Rob
Beenders

Le ministre de la Protection des consommateurs, Rob Beenders, augmente la pression sur les banques. « Elles doivent clairement informer leurs clients lorsqu’elles estiment que le phishing s’est produit par leur propre faute », déclare le ministre. Les critères actuellement utilisés par les banques pour définir un « comportement imprudent » de la part des clients ne sont pas transparents et varient d’une institution à l’autre. Ainsi, dans la plupart des cas, la banque n’intervient pas en cas de phishing. Le ministre Beenders a donc adressé une lettre à toutes les institutions bancaires : elles doivent établir une check-list leur servant à déterminer si leurs clients ont fait preuve ou non d’imprudence en cas de phishing. 

La semaine dernière, le ministre de la Protection des consommateurs, Rob Beenders, avait déjà demandé à la fédération sectorielle des banques, Febelfin, de présenter d’ici l’été un plan concret avec toutes les mesures techniques que le secteur adoptera pour lutter contre le phishing. Un numéro de téléphone unique sera créé pour signaler les cas de phishing, et la vérification du nom associé à l'IBAN a déjà été mise en place. En outre, une période de réflexion sera instaurée en cas d'augmentation des limites, et les clients recevront une notification lorsque leur limite sera relevée. Ces modifications ont déjà été convenues avec les banques. 

Par ailleurs, la législation est claire : les banques sont tenues de rembourser immédiatement les victimes de phishing si de l'argent disparaît soudainement de leur compte, en cas de transactions de paiement non autorisées. Il appartient ensuite à la banque de prouver que la victime a éventuellement fait preuve de négligence grave. Ce n'est que si la banque parvient à le démontrer qu'elle peut récupérer l'argent auprès du client. Dans tous les autres cas, la banque doit simplement reverser l'argent. L'obligation de remboursement immédiat ne s'applique pas en cas de fraude de la part du consommateur ; la banque doit alors en informer le SPF Économie. Mais à ce jour, aucun cas n'a encore été signalé. 

« Après avoir discuté avec plusieurs victimes, je constate qu’aujourd’hui, les banques interprètent trop souvent la législation à leur avantage, ce qui empêche les victimes de phishing de récupérer leur argent. Il y a une différence frappante entre la manière dont les gens sont protégés en cas de vol classique et en cas d’escroquerie en ligne. En matière de cybercriminalité, qui est souvent perpétrée à grande échelle et de manière sophistiquée, c’est généralement la victime qui doit assumer elle-même le préjudice. Cela doit changer », déclare le ministre Beenders. 

Selon les chiffres de la BCE, en cas de virement frauduleux, ce sont les consommateurs qui supportent pas moins de 92 % des pertes en Belgique, et non les banques. Ce chiffre est nettement supérieur à la moyenne européenne de 85 %. Les données de la GASA (Global Anti-Scam Alliance) confirment les défaillances du filet de sécurité : bien que 72 % des victimes aient signalé la fraude à leur banque, seules 34 % d’entre elles ont réussi à récupérer leur argent (ou une partie de celui-ci). Dans la plupart des cas, le consommateur se retrouve donc lésé. 

Cette situation est tout à fait déséquilibrée si on la compare à d'autres formes de fraude aux paiements. Dans le cas de la fraude classique par carte (53 millions d'euros en 2024 en Belgique), les pertes sont réparties de manière beaucoup plus équitable : le consommateur belge supporte ici 54 % des pertes. En cas de fraude aux domiciliations, les banques belges supportent 100 % des pertes. 

Le phishing n'est en réalité rien d'autre que le vol d'une « carte numérique » ou d'une « clé numérique » du consommateur. Pourtant, en raison de l'interprétation actuelle de la législation et des conditions bancaires, la victime d'un phishing est nettement moins bien protégée que la victime d'un vol de carte physique. 

Critères de négligence grave inconnus 

Les banques se retranchent entre autres derrière une interprétation très large du terme « négligence grave ». Elles abusent également de la distinction entre les notions techniques de « transaction autorisée » et de « transaction non autorisée ». Le fait que vos données bancaires se soient retrouvées entre les mains d’un fraudeur ne signifie bien sûr pas que vous vouliez que votre argent disparaisse. Personne ne souhaite ça. En cas de phishing, il ne peut tout simplement jamais être question d’une « transaction autorisée ». 

Ce qui est particulièrement inquiétant, c’est que l’interprétation de cette notion varie fortement d’une banque à l’autre. Les victimes se voient présenter des raisons diverses, voire même juridiquement douteuses, pour justifier un refus de remboursement. Il ressort ainsi des entretiens que, dans certains dossiers, les banques exigent qu’une plainte soit déposée auprès de la police dans les 24 heures, alors qu’une telle condition n’a aucun fondement juridique. Il est très difficile d’obtenir la liste des motifs invoqués lorsqu’une banque déclare qu’il y a négligence grave. Impossible même de savoir si toutes les banques utilisent cette liste de la même manière.  

Cela soulève de sérieuses questions quant à la manière dont les banques assument leurs obligations légales. Il est fort probable que certaines institutions cherchent systématiquement des raisons pour éviter à tout prix d’effectuer un remboursement. « C'est inacceptable. Je veux savoir exactement sur quelle base les banques invoquent la négligence grave. J'attends pour chaque grande banque une liste claire des motifs, fondée sur l'application de la loi », ajoute le ministre Beenders. 

C'est pourquoi le ministre prend les mesures suivantes : 

• Toutes les banques ont reçu la demande formelle de faire preuve d’une transparence totale quant aux critères utilisés pour établir la « négligence grave ». Elles doivent transmettre leurs check-lists internes et leurs cadres d’évaluation à son cabinet.
• Toutes les banques doivent indiquer sur quelle base juridique elles s’appuient pour ne pas appliquer la procédure de remboursement prévue par la loi.
• Le ministre veillera, en collaboration avec les autorités compétentes, au strict respect de la législation et, si nécessaire, prendra des mesures coercitives.
• Par ailleurs, le ministre travaille à l'élaboration d'une législation interprétative visant à lever toute ambiguïté. 
   
• Lorsqu’un client confie son argent à une banque ou à un autre établissement financier, il compte sur le fait qu’il soit géré et protégé avec soin. Il est inacceptable que les victimes doivent prouver (juridiquement) qu’une banque a fait preuve de négligence pour récupérer leur argent après une attaque de phishing. Les banques doivent prendre les mesures de sécurité adéquates.  

« Il est inadmissible que les citoyens, victimes de pratiques frauduleuses de plus en plus professionnelles, doivent en outre se battre pour récupérer leur argent, alors que le secteur bancaire a enregistré 8 milliards de bénéfices l'année dernière. Les victimes de phishing méritent protection, sécurité juridique et un traitement correct. Je m'engagerai sans relâche dans ce sens. J'attends une réponse des banques dans les quatre semaines et je poursuivrai avec détermination la lutte contre le phishing », conclut le ministre Beenders.