2019.734

THEME
Paiements et comptes de paiements - Opérations à distance - Paiements par PC - Opérations contestées
AVIS

Présents :
Monsieur A. Van Oevelen, Président;
Madame N. Spruyt; Messieurs R. Steennot, A. Guigui, J. Vannerom, membres;

Date : 18 juin 2019

1. LA PLAINTE
Le 11 octobre 2018, la requérante a perçu le bénéfice d’une assurance-vie de 24.473€ sur son compte-vue et le 12 octobre 2018, un virement de 7000€ a été effectué de son compte propre vers un compte commun de succession. Elle conteste avoir effectué ce virement. Les opérations sur le compte commun nécessitant 4 signatures, elle s’est entendue avec les autres co-titulaires qui ont accepté de lui restituer cette somme.
Le 12 octobre, des opérations frauduleuses ont également été effectuées à partir de son compte propre, soit :
-neuf opérations de 999,99€ vers un compte Paypal effectuées en 7 minutes,
-une opération de 500€ vers la plateforme « Stichtingondelft »,
Elle a constaté ces opérations contestées le 13 octobre et immédiatement appelé Card Stop. Elle conteste avoir effectué ces opérations et en réclame le remboursement à la banque, soit 9.499,93€.
L’analyse des circonstances de fait révèle ce qui suit : le 11 octobre 2018, elle a reçu un sms de Base qui lui annonçait un remboursement et l’invitait à suivre un lien. Elle déclare ne pas a voir, à cette époque, cliqué sur ce lien. La banque indique qu’il ressort de ses registres qu’une application Mobile a été activée le 12 octobre 2018 à 13h57, soit avant les opérations frauduleuses. La banque précise que pour cette activation, le numéro de carte et l’introduction de deux codes de sécurité générés par le lecteur et au moyen de la carte et du code secret sont nécessaires.
2. POSITION DE LA BANQUE
La banque estime que sa responsabilité est engagée dans ce dossier car nécessairement le numéro de sa carte et deux codes de sécurité ont dû être transmis au malfaiteur pour que l’application soit activée. Or sa carte ne lui a pas été dérobée et il n’existe donc pas d’autres explications que la communication orale de ces données au malfaiteur dans le contexte d‘un vishing.
Pour la banque, le vishing n’est pas visé à l’article VII.44 § 1 al 2 du code de droit économique et celui-ci ne trouve donc pas à s’appliquer. Par ailleurs, en transmettant les codes de sécurité, selon la banque, elle n’a pas respecté ses obligations contractuelles et ses obligations légales de prudence (article VII.38 §2 du code de droit économique) et partant commis une négligence grave qui exonère la banque de toute intervention.
3. AVIS DES EXPERTS
Le Collège d'experts constate que les transactions litigieuses sont toutes intervenues après l'entrée en vigueur de la loi du 19 juillet 2018 portant modification et insertion de dispositions en matière de services de paiement dans différents livres du Code de droit économique (ci-après le Code"). Pour rappel cette loi, entrée en vigueur le 9 août 2018, assure la transposition en droit belge de la directive PSD II. Dans le cas d'espèce, il devra donc être fait application des dispositions du Code tel que modifié par la loi du 19 juillet 2018.
Le Collège d'experts constate ensuite que le caractère "non autorisés" des opérations litigieuses ne semble pas être remis en cause par la Banque qui, dans son courrier du 18 décembre 2018, confirme "qu'en l'espèce, nous sommes donc en présence d'opérations de paiement non autorisées...". Il convient en outre de rappeler que les opérations litigieuses ont été réalisées au moyen d'une application mobile de la banque reliée par les fraudeurs au compte bancaire de la plaignante. Une fois reliée à un compte bancaire, l'application permet en effet à son utilisateur d'initier des ordres de paiement. L'application mobile doit alors être considérée un instrument de paiement au sens de l'article I.9, al.1, 10° du Code (tout dispositif personnalisé et/ou ensemble de procédures convenues entre l'utilisateur de services de paiement et le prestataire de services de paiement et auquel l'utilisateur de services de paiement a recours pour initier un ordre de paiement).
Compte tenu des circonstances de l'espèce, le Collège estime qu'il convient de faire application des dispositions de l'article VII.44 du Code qui détermine les responsabilités respectives du payeur et du prestataire de service de paiement en cas d'opération de paiement non autorisée consécutive à l'utilisation d'un instrument de paiement perdu ou volé ou au détournement d'un instrument de paiement.
A cet égard, il importe en premier lieu de rappeler qu'en l'espèce, les opérations litigieuses sont toutes intervenues avant que la plaignante ait pu effectuer la notification prévue à l'article VII.38, §1er, 2° (c’est la découverte des opérations contestées qui a permis à la plaignante de se rendre compte de l'usage non autorisé d’un instrument de paiement relié à son compte bancaire).
Dans ces conditions, l'article VII.44 prévoit que les pertes liées aux opérations de paiement non autorisées soient supportées par le payeur jusqu'à concurrence de 50 euro et par le prestataire de service de paiement pour le surplus. Deux exceptions à ce principe doivent toutefois être prises en considération dans le présent cas :
• La première exception profite au payeur et vise le cas où la perte, le vol ou le détournement de l'instrument de paiement ne pouvait pas être détecté avant la réalisation des opérations de paiement non autorisées. Dans cette hypothèse, le payeur ne supporte aucune perte ;
• La deuxième exception profite au prestataire de service de paiement et vise notamment les cas de négligence grave du payeur. Dans cette hypothèse, le payeur supporte toutes les pertes à la décharge du prestataire de service de paiement.
En ce qui concerne le caractère « détectable » du détournement d’un instrument de paiement, il convient d’évaluer si un client normalement prudent et diligent, placé dans les mêmes circonstances, aurait pu ou du prendre conscience de l’existence d’un risque de détournement de son instrument de paiement. A cet égard, le Collège d’experts constate que la plaignante n’a reçu aucune notification de la Banque en ce qui concerne la connexion de son compte à une application mobile. La plaignante n’avait donc, à priori, aucun moyen de se rendre compte qu’un instrument de paiement lié à son compte avait été créé et utilisé à son insu.
En ce qui concerne la tentative d’hameçonnage par SMS dont a fait l’objet la plaignante, il est impossible, au vu des éléments objectifs du dossier, d’en déterminer les suites concrètes. Toutefois même à considérer que la plaignante aurait pu communiquer ses données personnelles de sécurité à un tiers dans le cadre d’une opération d’hameçonnage, il n’en résulterait pas forcément que le détournement doive être considéré comme « détectable ». Il ressort en effet de l’exposé des motifs de la loi du 19 juillet 2018 que l’alinéa 1er du §1er de l’article VII.44 du Code ne s’applique pas « lorsque le payeur ne pouvait pas détecter le vol, la perte ou le détournement de l’instrument, comme par exemple lors d’un hacking, phishing de données de sécurité personnalisées ou d’un skimming de ces mêmes cartes sauf fraude de sa part ».
Sur base de ce qui précède, et au vu des éléments concrets du dossier, le Collège estime que la plaignante n’a raisonnablement pas pu détecter le détournement de son instrument de paiement avant la réalisation des opérations de paiement contestées.
Conformément à l’article VII.44, §1er, al. 2, 1° du Code, la plaignante ne doit donc supporter aucune perte à raison des opérations de paiement non autorisées intervenues sur son compte. L’existence, dans le chef de cette dernière, d’une éventuelle négligence grave ne semble pas pertinente en l’espèce. Le Collège d’experts considère en effet que la négligence grave d’un payeur n’implique pas de décharge de responsabilité du prestataire de service de paiement en cas de détournement non détectable d’un instrument de paiement.
A toutes fins utiles, le Collège constate que la banque reste de toute les manières en défaut de rapporter la preuve d’une négligence grave dans le chef de la plaignante conformément au prescrit de l’article VII.44, §4 du Code.
En conclusion, le Collège d’experts considère la demande de la plaignante recevable et pleinement fondée. Il est recommandé à la Banque de rembourser à la plaignante l’intégralité des montants prélevés au titre des opérations de paiement non autorisées.
Le Collège d’experts attire en outre l’attention de la Banque sur le prescrit de l’article VII.43 du Code qui prévoit qu’en cas d’opération de paiement non autorisée, la banque est tenue de rembourser immédiatement au payeur le montant de cette opération de paiement après avoir pris connaissance de l'opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf si le prestataire de services de paiement du payeur a de bonnes raisons de soupçonner une fraude et s'il communique ces raisons par écrit au SPF Economie.
En l’absence de bonne raison de soupçonner une fraude et de déclaration écrite en ce sens au SPF Economie, la Banque aurait dû, en tout état de cause, rembourser le montant des opérations non autorisées immédiatement après en avoir été informée.
4. CONCLUSION DE L’OMBUDSMAN
Compte tenu des observations et constatations effectuées par le Collège d’experts, l’Ombudsman rejoint cette analyse et a invité la banque à rembourser l’intégralité des sommes frauduleusement prélevées à titre d’opérations de paiement non autorisées.