Les clients doivent restés vigilants et les banques doivent assumer leurs responsabilités en cas de fraudes par usurpation d’identité en particulier. Une directive européenne tire les choses au clair.

L’affaire avait fait grand bruit au cœur de l’été dernier. Des dizaines de clients de la BIL avaient été victimes d’un faux site de la banque, l’imitant à la perfection, tout comme le site de LuxTrust. Des virements frauduleux ont pu être réalisés et les victimes se sont retrouvées désarmées face à l’escroquerie.

Les députés s’en étaient émus et les socialistes avaient demandé une heure d’actualité sur le sujet en octobre dernier. Une motion déposée par Ben Polidori invitait le gouvernement à mettre en œuvre, dans les meilleurs délais, une adaptation du cadre législatif national, en s’inspirant des principes contenus dans les projets de la directive sur les services de paiement (PSD3) et le règlement européen sur les services de paiement (RSP).

Cette motion n’avait pas été soumise au vote, mais renvoyée en commission et la discussion a eu lieu jeudi. Dans sa motion, le député LSAP insistait notamment sur l’inversion de la charge de la preuve en cas de fraude numérique et sur la mise en place d’une obligation claire de remboursement des victimes par les établissements financiers, sauf en cas de négligence grave et démontrée de leur part. Il citait, à ce titre, un arrêt de la Cour de cassation française qui a sauvé le client d’une banque qui refusait de lui rembourser des virements frauduleux.

Dans le cas d’espèce, il ne s’agissait pas d’un faux site mais d’un appel téléphonique d’une personne se faisant passée pour sa conseillère financière. Le numéro de téléphone qui s’affichait sur l’écran était le même, le client n’avait pas à douter de son interlocuteur. Et pourtant, le faux conseiller a demandé à la victime de supprimer cinq personnes de sa liste de bénéficiaires de virements, puis de les y réinscrire en renseignant son code confidentiel. La victime a suivi les instructions qui lui était données. Deux jours plus tard, le client a réalisé avoir été victime d’une escroquerie.

Il a demandé à sa banque le remboursement des sommes prélevées. L’établissement a refusé, mais la Cour de cassation a rappelé dans son arrêt que c’est à la banque de rapporter la preuve que son client a commis une négligence grave. Dans cette affaire, au regard des circonstances dans lesquelles l’escroquerie a eu lieu, il ne peut être reproché au client d’avoir commis une négligence grave.

L’inversion de la charge de la preuve contenue dans la nouvelle directive va contraindre les prestataires de paiement à prouver la négligence grave du client, sinon ils devront rembourser, notamment pour des fraudes comme le «spoofing» ou l’usurpation d’identité, sous réserve d’une déclaration à la police et d’une information au prestataire de services de paiement, et à condition que le consommateur n’ait pas agi de mauvaise foi.

Conformité en 2028

Le ministre des Finances, Gilles Roth, assure aux députés réunis en commission que le Luxembourg souhaite être parmi les premiers pays européens à mettre en œuvre le paquet législatif concernant la directive sur les services de paiement (PSD3) et le règlement européen sur les services de paiement (RSP). Selon le compte rendu de la réunion, un accord politique provisoire a été conclu fin novembre 2025, et il s’agit maintenant d’effectuer un dernier toilettage législatif.

Il a également précisé que le règlement européen est directement applicable, mais que les acteurs concernés (banques, etc.) disposent d’un délai de 18 à 24 mois pour se mettre en conformité, donc au plus tard début 2028. Gilles Roth a ajouté que si des adaptations législatives nationales s’avéraient nécessaires, celles-ci seraient traitées de manière prioritaire.

En ce qui concerne la demande d’introduction d’un guichet unique, le représentant de l’ABBL a expliqué que celui-ci existe déjà aujourd’hui via le numéro 49 10 10. Il a toutefois admis que les consommateurs n’ont pas le réflexe d’appeler immédiatement ce numéro et que les banques doivent communiquer plus largement sur ce point.

Gilles Roth a confirmé que cette mesure s’applique également dans le cas où l’ensemble du site internet d’une banque a été falsifié et que le consommateur a été victime d’opérations frauduleuses.

Les clients abusés par le faux site de la BIL ont chargé un avocat de défendre leurs intérêts devant la justice. Ils ont du mal à accepter le refus de la banque de les rembourser et de se voir reprocher une quelconque négligence de leur part.