Le phishing et les fraudes aux instruments de paiement ont, hélas, le vent en poupe. Le “phishing” ou “hameçonnage” est une forme d’escroquerie par e-mail, SMS, whatsapp ou autre moyen de communication en ligne (messenger, internet, etc.) par laquelle des pirates informatiques tentent d’obtenir les données personnelles des internautes, en vue d’une utilisation frauduleuse de celles-ci. Les pirates se font passer pour des entreprises connues, dans des messages qui paraissent aujourd’hui plus réels que jamais. Les banques et leurs clients sont évidemment une cible privilégiée.
Malgré la multiplication des avertissements par les autorités publiques et les grandes entreprises, financières ou non, certains clients tombent malgré tout dans le piège qui leur
est tendu[1], et qui tend à faire de plus en plus de victimes. En 2021, dans son rapport annuel, l’Ombudsfin recensait 1268 plaintes relatives aux services de paiement (pour 261
en 2015), dont 658 concernaient une fraude par internet (pour 221 en 2019). Le rapport 2023 de l’Ombudsfin est encore plus criant : nous vous y renvoyons ici.
Le droit belge applicable aux fraudes au paiement
En droit belge, le livre VII du Code de droit économique reprend les dispositions applicables à la matière, ces dernières ayant été adoptées suite à la transposition de la Directive « PSD II » 2015/2366 UE du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur :
- par la loi du 11 mars 2018 relative au statut et au contrôle des établissements de paiement et des établissements de monnaie électronique, à l’accès à l’activité de prestataire de services de paiement, et à l’activité d’émission de monnaie électronique, et à l’accès aux systèmes de paiement ;
- par la loi du 19 juillet 2018 portant modification et insertion de dispositions en matière de services de paiement dans différents livres du Code de droit économique.
- VII.38. du Code de droit économique énonce désormais que :
« §1er L’utilisateur de services de paiement habilité à utiliser un instrument de paiement a les obligations suivantes :
1° il utilise l’instrument de paiement conformément aux conditions régissant l’émission et l’utilisation de cet instrument de paiement, qui doivent être objectives, non discriminatoires et proportionnées ;
(…)
§2 En application du paragraphe 1er, 1°, l’utilisateur de services de paiement prend, en particulier, dès qu’il reçoit un instrument de paiement, toutes les mesures raisonnables afin de préserver la sécurité de l’instrument de paiement et de ses données de sécurité personnalisées »[2].
L’article VII.42. du Code de droit économique dispose :
§ 1er. Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe au prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre du service fourni par le prestataire de services de paiement.
(…)
§ 2. Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, l’utilisation d’un instrument de paiement, telle qu’enregistrée par le prestataire de services de paiement, (…), ne suffit pas nécessairement en tant que telle à prouver que l’opération de paiement a été autorisée par le payeur ou que celui-ci a agi frauduleusement ou n’a pas satisfait, intentionnellement ou à la suite d’une négligence grave, à une ou plusieurs des obligations qui lui incombent en vertu de l’article VII.38.
Le prestataire de services de paiement, y compris, le cas échéant, (…), fournit des éléments à l’appui afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement (…) ».
L’opération de paiement non autorisée
Le nouvel article VII.43, du Code de droit économique énonce ensuite qu’en cas d’opération de paiement non autorisée, le prestataire de services de paiement du payeur doit rembourser immédiatement au payeur le montant de cette opération après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du 1er jour ouvrable suivant, sauf s’il a « de bonnes raisons » de soupçonner une fraude et s’il communique ces raisons par écrit au SPF Economie.
Des règles analogues sont prévues lorsque l’opération de paiement est initiée par l’intermédiaire d’un prestataire de services d’initiation de paiement, auquel incombe la charge de prouver que, pour ce qui le concerne, l’opération en question a été authentifiée et dûment enregistrée et qu’elle n’a pas été affectée par une déficience technique ou autre en relation avec le service de paiement qu’il doit assurer.
Qui supporte les pertes entre la banque et le client ?
L’article VII.44 du Code de droit économique contient les dérogations aux règles générales rappelées ci avant. Il dispose ainsi que le payeur doit supporter, à concurrence
de 50 EUR, jusqu’à la notification faite conformément à l’article VII.38, § 1er, 2°, les pertes liées à toute opération de paiement non autorisée consécutive à l’utilisation d’un instrument de paiement perdu ou volé ou au détournement d’un instrument de paiement. En revanche, le payeur ne doit supporter aucune perte si (i) la perte, le vol ou le détournement d’un instrument de paiement ne pouvaient être détectés par lui avant le paiement, sauf s’il a agi frauduleusement, ou (ii) la perte est due à des actes ou à une carence d’un salarié, d’un agent ou d’une succursale d’un prestataire de services de paiement ou d’une entité vers laquelle ses activités ont été externalisées. En son § 3, le nouvel article VII.44 du Code de droit économique reprend largement le principe selon lequel le payeur ne supporte aucune conséquence financière résultant de l’utilisation d’un instrument de paiement perdu, volé ou détourné, survenue après la notification prévue à l’article VII.38, § 1er, 2°, du même code, sauf si le prestataire de services de paiement apporte la preuve que le payeur a agi frauduleusement.
Comme auparavant, le payeur doit toutefois supporter toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent soit d’un agissement frauduleux de sa part, soit du fait qu’il n’a pas satisfait, intentionnellement ou à la suite d’une négligence grave, à une ou plusieurs des obligations qui lui incombent en vertu de l’article VII.38. Dans ces cas, la franchise de 50 EUR ne s’applique pas.
Sous l’égide du droit actuel, lors d’une opération de paiement passée au moyen d’une carte bancaire ou autres instruments de paiement volés ou falsifiés, la responsabilité des opérations intervenues avant que la perte ou le vol ne soit porté à la connaissance de la banque ne repose sur le titulaire de l’instrument de paiement qu’à concurrence d’un montant de 50 EUR, tandis que si les opérations non-autorisées sont intervenues en vertu d’un comportement frauduleux ou gravement négligent du titulaire, ce dernier supporte l’entière responsabilité de ces opérations.
La négligence grave lors d’une fraude au paiement
L’article VII.44, § 4 du Code de droit économique ajoute que sont notamment considérées comme négligences graves, le fait, pour le payeur de noter ses données de sécurité personnalisés, comme son numéro d’identification personnel ou tout autre code, sous une forme aisément reconnaissable, et notamment sur l’instrument de paiement ou sur un objet ou un document conservé ou emporté par le payeur avec l’instrument de paiement, ainsi que le fait de ne pas avoir notifié au prestataire de services de paiement ou à l’entité indiquée par celui-ci, la perte ou le vol, dès qu’il en a eu connaissance conformément à l’article VII.38, § 1er, 2°. Pour l’appréciation de la négligence, le juge tient compte de l’ensemble des circonstances de fait.
Il en résulte que, avant que l’utilisateur n’ait notifié à son prestataire l’existence d’une opération de paiement non autorisée, la responsabilité de l’utilisateur diffère selon le comportement de ce dernier :
- soit la perte, le vol ou le détournement de l’instrument de paiement n’est pas imputable à l’utilisateur, auquel cas celui-ci voit sa responsabilité limitée à un plafond de 50 euros ;
- soit la perte, le vol ou le détournement de l’instrument de paiement est dû à la négligence grave que l’utilisateur a commis au regard de ses obligations légales ou contractuelles, soit l’utilisateur a agi frauduleusement, auquel cas l’utilisateur est totalement responsable des pertes consécutives à l’opération non autorisée.
Il est, par conséquent, attendu du demandeur/utilisateur d’un instrument de paiement, qu’il fasse usage de son instrument de paiement conformément aux conditions accompagnant son émission, qu’il prenne toutes les mesures raisonnables pour assurer la sécurité de l’instrument de paiement et la confidentialité des données qui y sont liées, et qu’ils préviennent immédiatement l’émetteur de toute perte, vol, utilisation illégale ou non-autorisée de l’instrument[3].
En ce sens, la doctrine prévoit que :
« L’utilisateur de services de paiement est seul responsable, sans limitation, dans deux cas de figure : (i) lorsque celui-ci a agi de manière frauduleuse (…) et (ii) lorsque celui-ci a manqué aux obligations prévues à l’article VII.[38] du CDE, que ce soit de manière intentionnelle ou à la suite d’une négligence grave. Dans le cadre de ses obligations, l’utilisateur doit notamment respecter les conditions contractuelles d’émission et d’utilisation de l’instrument de paiement, pour autant que celles-ci respectent les dispositions du Code »[4].
Lors de son appréciation de la négligence grave, conformément à ce que prévoit l’article VII.44, § 4, alinéa 2 du Code de droit économique, le juge tient compte de l’ensemble des circonstances de fait dont il dispose pour conclure ou non à la négligence grave[5].
C’est aux cours et tribunaux qu’il incombe, en dernier ressort, d’apprécier l’existence ou non d’une négligence grave. La conjonction de plusieurs éléments factuels autorise le juge à présumer que l’opération non autorisée résulte bien d’une négligence grave de la part de l’utilisateur de services de paiement[6].
Dans quels cas les tribunaux ont-ils déjà conclu à une négligence grave d’un titulaire de carte bancaire ?
La jurisprudence a retenu la négligence grave dans le chef de l’utilisateur en raison des circonstances suivantes[7] :
- confier des codes confidentiels et personnels à un tiers ;
- ne pas prêter attention à un inconnu, se conformer à l’invitation de celui-ci et introduire sa carte bancaire et le code secret en la présence de cet individu, permettant ainsi le retrait frauduleux d’argent ;
- avoir choisi un code secret qui est lié à la date de naissance du titulaire du compte[8] ;
- adopter une attitude qui permet aux tiers d’aisément reconnaître le code secret de la carte bancaire.
Enfin, nous estimons, avec d’autres auteurs, qu’en cette matière, il faut apprécier la situation d’un point de vue objectif et non en tenant compte la manière dont le titulaire de l’instrument de paiement exprime avoir perçu la situation. L’analyse doit tenir compte de toutes les circonstances de l’espèce et du comportement qu’adopterait une personne prudente placée dans une situation identique [9].
Dans notre précédent baromètre, nous commentions deux décisions rendues en première instance par le tribunal de première instance d’Anvers. Les demandeurs, clients de la banque, avaient reçu un e-mail prétendument adressé par le « service client », sollicitant qu’ils actionnent une procédure en ligne pour le remplacement de leur carte bancaire. Nous renvoyons à notre précédente contribution pour plus de détails factuels.
Le tribunal avait estimé que la négligence grave des clients ne faisait aucun doute, dès lors que l’attention de ceux-ci aurait dû être attirée par le faisceau d’éléments troublants rencontrés lors de la lecture et du traitement subséquent de l’e-mail frauduleux.
L’une de ces décisions a fait l’objet d’un appel.
La cour d’appel d’Anvers a confirmé cette décision[10], en rappelant notamment les obligations pesant sur l’utilisateur d’un instrument de paiement telles que visées à l’article VII.38 du Code de droit économique : utilisation de l’instrument de paiement conformément aux conditions régissant l’émission et l’utilisation de cet instrument de paiement ; obligation d’informer sans délai en cas de perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ; obligation de prendre toutes les mesures raisonnables afin de préserver la sécurité de l’instrument de paiement et de ses données de sécurité personnalisées).
Pour la cour, un faisceau d’éléments aurait dû attirer l’attention du client, malgré ses 89 ans, lors des faits : outre les éléments exposés supra, l’e-mail d’hameçonnage ne reprenait pas le logo de la banque et l’appel téléphonique subséquent avait été réitéré un samedi, alors que le sujet ne revêtait aucune urgence. L’ignorance de ces éléments, combinée à la transmission des codes personnels du client, sont autant de négligences graves entraînant une responsabilité
illimitée du client.
Quant au grand âge de la victime, la cour d’appel a rappelé que la négligence grave s’apprécie selon le critère du comportement d’un utilisateur de services de paiement normalement prudent et diligent, placé dans les mêmes circonstances externes. Ainsi, pour la cour, il ne peut être tenu compte des caractéristiques propres de l’utilisateur de services de paiement telles que l’âge. La cour développe son propos en indiquant qu’il y a négligence dès que l’on s’écarte du comportement attendu de tout client faisant usage d’un système de paiement électronique. En l’espèce, la victime avait conclu, depuis plusieurs années, un abonnement aux services de paiement électroniques de la banque et faisait usage de ces services, de sorte qu’il devait être considéré comme tout autre utilisateur “normal” de services de paiement.
A ce titre, et comme tous les autres clients de la banque mise en cause, le client avait par ailleurs déjà reçu plusieurs avertissements de sa banque concernant les dangers de tentatives de phishing, ce qui devait entraîner dans son chef une vigilance renforcée, absente en l’espèce.
Dans le cadre du commentaire d’une décision concernant le vol d’une carte bancaire à un guichet automatique que nous avions également commentée dans notre précédent baromètre[11], le professeur Steennot s’est posé la question de savoir si, pour apprécier la négligence du titulaire d’un instrument de paiement, la perception des faits par ce dernier doit ou non être prise en considération par le juge.
L’arrêt ici commenté pose en réalité une question similaire : la capacité de percevoir les faits et une fraude, sans doute influencée par l’âge du titulaire d’un instrument de paiement, peut-elle guider le juge dans son appréciation de l’existence ou non d’une négligence ?
Nous rejoignons le professeur Steennot et la cour dans son analyse, en ligne avec les principes directeurs du droit de la responsabilité et qui répondent au besoin de sécurité juridique : le comportement fautif du titulaire d’un instrument de paiement doit s’analyser d’un point de vue objectif et non en tenant compte de ses caractéristiques personnelles, et notamment de son âge et/ou la manière dont il perçoit une situation donnée.
L’analyse du juge doit certes tenir compte des circonstances de l’espèce, mais uniquement de manière objective et en s’appuyant sur le comportement abstrait qu’adopterait toute personne prudente placée dans une situation identique. En d’autres termes, en matière de responsabilité lors d’opérations de paiement non autorisées, la cour – comme le tribunal de première instance avant elle – consacre une appréciation de la négligence grave in abstracto, et non in concreto[12].
Autre analyse de cas : Fraude informatique par Anydesk ou faux appel de Microsoft
Devant la cour d’appel de Liège[13], une cliente de banque avait été victime d’une fraude informatique après avoir été contactée par plusieurs personnes anglophones et se présentant comme des responsables de la société « Windows ». Ces derniers l’avaient convaincue d’acquérir un logiciel de protection informatique d’une valeur de 25 EUR. Lors de l’ouverture du logiciel en même temps que le site de la banque, elle avait procédé au paiement du montant précité au moyen de son logiciel de banque à distance habituellement utilisé. Dans les heures ayant suivi, les mots de passe avaient été changés, la cliente procédant au blocage de ses comptes par téléphone, s’apercevant ensuite que son compte bancaire avait été débité d’un montant important. L’opération de débit avait été validée par une signature de type UCR[14], soit par le biais d’un lecteur de carte.
En première instance, le tribunal a fait droit à la demande de la cliente de voir la banque supporter le montant de la fraude, sous déduction du forfait prévu par la loi.
En appel, la cour a estimé que le débit litigieux ne pouvait s’expliquer autrement que par la communication par la cliente, aux auteurs de la fraude, des codes nécessaires à la création d’une signature électronique correspondant à un virement du montant débité, et que ces codes ne pouvaient être obtenus que par l’introduction, dans le lecteur de carte de la cliente, des données correspondant à une transaction de ce montant, comprenant le montant de l’opération et une combinaison du numéro de compte du bénéficiaire. Le lecteur de carte était toujours resté en possession de la victime, la cour a estimé que le « piratage à distance des données de la carte » n’était étayé par aucune expertise technique accréditant la vraisemblance de cette hypothèse.
Conformément à l’article VII. 27 du Code de droit économique, l’opération de virement a été considérée comme autorisée, le consentement de la cliente ayant été donné dans les formes convenues entre cette dernière et la banque et conformément à la procédure décrite dans les conditions générales[15].
En cas de contestation du caractère autorisé d’une opération, la banque doit démontrer que l’opération litigieuse a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre, ce que la banque a fait en l’espèce.
Cependant, l’article VII.34 du Code de droit économique dispose également que lorsque l’utilisateur de services de paiement nie avoir autorisé une opération qui a été exécutée, l’utilisation d’un instrument de paiement, telle qu’enregistrée par le prestataire de services de paiement, ne suffit pas nécessairement en tant que telle à prouver que l’opération de paiement a été autorisée par le payeur.
La cour retient la négligence grave de la cliente, le paiement n’ayant pu être réalisé qu’avec le concours de cette dernière qui aura soit communiqué ses codes aux fraudeurs, soit les aura encodés directement sur les instructions de ces derniers. La cour relève également les mêmes éléments factuels que dans l’arrêt précédemment commenté, étant entendu l’existence de nombreux avertissements et recommandations en tous genres dont l’ignorance est constitutive d’une négligence grave.
Autre cas : utilisation d’une carte de crédit par un tiers
Dans un autre dossier qui concernait des transactions prétendument non autorisées intervenues via une carte de crédit, la société émettrice de la carte et prestataire de services de paiement invoquait, à titre de négligence grave, la tardiveté du titulaire de la carte à la prévenir du caractère non autorisé des transactions dont l’établissement de crédit réclamait le remboursement.
En l’espèce, le titulaire de la carte indiquait ne pas avoir reçu de relevés de carte durant une certaine période, sans s’en être étonné dès lors qu’il n’utilisait cette carte que très peu souvent. L’adresse de destination des relevés avait par ailleurs été modifiée, visiblement sans le consentement du titulaire de la carte, laquelle avait vraisemblablement été volée sans que son titulaire ne le remarque.
La cour d’appel de Gand a estimé que le titulaire de la carte n’avait pas commis de négligence grave en tardant à détecter les opérations frauduleuses et le vol de sa carte. Quant au changement d’adresse d’envoi des relevés de compte, les questions de sécurité posées par la société émettrice de la carte pouvaient trouver réponse aisée si le détenteur de la carte était une personne proche du titulaire – il s’agissait en l’espèce uniquement de renseigner la date de naissance du titulaire pour s’identifier comme tel. Rien ne pouvait donc être reproché au titulaire de la carte.
Enfin, notons que la carte volée n’était pas dotée d’une puce électronique et que les transactions pouvaient intervenir sur simple glissement de la carte et signature manuscrite de son porteur. La négligence grave a été écartée[16].
Une entreprise victime des agissements frauduleux d’un employé (virements frauduleux)
Dans une dernière affaire, une entreprise avait été victime des agissements frauduleux de l’une de ses employées, qui transmettait à la banque des virements papier, sans être formellement mandatée auprès de la banque pour ordonner de tels virements. La banque avait exécuté ces paiements jusqu’à ce qu’un audit de l’entreprise permette de mettre à jour la fraude.
La cour d’appel de Bruxelles a retenu la responsabilité de la banque, et a rejeté toute responsabilité dans le chef de l’entreprise qui n’avait pourtant pas contesté les opérations reprises dans ses extraits de compte[17].
Une réflexion de notre part sur ce sujet et la responsabilité du citoyen est à retrouver ici.
[1] Disponible sur le site http://www.ombudsfin.be. Ombudsfin a lancé un appel pour appuyer les campagnes de prévention contre les manipulations de fraudeurs qui parviennent encore trop souvent à détourner des fonds par ruse en profitant de la crédulité des victimes. Son rapport 2019 rappelle quelques consignes de sécurité pour ne pas se laisser piéger, invitant par ailleurs à consulter régulièrement le site http://www.safeonweb.be. Les avis rendus par Ombudsfin en cette matière sont également consultables sur le site de ce dernier.
[2] On surligne.
[3] Article VII. 38 du Code de droit économique. A ce sujet, voy. R. STEENNOOT, “Authenticatie van versus instemming met betalingstransacties en de verplichting om onverwijld en uiterlijk binnen de 13 maanden kennis te geven”, note sous Hoge Raad (NL), 21 mai 2021 et CJUE, 2 septembre 2021, C-337/20, R.D.C., 2022/2; R. STEENOOT, “Fraude in het betaalverkeer: waarom het slachtoffer in de kou kan blijven staan”, T.P.R. 2021, 2-3.
[4] J. SAD, « Les services de paiement », in Traité pratique de droit commercial, t. 5, Waterloo, Kluwer.
[5] Comm. Bruxelles, 27 novembre 2006, D.B.F., 2007, p. 137..
[6] J. SAD, ibidem.
[7] J. SAD, ibidem.
[8] Entr. Bruxelles, 22 mars 2021, inédit, 20/2052/A.
[9] R. Steenot, “Niet-toegestane betalingstransacties : de kennisgevingsverplichting eng ingevuld”, Dr. Banc. Fin., 2020, liv. 2 ., p. 75 ; G. Laguesse, et P. Proesmans, « Baromètre de jurisprudence en droit bancaire : 2019 », D.A.O.R., 2021/1, p. 2-44 ; G. LAGUESSE, « Phishing et responsabilités : l’appréciation in abstracto de la négligence grave », note sous Anvers, 5 novembre 2020, D.B.F. 2021/1. ; Voy. C. ALTER et L. VAN MUYLEM, Phishing et fraude à la facture ou au président : état des lieux, in Liber Amicorum X. DIEUX, 2022, Larcier, pp. 989 et s.
[10] Anvers, 5 novembre 2020, D.B.F. 2021/1 et note G. LAGUESSE, « Phishing et responsabilités : l’appréciation in abstracto de la négligence grave ».
[11] R. STEENNOOT, “Niet-toegestane betalingstransacties : de kennisgevingsverplichting eng ingevuld” (note sous Bruxelles, 14 novembre 2019), D.B.F., 2020/2, p. 75.
[12] C. ALTER et L. VAN MUYLEM, op. cit, p. 1007 évoquent l’influence que peut avoir le degré de sophistication de la fraude commise, proposant une analyse selon laquelle l’utilisateur moyen n’est pas infaillible, et que la négligence grave ne saurait être retenue lorsque la fraude est trop sophistiquée ou pernicieuse pour pouvoir être détectée par un utilisateur normal. Les auteurs citent une décision du tribunal de l’entreprise de Leuven du 23 mars 2021 , inédit, R.G. A/20/00352.
[13] Liège, 9 janvier 2020, inédit ; Pour un cas similaire – avec prise de contrôle de l’ordinateur du client par un tiers -, voy. J.P. Bruxelles, 11 mars 2021, inédit, 20A633/1.
[14] Pour Unconnected Card Reader.
[15] Dans le même sens, voy. J.P. Liège, 21 mai 2021, R.G. 20/A/2698, inédit.
[16] Gand, 15 janvier 2020, inédit, 2016/AR/920. Dans le même sens, Civ. Bruxelles, 8 janvier 2021, inédit, 2019/894/A; Civ. Anvers, 16 février 2021, inédit (la banque a interjeté appel) ; Entr. Leuven, 23 mars 2021, inédit (la banque a interjeté appel) ; Civ. Anvers, 9 juin 2022, inédit, 20/3758/A (la banque a interjeté appel).
[17] Bruxelles, 14 mai 2020, inédit, 2014/AR/54.
Laisser un commentaire