EU court adviser says banks must immediately refund phishing victims

1 minute de lecture

Mis à jour : March 08, 2026

Remboursement des victimes de phishing : une nouvelle orientation européenne

L’avocat général de la Cour de justice de l’UE (CJUE) a émis un avis juridique suggérant que les banques doivent rembourser immédiatement les victimes de transactions non autorisées, même en cas de négligence apparente de la part du client.

Points clés :

Application de la directive PSD2 : Selon l’interprétation de la directive sur les services de paiement, le remboursement doit être automatique, sauf si la banque possède des preuves solides de fraude imputable au client.
Inversion de la charge de la preuve : La banque ne peut plus refuser arbitrairement un remboursement. Elle doit d’abord indemniser la victime, puis prouver ultérieurement une négligence grave ou une intention malveillante pour tenter de récupérer les fonds par la voie judiciaire.
Portée juridique : Bien qu’il s’agisse d’un avis consultatif (affaire C-70/25), il préfigure une jurisprudence qui s’imposera à l’ensemble des tribunaux européens.

Vulnérabilités :

Phishing par ingénierie sociale : L’article souligne l’utilisation de sites miroirs imitant les interfaces bancaires pour récolter les identifiants de connexion (identifiants personnels de sécurité).
*Note : Aucune CVE spécifique n’est associée à cet événement, car il s’agit d’une faille liée au facteur humain et à l’usurpation d’identité plutôt qu’à une vulnérabilité logicielle logicielle.**

Recommandations :

Pour les institutions financières : Mettre en place des processus de remboursement immédiat tout en renforçant la collecte de preuves techniques en cas de litige pour démontrer une négligence grave du client (ex: partage volontaire de codes MFA).
Pour les utilisateurs :
- Vérifier systématiquement l’URL réelle avant de saisir des identifiants bancaires.
- Ne jamais accéder à son portail bancaire via un lien reçu par e-mail ou SMS.
- Activer systématiquement la double authentification (MFA) et se méfier des sites demandant des codes de validation pour des transactions non initiées.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

EU court adviser says banks must immediately refund phishing victims

Remboursement des victimes de phishing : une nouvelle orientation européenne

Partager sur

Vous pourriez aimer

Veeam Patches 7 Critical Backup & Replication Flaws Allowing Remote Code Execution

Vulnérabilités critiques dans Veeam Backup & Replication

Storm-2561 Spreads Trojan VPN Clients via SEO Poisoning to Steal Credentials

Campagne de vol d’identifiants VPN par Storm-2561 via SEO Poisoning

Starbucks discloses data breach affecting hundreds of employees

Violation de données chez Starbucks : 889 comptes employés compromis

RIP RegPwn

RegPwn : Élévation de privilèges via les fonctionnalités d’accessibilité Windows