1. Les fraudes en ligne sont en constante augmentation depuis 2019, comme en atteste notamment le rapport 2022 de l’Ombudsman du secteur financier (Ombudsfin). Il s’observe dans ce domaine un phénomène de « professionnalisation » de la fraude, caractérisé par le recours à des méthodes sophistiquées permettant aux fraudeurs de prospérer, dans une société mue par une « digitalisation croissante »[1] : mobile banking, paiements digitaux instantanés (QR-code), authentification des paiements à distance via Itsme®, paiements sans contact, utilisation des monnaies virtuelles, etc.

   Les utilisateurs de services de paiement sont ainsi devenus des cibles fréquentes de fraudes accomplies au moyen de techniques telles que le phishing (ou « hameçonnage ») et le spoofing. La première consiste à amener la victime potentielle à divulguer des informations sensibles, telles que ses identifiants ou données bancaires, notamment par le biais de communications frauduleuses (emails, messages, applications mobiles, etc.). La seconde consiste à usurper l’identité d’une personne de confiance, en se présentant généralement comme un préposé ou affilié d’une banque. Dans les deux cas, les fraudeurs parviennent à accéder aux comptes de paiement des victimes et/ou à faire exécuter des paiements.

2. Dans ce contexte, un projet de loi a été adopté, le 6 juillet 2023, afin de transposer la directive (UE) 2019/713 concernant la lutte contre la fraude et la contrefaçon des moyens de paiement autres que les espèces, tandis que la Commission européenne venait de publier, le 28 juin 2023, les propositions d’un règlement et d’une directive[2] concernant les services de paiement et visant à actualiser le cadre législatif issu de la directive (UE) 2015/2366 sur les services de paiement (« PSD 2 »).

   La directive (UE) 2019/713 a pour objectif d’harmoniser et de moderniser la lutte contre la criminalité informatique axée sur les nouvelles technologies de paiement, en instaurant un cadre pénal commun au sein de l’Union européenne (définitions communes, nomenclature des infractions, sanctions minimums, renforcement de la coopération judiciaire).

   Les infractions visées par la directive font déjà l’objet d’incriminations en droit belge, au travers des dispositions du Code pénal qui définissent largement la criminalité informatique, ainsi que les atteintes à la foi publique (faux et usage de faux) et à la propriété (vol, extorsion, escroquerie, abus de confiance, etc.).

   Le projet de loi précité entend néanmoins ajuster le droit positif au texte européen, tout en maintenant la cohérence structurelle du Code pénal.

   Sont ainsi insérées dans le dispositif répressif les infractions relatives à la falsification et à la contrefaçon des instruments de paiement autres que les espèces (art. 178quarter à 178nonies du Code pénal). Font quant à elles l’objet d’adaptations les infractions d’extorsion (art. 470), d’abus de confiance (art. 491) et d’escroquerie (art. 496).

3. Parallèlement, un nouveau cadre législatif européen pour les services de paiement est en voie de devenir, sur proposition du Parlement européen et du Conseil, et se composera d’un règlement (« PSR »)[3] et d’une directive (« PSD 3 ») [4]. Ces textes ont également pour vocation d’actualiser et d’améliorer le régime de la responsabilité des prestataires de services de paiement en cas d’opérations non autorisées.

   La Commission entend ainsi lutter plus efficacement contre les fraudes en ligne, ce que traduisent plus particulièrement deux modifications importantes du dispositif PSD :

   – l’instauration d’une obligation pour le prestataire de vérifier la correspondance entre le numéro IBAN du bénéficiaire et le nom associé au compte à tous les virements (art. 50 de la proposition de PSD 3)

   – l’instauration d’un régime de remboursement de l’utilisateur visant spécifiquement les cas de fraude de type spoofing(art. 59 de la proposition de PSR).

5. A noter que la jurisprudence (belge) admet que le régime « général » du remboursement de l’utilisateur en cas d’opération non autorisée peut s’appliquer aux cas de fraudes par spoofing.

   En effet, le Code de droit économique[5] prévoit déjà un régime de remboursement par le prestataire de services de paiement des pertes occasionnées en raison d’une opération de paiement non autorisée en cas de fraude (perte, vol ou d’un détournement de l’instrument financier) non détectable par l’utilisateur (art. VII.43 et VII.44, §1^er). En revanche, lorsqu’il s’avère que la fraude était détectable, le prestataire n’est pas tenu de rembourser le montant des pertes résultant d’une fraude, d’une faute intentionnelle ou d’une négligence grave dans le chef de l’utilisateur[6]. Le caractère détectable ou non de la fraude et l’existence ou non d’une négligence grave s’apprécient in concreto.

6. Le droit belge, théoriquement efficace pour faire face aux nouvelles méthodes de fraudes, tant au niveau pénal que civil, s’en trouvera enrichi et, pratiquement, amélioré par l’harmonisation des règles et concepts au sein de l’Union européenne.

For more information, please contact: Marc-David Weinberger (md.weinberger@cew-law.be) and Antoine Mairesse (antoine.mairesse@cew-law.be), lawyers, CEW & Partners.

***

[1] CTIF-CFI, Rapport d’activités, 2021, p. 21.

[2] COM(2023) 366 final et COM(2023) 367 final.

[3] Proposition d’un règlement du Parlement européen et du Conseil sur les services de paiement dans le marché intérieur, modifiant le règlement (UE) n° 1093/2010.

[4] Proposition de directive du Parlement européen et du Conseil sur les services de paiement et les services de monnaies électroniques dans le marché intérieur, modifiant la directive 98/26/EC et abrogeant les directives 2015/2366/EU et 2009/110/EC.

[5] Tel que modifié par la loi du 19 juillet 2018 transposant PSD 2.

[6] L’application de l’exception résultant de la négligence grave aux cas de fraudes non détectables fait l’objet d’une certaine controverse. La position ici exprimée est celle qui ressort du Rapport d’activité 2022 d’Ombudsfin, pp. 28-30.