne (CJUE) pourrait rebattre les cartes dans la gestion des fraudes bancaires liées au phishing.
Selon cette analyse juridique, les banques devraient rembourser immédiatement les transactions non autorisées, même lorsque la victime a commis une erreur, sauf en cas de soupçon de fraude. Si elle n’est pas encore contraignante, cette position pourrait orienter la future décision de la juridiction européenne.
Une fraude par phishing à l’origine du litige
L’affaire à l’origine de cette opinion provient de Pologne. Le tribunal de district de Koszalin a saisi la CJUE dans le cadre d’un litige opposant la banque PKO BP S.A. à l’un de ses clients.
Ce dernier avait mis en vente un objet sur une plateforme d’enchères en ligne lorsqu’un fraudeur l’a contacté et lui a transmis un lien malveillant. La page imitait l’interface de connexion de sa banque. En saisissant ses identifiants, le client a involontairement donné accès à son compte, permettant l’exécution d’un paiement non autorisé.
La transaction frauduleuse a été signalée le lendemain à la banque et à la police. Les fraudeurs n’ont pas été identifiés et la banque a refusé de rembourser les fonds, estimant que la négligence du client était à l’origine de la perte. Le client a alors saisi la justice.
PSD2 : le principe d’un remboursement immédiat
Dans son opinion rendue le 5 mars 2026, l’avocat général Athanasios Rantos estime que la directive européenne sur les services de paiement (PSD2) impose aux banques une obligation claire : rembourser immédiatement les transactions non autorisées.
Selon cette interprétation, l’établissement ne peut pas refuser ce remboursement au motif d’une supposée négligence du client. L’avocat général considère qu’un prestataire de services de paiement « doit, dans un premier temps, rembourser immédiatement le montant de la transaction non autorisée », sauf s’il dispose de « raisons sérieuses de soupçonner une fraude ».
Dans ce cas précis, ces soupçons doivent être formalisés et transmis par écrit à l’autorité nationale compétente. Cette lecture de la directive PSD2 vise à éviter que l’argument de la négligence soit utilisé par défaut pour bloquer un remboursement dès le début du litige.
La responsabilité du client examinée après le remboursement
L’opinion précise toutefois que la responsabilité du client n’est pas écartée pour autant. La banque peut toujours chercher à récupérer les sommes si elle parvient à démontrer que l’utilisateur a agi intentionnellement ou par négligence grave, notamment en ne respectant pas les obligations liées à la protection de ses données de sécurité personnalisées.
Dans ce cas, l’établissement peut demander au client de supporter la perte financière. Si celui-ci refuse de rembourser, la banque devra engager une action en justice pour obtenir le paiement.
Il faut noter que l’avis de l’avocat général ne constitue pas la décision finale de la Cour de justice de l’Union européenne. Il s’agit d’une recommandation adressée aux juges de la juridiction.
