Vorige

Betalingen en betaalrekeningen, verrichtingen op afstand, phishing, persoonlijke en professionele rekeningen, gebrek aan sterke cliëntauthenticatie

 

FIN2025-4630

THEMA

Betalingen en betaalrekeningen, verrichtingen op afstand, phishing, persoonlijke en professionele rekeningen, gebrek aan sterke cliëntauthenticatie

ADVIES

Aanwezig:

R. Steennot, voorzitter.

De heren P. D’Haen, P. François, A. Guigui, en E. Van den Haute, leden.

Datum: 7 april 2026

---------------------------------------------------------------------------------------------------------------

1. VRAGEN VOORGELEGD AAN HET COLLEGE

Feiten van het dossier (samengevat):

Klager dient een klacht in in eigen naam en als bestuurder van een vennootschap. De klager, de vennootschap en een aantal verenigingen van mede-eigenaars (VME’s) waarvan klager destijds syndicus was, houden allen rekeningen aan bij dezelfde financiële instelling.

Op (datum) 2025 wordt klager slachtoffer van vishing: een fraudeur die zich voordoet als een bankmedewerker slaagt erin om de klager via de telefoon te overtuigen om handelingen te stellen met bankkaart, pincode en kaartlezer om zogezegde fraude tegen te gaan.

Klager geeft op telefonische instructie van de fraudeur 2 met bankkaart, pincode en kaartlezer aangemaakte responscodes door aan de fraudeur (via de computer van de klager die vermoedelijk vanop afstand door de fraudeur is overgenomen).

De fraude leidt tot een login op internetbankieren waarna via dit kanaal verschillende overschrijvingen worden bevestigd vanop de persoonlijke rekening van de klager en vanop rekeningen van VME’s waarop de klager als syndicus een volmacht had. De begunstigde van deze overschrijvingen is de rekening van de vennootschap waarvan de klager bestuurder is. Vanop de rekening van de vennootschap wordt een bedrag van 25.000 euro overgeschreven naar een buitenlandse rekening.

Klager vraagt tussenkomst van de financiële instelling voor het geleden financieel nadeel.

Vraag 1 – over de mogelijkheid tot afwijking van artikel VII.44 WER voor niet-consumenten

De wettelijke aansprakelijkheidsregeling voorzien in de artikel VII.43 en VII.44 WER speelt in principe zowel ten aanzien van consumenten als niet-consumenten. Wel laat artikel VII.29 WER toe dat betalingsdienstaanbieders met betalingsdienstgebruikers die geen consument zijn overeenkomen dat de objectieve aansprakelijkheidsregeling bij niet-toegestane betalingstransacties (met name artikel VII.44 WER) geheel of gedeeltelijk niet van toepassing is:

“VII.29 Wanneer de betalingsdienstgebruiker geen consument is, kunnen partijen overeenkomen dat de artikelen VII.30, § 1, VII.32, § 3, VII.33, VII.42, VII.44, VII.46 en VII.47, VII.50, VII.55/3 tot VII.55/7, in het geheel of ten dele niet van toepassing zijn. Partijen kunnen ook een andere termijn overeenkomen dan die welke is bepaald in artikel VII.41.” (eigen markering)

De financiële instelling in het voorliggend dossier maakt van deze mogelijkheid gebruik via haar algemene bankvoorwaarden.

Vraag: Kan Ombudsfin in het voorliggend dossier verdedigen dat, ondanks de contractuele beperking, de wettelijke aansprakelijkheidsregeling bij niet-toegestane betalingstransacties toch speelt voor sommige of alle in het dossier betwiste verrichtingen?

Vraag 2 – over de toepassing van sterke cliëntauthenticatie

In het voorliggend dossier is een fraudeur erin geslaagd om op basis van een onderschepte responscode (aangemaakt met bankkaart, pincode en kaartlezer) in te loggen op internetbankieren. De toegang tot internetbankieren was dan ook onderworpen aan een sterke cliëntauthenticatie.

Voor de overschrijving van gelden tussen rekeningen waarvan de klager houder was of waarop de klager een volmacht had, werd geen bijkomende authenticatie gevraagd. Dit maakt dat in het voorliggend dossier meer dan 50.000 euro kon verplaatst worden tussen rekeningen van minstens 4 verschillende rekeninghouders (2 VME's, de vennootschap en de klager als privépersoon).

Als algemene regel geldt dat banken in sterke cliëntauthenticatie moeten voorzien indien een betaler:

  • zich online toegang tot zijn betaalrekening verschaft;
  • een elektronische betalingstransactie initieert;
  • via een communicatiemiddel op afstand een verrichting uitvoert die een risico op betalingsfraude of andere vormen van misbruik of bedrog met zich mee kan brengen.

(zie artikel 47 en 145 van de wet van 11 maart 2018 betreffende het statuut van en het toezicht op de betalingsinstellingen en de instellingen voor elektronisch geld)

Afwijkingen zijn evenwel toegestaan, voor zover deze in lijn zijn met de Europese Gedelegeerde Verordening Sterke Cliëntauthenticatie.

De financiële instelling verdedigt dat geen sterke cliëntauthenticatie vereist is als volgt: "Als een klant interne overboekingen wil uitvoeren tussen haar eigen rekeningen en/of rekeningen waarvoor ze gekend is als gevolmachtigde dienen deze overboekingen niet bijkomend te worden ondertekend. Aangezien dit interne overdrachten betreft is er ook geen verlies voor de klant".

Vraag: Is de toepassing die de financiële instelling maakt in lijn met de wetgeving (en in het bijzonder de uitzonderingsgronden voorzien in de Gedelegeerde Verordening SCA)?

2. ANTWOORDEN VAN HET COLLEGE

Vraag 1: fraude via professionele rekening

Wanneer in het kader van één enkele fraude door een fraudeur eerst gelden worden overgemaakt van een privérekening naar een professionele rekening waartoe de houder van de privérekening via zijn webbanking toegang heeft, en vervolgens gelden worden getransfereerd van deze professionele rekening naar de rekening van een fraudeur, dan kan van artikel VII.44 WER enkel worden afgeweken voor de tweede niet-toegestane betalingstransactie. Voor de eerste niet-toegestane transactie is een afwijking van het regime uit artikel VII.44 WER niet mogelijk, aangezien het slachtoffer deze rekening voert als een consument. Deze interpretatie verzekert dat een consument die het slachtoffer wordt van betaalfraude op dezelfde manier wordt behandeld ongeacht het verdere verloop van de fraude.

In casu werd van de privérekening van het slachtoffer een bedrag van 11.250 euro overgemaakt naar een professionele rekening van een vennootschap waartoe het slachtoffer toegang had via zijn internetbankieren omgeving. Vervolgens werd via deze rekening 25.000 euro overgemaakt naar een rekening onder controle van de fraudeur in Turkije. Bovenstaande redenering impliceert dat voor de niet-toegestane betalingstransactie ten belope van 11.250 euro het regime uit artikel VII.44 WER toepassing vindt. Voor de tweede niet-toegestane betalingstransactie kan van het regime uit artikel VII.44 WER worden afgeweken in de bankvoorwaarden.

Vraag 2: betreffende sterke cliëntenauthenticatie

Wat de transactie van 11.250 euro betreft, wordt vastgesteld dat zij heeft plaatsgevonden zonder sterke cliëntenauthenticatie. De overboeking van dit bedrag kon immers plaatsvinden zonder dat daarbij een geheime code moest worden ingevoerd. Het loutere feit dat voorafgaandelijk aan de uitvoering van de transactie gebruik werd gemaakt van sterke cliëntenauthenticatie om toegang te verkrijgen tot de omgeving van internetbankieren volstaat niet opdat de betalingstransactie op zich het voorwerp uitmaakt van sterke cliëntenauthenticatie. Een eerder geauthenticeerde sessie kan wel één element van de SCA leveren, maar dan moet bij de betaling zelf nog het andere element aanwezig zijn én, bij remote betalingen, een dynamic linking met het concrete bedrag en de begunstigde (https://www.eba.europa.eu/single-rule-book-qa/qna/view/publicId/2018_4141). Als de transactie dus enkel kon doorgaan omdat men al in de omgeving van internet-bankieren zat, zonder een bijkomende transactie-specifieke authenticatie (zoals het expertenpanel afleidt uit de beschikbare gegevens in het dossier), dan is de betaling uitgevoerd zonder sterke cliëntenauthenticatie.

In dat geval draagt de betaler op grond van artikel VII.44 §2 WER geen enkele aansprakelijkheid voor deze niet-toegestane transactie die heeft plaatsgevonden zonder sterke cliëntenauthenticatie. Deze bijzondere regel vindt niet alleen toepassing wanneer op grond van de Gedelegeerde Verordening sterke cliëntenauthenticatie verplicht is, doch tevens wanneer de Gedelegeerde Verordening inzake sterke cliëntenauthenticatie toelaat om geen gebruik te maken van sterke cliëntenauthenticatie. We merken in dit kader ook nog op dat de uitzondering waarin artikel 15 voorziet voor transacties tussen door dezelfde natuurlijke persoon of rechtspersoon aangehouden rekeningen niet speelt indien de rekeninghouder van de gedebiteerde rekening slechts een volmacht heeft met betrekking tot de begunstigde rekening en niet de titularis van de rekening is.

In geval waarin de vrijstelling van aansprakelijkheid speelt ingevolge afwezigheid van sterke cliëntenauthenticatie, speelt een eventuele grove nalatigheid in hoofde van de betaler geen rol. De betalingsdienstaanbieder dient in casu dan ook de privérekening met 11.250 euro te crediteren.

Gelet op de afwijking van artikel VII.44 WER in de bankvoorwaarden met betrekking tot de professionele rekening (rekening op naam van de vennootschap), rust er geen aansprakelijkheid op de betalingsdienstaanbieder voor de transactie van 25.000 euro (die overigens wel het voorwerp uitmaakte van een sterke cliëntenauthenticatie). Dit bedrag moet dan ook niet opnieuw gecrediteerd worden op de professionele rekening.

--------------------------------------------------------------------------------------------------------------

Avis rendu en néerlandais - traduction libre 

THÈME

Paiements et comptes de paiement, opérations à distance, phishing, comptes personnels et professionnels, absence d’authentification forte du client

AVIS

Présents :

R. Steennot, président.

Messieurs P. D’Haen, P. François, A. Guigui, et E. Van den Haute, membres.

Date : 7 avril 2026

1. QUESTIONS SOUMISES AU COLLÈGE

Faits du dossier (résumé):

Le plaignant a introduit une plainte en son nom propre et en qualité d’administrateur d’une société. Le plaignant, la société et plusieurs associations de copropriétaires (ACP) dont le plaignant était à l’époque syndic détiennent tous des comptes auprès du même établissement financier.

Le (date) 2025, le plaignant est victime de vishing : un fraudeur se faisant passer pour un employé de la banque parvient à convaincre le plaignant, par téléphone, d’effectuer des opérations avec sa carte bancaire, son code PIN et son lecteur de carte afin de prétendument contrer une fraude.

Sur instruction téléphonique du fraudeur, le plaignant communique à celui-ci deux codes de réponse générés au moyen de sa carte bancaire, de son code PIN et de son lecteur de carte (via l’ordinateur du plaignant, vraisemblablement contrôlé à distance par le fraudeur).

La fraude permet une connexion à la banque en ligne, après quoi plusieurs virements sont confirmés par ce canal depuis le compte personnel du plaignant et depuis des comptes d’ACP sur lesquels le plaignant disposait d’une procuration en qualité de syndic. Le bénéficiaire de ces virements est le compte de la société dont le plaignant est administrateur. Depuis le compte de la société, un montant de 25.000 euros est transféré vers un compte étranger.

Le plaignant sollicite l’intervention de l’établissement financier pour le préjudice financier subi.

Question 1 – sur la possibilité de déroger à l’article VII.44 CDE pour les non-consommateurs

Le régime légal de responsabilité prévu aux articles VII.43 et VII.44 CDE s’applique en principe tant à l’égard des consommateurs que des non-consommateurs. L’article VII.29 CDE permet toutefois aux prestataires de services de paiement de convenir avec des utilisateurs de services de paiement qui ne sont pas des consommateurs que le régime de responsabilité objective en cas d’opérations de paiement non autorisées (à savoir l’article VII.44 CDE) n’est pas applicable en tout ou en partie :

« VII.29 Lorsque l’utilisateur de services de paiement n’est pas un consommateur, les parties peuvent convenir que les articles VII.30, § 1er, VII.32, § 3, VII.33, VII.42, VII.44, VII.46 et VII.47, VII.50, VII.55/3 à VII.55/7, ne s’appliquent pas, en tout ou en partie. Les parties peuvent également convenir d’un autre délai que celui prévu à l’article VII.41. » (mise en évidence ajoutée)

Dans le présent dossier, l’établissement financier a fait usage de cette possibilité par le biais de ses conditions bancaires générales.

Question : Ombudsfin peut-il décider, dans le présent dossier, que malgré la limitation contractuelle, le régime légal de responsabilité en cas d’opérations de paiement non autorisées s’applique néanmoins à certaines des opérations contestées, voire à l’ensemble de celles-ci?

Question 2 – sur l’application de l’authentification forte du client

Dans le présent dossier, un fraudeur est parvenu à se connecter à la banque en ligne sur la base d’un code de réponse intercepté (généré au moyen d’une carte bancaire, d’un code PIN et d’un lecteur de carte). L’accès à la banque en ligne était donc soumis à une authentification forte du client.

Pour le virement de fonds entre des comptes dont le plaignant était titulaire ou sur lesquels il disposait d’une procuration, aucune authentification supplémentaire n’a été demandée. Il en résulte que, dans le présent dossier, plus de 50.000 euros ont pu être transférés entre des comptes d’au moins quatre titulaires différents (deux ACP, la société et le plaignant en tant que personne privée).

En règle générale, les banques doivent prévoir une authentification forte du client lorsqu’un payeur :

  • accède en ligne à son compte de paiement ;
  • initie une opération de paiement électronique ;
  • effectue, par le biais d’un moyen de communication à distance, une opération susceptible de comporter un risque de fraude au paiement ou d’autres formes d’abus ou de tromperie.

(voir les articles 47 et 145 de la loi du 11 mars 2018 relative au statut et au contrôle des établissements de paiement et des établissements de monnaie électronique)

Des dérogations sont toutefois autorisées, pour autant qu’elles soient conformes au règlement délégué européen relatif à l’authentification forte du client.

L’établissement financier soutient qu’aucune authentification forte du client n’est requise dans les termes suivants : « Lorsqu’un client souhaite effectuer des virements internes entre ses propres comptes et/ou des comptes pour lesquels il est connu comme mandataire, ces virements ne doivent pas être signés de manière supplémentaire. Dès lors qu’il s’agit de transferts internes, il n’y a pas non plus de perte pour le client ».

Question : L’application faite par l’établissement financier est-elle conforme à la législation (et en particulier aux cas d’exemption prévus dans le règlement délégué SCA)?

 

2. RÉPONSES DU COLLÈGE

Question 1 : fraude passant par un compte professionnel

Lorsque, dans le cadre d’une fraude unique, un fraudeur fait d’abord transférer des fonds d’un compte privé vers un compte professionnel auquel le titulaire du compte privé a accès via son environnement de banque en ligne, puis fait transférer des fonds de ce compte professionnel vers le compte d’un fraudeur, il ne peut être dérogé à l’article VII.44 CDE que pour la seconde opération de paiement non autorisée. Pour la première opération non autorisée, une dérogation au régime de l’article VII.44 CDE n’est pas possible, dès lors que la victime détient ce compte en qualité de consommateur. Cette interprétation garantit qu’un consommateur victime d’une fraude au paiement soit traité de la même manière, indépendamment du déroulement ultérieur de la fraude.

En l’espèce, un montant de 11.250 euros a été transféré du compte privé de la victime vers un compte professionnel d’une société auquel la victime avait accès via son environnement de banque en ligne. Ensuite, un montant de 25.000 euros a été transféré via ce compte vers un compte contrôlé par le fraudeur en Turquie. Le raisonnement qui précède implique que, pour l’opération de paiement non autorisée d’un montant de 11.250 euros, le régime de l’article VII.44 CDE est applicable. Pour la seconde opération de paiement non autorisée, il peut être dérogé au régime de l’article VII.44 CDE dans les conditions bancaires.

Question 2 : relative à l’authentification forte du client

En ce qui concerne l’opération de 11.250 euros, il est constaté qu’elle a eu lieu sans authentification forte du client. Le virement de ce montant a en effet pu être effectué sans qu’un code secret doive être introduit. Le seul fait qu’une authentification forte du client ait été utilisée préalablement à l’exécution de l’opération afin d’accéder à l’environnement de banque en ligne ne suffit pas à considérer que l’opération de paiement elle-même a fait l’objet d’une authentification forte du client. Une session préalablement authentifiée peut certes fournir un élément de la SCA, mais il faut alors encore que l’autre élément soit présent lors du paiement lui-même et, pour les opérations de paiement à distance, qu’il y ait un lien dynamique avec le montant concret et le bénéficiaire (https://www.eba.europa.eu/single-rule-book-qa/qna/view/publicId/2018_4141). Si l’opération n’a donc pu être exécutée que parce que l’utilisateur se trouvait déjà dans l’environnement de banque en ligne, sans authentification supplémentaire propre à l’opération (comme le collège d’experts le déduit des données disponibles dans le dossier), le paiement a été exécuté sans authentification forte du client.

Dans ce cas, le payeur ne supporte, sur la base de l’article VII.44, § 2, CDE, aucune responsabilité pour cette opération non autorisée qui a eu lieu sans authentification forte du client. Cette règle particulière s’applique non seulement lorsque l’authentification forte du client est obligatoire en vertu du règlement délégué, mais également lorsque le règlement délégué relatif à l’authentification forte du client permet de ne pas recourir à une authentification forte du client. Nous relevons également à cet égard que l’exception prévue à l’article 15 pour les opérations entre comptes détenus par la même personne physique ou morale ne s’applique pas lorsque le titulaire du compte débité ne dispose que d’une procuration sur le compte bénéficiaire et n’en est pas le titulaire.

Dans le cas où l’exonération de responsabilité s’applique en raison de l’absence d’authentification forte du client, une éventuelle négligence grave dans le chef du payeur ne joue aucun rôle. Le prestataire de services de paiement doit dès lors, en l’espèce, créditer le compte privé du montant de 11.250 euros.

Compte tenu de la dérogation à l’article VII.44 CDE prévue dans les conditions bancaires en ce qui concerne le compte professionnel (compte au nom de la société), aucune responsabilité ne pèse sur le prestataire de services de paiement pour l’opération de 25.000 euros (qui a d’ailleurs bien fait l’objet d’une authentification forte du client). Ce montant ne doit donc pas être recrédité sur le compte professionnel.