Hameçonnage : notification sans délai injustifié

Par Juan Añón, avocat spécialisé en droit civil et commercial de Valence. 

La CJUE a rendu un arrêt important le 1er août 2025 dans l'affaire C-665/23 – Veracash, clarifiant ce qu'il faut entendre par notification sans retard injustifié par l'utilisateur du service de paiement au prestataire de services bancaires en cas de perte, de vol ou de détournement de l'instrument de paiement ou de son utilisation non autorisée, ou en cas d'opérations non autorisées ou mal exécutées (ci-après, nous utiliserons les termes « client de la banque » et « établissement de crédit »). Le litige principal à l'origine de la question préjudicielle concernait plusieurs retraits effectués à l'aide d'une carte que l'établissement de crédit avait envoyée à son client, qui a nié l'avoir reçue. Les retraits d'espèces ont été effectués successivement sur une période d'un mois et demi, entre le 30 mars 3 et le 2017 mai 17. Le client a signalé ces retraits comme des opérations de paiement non autorisées le 5 mai 2017.

Les articles 41 et 43.1 du Décret-loi royal 19/2018, du 23 novembre, relatif aux services de paiement, établissent l'obligation de l'utilisateur de services de paiement, le client de la banque, de notifier au prestataire de services de paiement, l'établissement de crédit, les circonstances susmentionnées, que nous appellerons génériquement opérations de paiement non autorisées, notification qui doit être effectuée sans retard injustifié.dès qu'elle a connaissance de telles transactions» et en tout état de cause dans un délai de 13 mois à compter de la date de débit du compte du montant de l'opération de paiement non autorisée.

La jurisprudence de la CJUE, y compris le présent arrêt, fait référence à la directive 2007/64, prédécesseur de l'actuelle directive 2015/2366, mais toutes deux ayant le même contenu en ce qui concerne le régime des obligations des parties et la responsabilité de l'établissement de crédit, avec une attention particulière à la CJUE du 9 avril 2014, C-616/11, T-Mobile Austria, à la CJUE du 2 septembre 2021, C-337/20, CRCAM et à la CJUE du 11 juillet 2024, C-409/22, Eurobank Bulgaria, en plus de cette dernière du 1er août 2025, C-665/23, Veracash.

Français Dans tous ces arrêts, la CJUE conclut que la responsabilité de l'établissement de crédit est de nature quasi objective, comme le souligne également l'arrêt de la Cour suprême, Chambre civile, n° 571/2025 du 9 avril : l'établissement de crédit ne peut échapper à sa responsabilité que s'il prouve que l'opération de paiement a été authentifiée, correctement enregistrée et comptabilisée, et qu'elle n'a pas été affectée par une défaillance technique ou d'autres déficiences liées au service de paiement dont il est responsable, mais comme le prévoit l'art. 44.2 du décret-loi royal 19/2018, lorsque le client de la banque nie avoir autorisé une opération de paiement, l'enregistrement susmentionné de l'utilisation de l'instrument de paiement ne sera pas nécessairement suffisant pour démontrer que l'opération de paiement a été autorisée par le payeur, ni que le payeur a agi frauduleusement ou qu'il a délibérément ou par négligence grave manqué à une ou plusieurs de ses obligations en vertu de l'article 41, y compris la notification sans retard injustifié de l'existence d'une opération de paiement non autorisée.

Il y a un fort renversement de la charge de la preuve, donc si l'on considère que dans presque tous les cas les réclamations des utilisateurs pour ce concept, consommateurs ou non, seront inférieures à 3.000 XNUMX €, c'est-à-dire dans des procédures orales sans accès à un recours, le respect de cette obligation de notification sans délai est essentiel, car, à moins que les raisons qui exonèrent l'établissement de crédit, en tant que prestataire de services de paiement, ne soient démontrées, l'établissement de crédit est tenu de restituer au client le montant de l'opération de paiement non autorisée, et de rétablir le compte dans l'état antérieur au débit de ce montant.

Déjà dans l'arrêt de la CJUE de septembre 2021, C-337/20, CRCAM, il est indiqué que le régime de responsabilité découlant de la réglementation sur les services de paiement repose sur trois éléments essentiels liés :

• Obligation des utilisateurs de services de paiement de notifier au prestataire de services de paiement l'existence d'une opération de paiement non autorisée.
• La charge de la preuve incombe au prestataire de services de paiement qui doit démontrer que l’utilisateur du service de paiement a agi frauduleusement, a délibérément violé ses obligations ou a fait preuve d’une négligence grave.
• Correction immédiate du montant dû sur le compte de l'utilisateur du service de paiement et rétablissement du compte à son état antérieur au débit.

Français Les arrêts CRCAM et Veracash ratifient l'interprétation du règlement européen sur les services de paiement selon laquelle la notification requise par le client de la banque est une exigence essentielle pour obtenir de son établissement de crédit la rectification du débit sur le compte pour le montant de l'opération de paiement non autorisée, c'est-à-dire que la rectification est soumise à ladite notification, sans retard injustifié, comme exigence pour que le client de la banque active le régime de responsabilité de l'établissement de crédit, mais en tenant compte de l'expression utilisée à l'art. 43.1 du RD-loi 19/20189, "En tout état de cause, dans un délai maximum de treize mois à compter de la date de la dette, Il doit être entendu comme le délai maximum dans lequel l'établissement de crédit doit recevoir la notification, compté à partir de la date du débit sur le compte du montant de l'opération de paiement non autorisée.

Cela signifie que le régime de responsabilité de l'établissement de crédit, qui ne s'applique que lorsque le client de la banque se conforme à l'obligation de notification, implique la rectification immédiate de l'opération de paiement non autorisée. Toutefois, la responsabilité de l'établissement de crédit n'est pas exclue lorsque le régime de responsabilité spécifique de la réglementation sur les services de paiement ne peut être appliqué. Dans ce cas, les règles générales relatives à la responsabilité des établissements de crédit découlant du contrat de compte courant doivent s'appliquer. Autrement dit, l'obligation de rectification immédiate ne s'applique pas, et la charge de la preuve ne sera pas inversée quant à savoir si le client de la banque a agi frauduleusement, en violation délibérée de ses obligations ou par négligence grave. En revanche, c'est au client de la banque, qui dépose une réclamation ou une demande reconventionnelle, qu'il incombe de prouver qu'il n'a pas autorisé l'opération de paiement contestée.

L'arrêt de la CJUE du 11 juillet 2024, C-409/22, Eurobank Bulgaria, prend en compte la définition d'un instrument de paiement, qui inclut à la fois les dispositifs physiques (cartes et téléphones portables) et tout ensemble de procédures (codes PIN, codes TAN, DigiPass, Bizum, etc.) convenues par l'USP et le PSP pour initier un ordre de paiement. De cette considération générale, il est conclu que l'accord entre les deux parties doit être expressément stipulé dans le contrat-cadre, sans exclure que l'accord de volonté nécessaire à l'utilisation de ce type de service soit contenu dans le processus d'activation de ces instruments ou services. La définition d'un instrument de paiement doit être comprise comme un concept large, de sorte que le type de technologie, les moyens de transmission des ordres de paiement et le contrôle des éléments de sécurité ne sont pas déterminants, comme l'a souligné l'arrêt de la CJUE du 9 avril 2014, C-616/11, T-Mobile Austria (conclusions de l'avocat général, paragraphe 39).

Considérant que les opérations de paiement ne sont réputées autorisées que lorsque le payeur a donné son consentement à leur exécution, et que ce consentement doit être donné selon les modalités convenues avec l'établissement de crédit, en l'absence de ce consentement, l'opération de paiement doit être considérée comme non autorisée (article 36 du décret-loi royal 192018). Sur la base de ce qui précède, en vertu du régime spécifique découlant de la réglementation sur les services de paiement, l'établissement de crédit est responsable des pertes subies par le client de la banque du fait d'opérations de paiement non autorisées. L'établissement de crédit n'est exonéré de cette responsabilité que s'il apporte la preuve qualifiée d'une faute du client de la banque, c'est-à-dire d'un acte délibéré (voire frauduleux) ou d'une négligence grave. Cette responsabilité incombe à l'établissement de crédit, même s'il a agi de bonne foi, c'est-à-dire s'il a pris toutes les mesures nécessaires pour satisfaire aux exigences légales et aux bonnes pratiques bancaires. Ce régime de responsabilité spécifique des établissements de crédit repose sur le principe « faire ce que l'on fait d'abord, argumenter ensuite », afin de renforcer la protection des clients des banques.

Dans l'arrêt de la CJUE du 11 juillet 2024 (C-409/22), Eurobank Bulgaria, se référant au consentement du client de la banque, précise que celui-ci doit exister pour l'opération de paiement et être fourni selon les modalités convenues entre les parties. Il en résulte que lorsque le client de la banque agit sous la tromperie d'un cybercriminel (hameçonnage) et fournit ses mots de passe, etc., on ne peut pas dire qu'il a consenti à cette opération de paiement non autorisée, mais seulement qu'il a facilité l'accès à un instrument de paiement et son utilisation. À cet égard, l'article 66 de l'arrêt précise que l'authentification d'une opération de paiement est une obligation qui incombe à l'établissement de crédit, qui vise à vérifier l'utilisation de l'instrument de paiement afin de prouver que l'utilisateur de ces services a donné son consentement à l'exécution de l'opération, afin que celle-ci puisse être considérée comme autorisée. L'obligation de l'établissement de crédit ne s'arrête pas à l'authentification formelle, à condition que ce soit le client de la banque qui ait effectué l'opération, car il utilise les clés de sécurité personnalisées fournies par l'établissement de crédit. L'utilisation de l'instrument de paiement n'est rien d'autre que cela, l'utilisation de l'instrument, et ne résulte pas nécessairement du consentement du client de la banque.

À ce jour, dans ces trois arrêts (CJUE 3-9-4, C-2014/616, T-Mobile Austria ; CJUE 11-2-9, C-21/337, CRCAM et CJUE 20-11-7, C-2024/409, Eurobank Bulgaria, la CJUE), la CJUE s'est prononcée sur l'interprétation de l'article 22 de la directive 58/2007, applicable à ces affaires, une interprétation qui reste inchangée par rapport à l'article 64 de l'actuelle directive 71/2025, et, par conséquent, également applicable à l'article 2366 du décret-loi royal 43/19. Cette interprétation faisait référence au régime des obligations et responsabilités de chaque partie, et spécifiquement à l'obligation du client de la banque de notifier à l'établissement de crédit l'existence d'une opération de paiement non autorisée, comme condition essentielle pour obtenir la rectification du montant dû pour ladite opération. Toutefois, avec l'arrêt de la CJUE du 2018-1-8, C-2025/665, Veracash, la CJUE a élargi l'interprétation en définissant le moment auquel une telle notification doit être faite sans retard injustifié, ainsi que les conséquences du non-respect.

Cet arrêt, prenant en compte le considérant 31 de la directive 2007/64, identique au considérant 71 de la directive 2015/2366[1], analyse la portée de l'obligation du client de la banque de notifier à son établissement de crédit qu'il a eu connaissance de toute opération de paiement non autorisée ou mal exécutée, obligation qui doit être remplie.sans retard injustifié« Et »au plus tard 13 mois à compter de la date de la dette», sauf si, le cas échéant, le prestataire de services de paiement ne vous a pas fourni ou rendu accessibles les informations relatives à l'opération de paiement conformément au titre III de la directive 2007/64 et à la directive 2025/2366, qui correspondent à celles contenues dans le titre II du décret-loi royal 19/2018. Cet arrêt porte spécifiquement sur la question de savoir si le client de la banque perd son droit à la rectification du montant dû lorsque la notification est effectuée avec un retard injustifié, mais dans le délai de 13 mois suivant la date du débit.

Français La CJUE réitère dans cet arrêt que l'obligation de notification sans retard injustifié à partir du moment où le client de la banque a connaissance d'une opération de paiement non autorisée, premièrement, est une manifestation spécifique du devoir de diligence du client de la banque, deuxièmement, elle constitue un élément essentiel du régime de responsabilité pour ce type d'opérations de paiement non autorisées, comme déjà indiqué dans la CJUE 2-9-2021 (C-337/20, CRCAM), et enfin, l'obligation de notification sans retard injustifié sert de référence pour la répartition des responsabilités entre le client de la banque et l'établissement de crédit, le tout dans l'une des circonstances indiquées aux points 34 à 37 des conclusions de l'avocat général, c'est-à-dire si le client de la banque a connaissance de la perte, du vol ou du retrait de l'instrument de paiement, ou de son utilisation non autorisée, ou lorsque le client de la banque a connaissance d'une opération non autorisée, ou lorsque les deux situations précédentes se produisent (presque) simultanément, car une opération non autorisée peut être postérieure à la perte, au vol, au retrait ou à l'utilisation non autorisée de l'instrument de paiement, mais toute opération de paiement non autorisée ne doit pas nécessairement être le résultat de la perte, le vol, le retrait ou l’utilisation non autorisée d’un instrument de paiement.

La notification en cas de perte, de vol, de détournement ou d'utilisation non autorisée d'un instrument de paiement, conformément à l'article 41 du décret-loi royal 19/2018 (article 56 de la directive 2007/64 et article 69 de la directive 2015/2366), a un objectif préventif : permettre au prestataire de services de paiement de bloquer l'instrument de paiement et d'empêcher toute utilisation non autorisée ultérieure. La notification prévue à l'article 43 du décret-loi royal 19/2018 (article 58 de la directive 2007/64 et article 71 de la directive 2015/2366) a une fonction compensatoire : permettre au payeur de réclamer et d'obtenir le remboursement des transactions non autorisées. Cependant, dans les deux cas, les obligations de notification doivent être appliquées de manière appropriée. cohérent, sachant que l'obligation de notifier est subsumé dans la notification (et la réclamation) d'une opération non autorisée.

Dans cet arrêt du 1er août 2025, C-665/23, Veracash, points 38 et 39, la CJUE indique qu'il s'agit de deux exigences temporellement distinctes, bien que l'une soit de nature subjective et oblige le client de la banque à agir dans les meilleurs délais, et commence à courir à partir du moment où il prend connaissance de l'existence de l'opération de paiement non autorisée, et que, d'autre part, le délai de treize mois soit de nature objective et commence à courir à compter de la date du débit. L'action «sans retard injustifié« Il faudra le valoriser, comme toujours »,compte tenu des circonstances dans lesquelles il se trouve» le client de la banque.

L'arrêt Veracash conclut que la notification effectuée dans les 13 mois à compter de la date de la dette n'est pas suffisante pour se conformer à la notification.sans retard injustifié» de l'existence d'une opération de paiement non autorisée, obligation qui doit être remplie à partir du moment où le client de la banque en prend connaissance, de sorte que l'objectif préventif de la notification est compromis si la validité de toute notification effectuée sans dépasser le délai de 13 mois est admise, ce qui dans tous les cas est considéré comme máximo dans lequel il faut vérifier la notification précoce, qui doit être effectuée le plus rapidement possible, sans retard injustifié, sans retard injustifié, en bref, le plus tôt possible à partir du moment où le client de la banque a connaissance de l'exécution de l'opération de paiement non autorisée.

Le paragraphe 51 du présent arrêt établit la conclusion suivante : « Il résulte de ce qui précède que l’obligation de notification établie à l’article 58 de la directive – se référant à D/2007/64 – Elle n'est considérée comme remplie que si la double exigence est remplie : d'une part, l'utilisateur de services de paiement notifie sans retard injustifié à son prestataire de services de paiement qu'il a eu connaissance d'une opération de paiement non autorisée et, d'autre part, que la notification soit effectuée au plus tard treize mois après la date du débit.

            La conclusion de l'arrêt de la CJUE du 1-8-2025 (C-665/23, Veracash) est évidente, comme indiqué au paragraphe 56 : l'utilisateur de services de paiement, "En principe, vous serez privé du droit d'obtenir la rectification d'une opération si vous n'avez pas notifié à votre prestataire de services de paiement sans retard injustifié que vous avez eu connaissance d'une opération de paiement non autorisée, même si vous l'avez notifié dans les treize mois suivant la date du débit. Et conformément à ce qui est indiqué au paragraphe 76, il précise que la privation du droit de rectification se produira, sauf en cas de comportement frauduleux, si le client de la banque a tardé à fournir la notification, soit délibérément, soit par négligence grave, constituant une violation manifeste du devoir de diligence.

Et dans le cas où il y aurait plusieurs opérations de paiement successives, comme dans le scénario factuel de cet arrêt C-665/23, Veracash, effectuées par l'utilisation du même instrument de paiement perdu, volé ou détourné, ou par une utilisation non autorisée de cet instrument, le client de la banque sera seulement privé du droit d'obtenir le remboursement des pertes causées à la suite des opérations qu'il a délibérément retardées à notifier à son prestataire de services de paiement, ou par négligence grave, ou ce qui est le même, l'établissement de crédit cessera seulement d'être responsable, et son obligation de rectification cessera en ce qui concerne les opérations de paiement non autorisées antérieures à la notification, mais pas celles postérieures à celle-ci, ou celles dans lesquelles le retard injustifié ne peut être qualifié de délibéré ou de négligence grave.

Les conclusions tirées de tout ce qui a été présenté jusqu'à présent sont, se référant également à la Chambre civile STS, n° 571/2025 du 9 avril, que l'obligation de l'utilisateur de services de paiement, le client de la banque, en cas d'opération de paiement non autorisée (cas de phishing, par exemple), est d'en informer immédiatement le prestataire de services de paiement, l'établissement de crédit, dès qu'il en a connaissance, une obligation identique à celle qui lui incombe lorsqu'il a connaissance de la perte, du vol ou du détournement de l'instrument de paiement ou de son utilisation non autorisée. Le prestataire de services de paiement, l'établissement de crédit. a l'obligation de rectifier et de rembourser immédiatement en cas d'opérations de paiement non autorisées ou mal exécutées, mais à condition que l'utilisateur de services de paiement l'informe sans retard injustifié, à moins qu'il n'ait des motifs raisonnables de soupçonner l'existence d'une fraude et qu'il communique ces raisons par écrit à la Banque d'Espagne, l'établissement de crédit étant responsable de démontrer que l'opération de paiement a été authentifiée, correctement enregistrée et comptabilisée, et qu'elle n'a pas été affectée par une défaillance technique ou une autre déficience du service fourni par le prestataire de services de paiement, mais le simple fait d'S'enregistrer l'utilisation de l'instrument de paiement ne suffit pas à démontrer que l'opération de paiement a été autorisée par le payeur, ou que ce dernier a agi frauduleusement ou délibérément ou par négligence grave n'a pas respecté une ou plusieurs de ses obligations, étant donné que le prestataire de services de paiement, l'établissement de crédit, la preuve que l'utilisateur de services de paiement a commis une fraude ou une négligence grave.

L'obligation de l'utilisateur de services de paiement, le client de la banque, dès qu'il prend connaissance de l'existence d'une opération de paiement non autorisée, doit être remplie dans les meilleurs délais. Cette notification ne peut excéder 13 mois à compter de la date de débit de l'opération contestée du compte de paiement. Le régime de responsabilité du prestataire de services de paiement, sous réserve du respect des conditions susmentionnées, est quasi objectif ; seul l'établissement de crédit sera exonéré de l'obligation de régulariser le compte de paiement et de le rétablir à la date antérieure au débit de l'opération, en cas de comportement frauduleux du client de la banque, de manquement délibéré à ses obligations ou de négligence grave.

[1] Les considérants des deux directives : «Afin de réduire les risques et les conséquences d'opérations de paiement non autorisées ou mal exécutées, l'utilisateur de services de paiement devrait informer le prestataire de services de paiement dès que possible de toute réclamation potentielle relative à des opérations de paiement prétendument non autorisées ou mal exécutées, à condition que le prestataire ait respecté ses obligations d'information au titre de la présente directive. Si l'utilisateur de services de paiement respecte le délai de notification, il devrait avoir la possibilité d'introduire cette réclamation dans les délais de prescription applicables en vertu du droit national. La présente directive ne devrait pas affecter les autres réclamations entre utilisateurs de services de paiement et prestataires de services de paiement.