Dans un rapport1 relatif à l’application de la deuxième directive sur les services de paiement2 (dite aussi la « DSP2 »), la Commission européenne a révélé que l’augmentation des nouveaux types de fraude continue à être un sujet de préoccupation majeure au regard des objectifs de protection des consommateurs.
Pour pallier cela, ainsi que d’autres difficultés mentionnées dans le rapport, la Commission européenne a présenté au Conseil et au Parlement, en juin 2023, une proposition de directive (DSP3) et de règlement (ci-après « le Règlement ») qui vise à modifier la DSP2.
Le 23 avril 2024, le Parlement européen a adopté, en première lecture, la proposition amendée de directive et de règlement et l’a transmise au Conseil pour validation. En cas de désaccord entre le Parlement et le Conseil, une phase de négociation sera ouverte et une version de compromis sera arrêtée et adoptée.
Les projets de directive et de règlement étant actuellement débattus au Conseil, la présente analyse repose exclusivement sur les projets arrêtés par la Commission européenne et le Parlement européen et ne préjuge en aucun cas de la version finale des textes.
S’agissant des mesures visant à renforcer la lutte contre la fraude, la version du projet de Règlement européen adoptée par le Parlement européen :
– prévoit la création d’une obligation de vérification de concordance entre l’IBAN et le nom du bénéficiaire d’une opération de paiement par virement ;
– modifie les conditions de contestation et de remboursement des opérations de paiement contestées ;
– impose la fixation des limites de paiement peu élevées ainsi que la mise en place des mécanismes de suivi des transactions ;
– autorise le partage d’informations relatives à la fraude entre les prestataires des services de paiement ;
– crée une obligation d’information et de sensibilisation de la clientèle quant aux nouvelles typologies de fraude ;
– renforce le mécanisme d’authentification forte (SCA).
Le projet de Règlement prévoit une obligation pour les prestataires des services de paiement de vérifier la concordance entre l’IBAN et le nom du bénéficiaire avant d’exécuter toute opération de paiement par virement. Plus exactement, le prestataire des services de paiement du payeur devra vérifier auprès du prestataire des services de paiement du bénéficiaire si les informations communiquées par le payeur (le nom et l’IBAN du bénéficiaire notamment) sont exactes. Si la concordance entre ces informations n’est pas assurée, le prestataire des services de paiement du payeur devra en informer son client tout en attirant son attention sur les conséquences d’une éventuelle autorisation de l’ordre de paiement par virement vers ce même bénéficiaire3.
Cette obligation, bien qu’elle soit nouvelle par rapport aux dispositions prévues dans la DSP2, ne sera pas novatrice lors de l’entrée en vigueur du Règlement car elle a déjà été prévue par le Règlement européen n° 2024/8864 et deviendra effective à compter du 9 octobre 2025 pour les opérations de paiement par virement libellées en euros, indifféremment qu’il s’agisse d’un virement SEPA ou instantané. Cependant, en la prévoyant à l’article 50 du projet de Règlement, le législateur européen souhaite étendre l’application de cette obligation aux opérations de virement libellées dans une monnaie différente de l’euro.
La DSP2 offre actuellement la possibilité aux utilisateurs des services de paiement de contester une opération non autorisée ou mal exécutée dans un délai de 13 mois suivant son exécution. Par ailleurs, l’article 73 de la DSP2 prévoit une obligation pour les prestataires des services de paiement de rembourser ou au plus tard à la fin du J+1 des opérations de paiement non autorisées ou mal exécutées, sauf soupçon de fraude de la part du client.
Ainsi, selon le cadre légal actuel, les prestataires des services de paiement sont tenus de rembourser une opération de paiement contestée par le client immédiatement après en avoir été informés ou au plus tard à la fin du J+1. Ils ont toutefois la possibilité de débiter le compte de paiement du client du montant remboursé dès lors qu’ils constatent une fraude de la part du client ou une négligence grave.
L’article 57 du projet de Règlement européen propose de modifier les conditions de contestation et de remboursement des opérations de paiement. D’abord, selon la version adoptée par le Parlement européen, l’utilisateur des services de paiement pourra contester une opération de paiement durant un délai de 18 mois suivant son exécution, au lieu de 13 mois actuellement.
S’agissant du principe de remboursement immédiat, ce dernier continuera à exister pour les opérations de paiement non autorisées ou mal exécutées à condition que le prestataire des services de paiement ne soupçonne pas une fraude de la part du client. Dans ce dernier cas, le prestataire des services de paiement pourra retarder de 14 jours ouvrables sa décision de remboursement.
Par ailleurs, selon le projet de Règlement, le principe de remboursement immédiat serait étendu aux opérations de paiement autorisées à la suite d’un défaut de vérification de la concordance entre l’IBAN et le nom du bénéficiaire ainsi qu’à celles autorisées dans le cadre d’une fraude par manipulation (de type spoofing par exemple).
Ainsi, en cas d’adoption finale de la version approuvée en première lecture par le Parlement européen, les prestataires des services de paiement seront tenus de rembourser, outre les opérations de paiement non autorisées ou mal exécutées, les opérations de paiement autorisées par le client soit à la suite d’un défaut de vérification de la concordance entre l’IBAN et le nom du bénéficiaire, soit dans le cadre d’une fraude par manipulation. Dans ce dernier cas, le client devra respecter un formalisme particulier qui consiste, outre le signalement dans les conditions prévues contractuellement, dans la remise aux prestataires des services de paiement d’une copie du dépôt de plainte effectué auprès des services de police.
Pour limiter les pertes financières en cas de détournement d’un instrument de paiement, de projet de Règlement imposerait aux prestataires des services de paiement de fixer par défaut des limites de paiement peu élevées. Cette mesure vise notamment les instruments de paiement de type cartes de paiement, à l’exclusion des virements et des prélèvements car ces derniers feront l’objet d’une mesure équivalente introduite par le Règlement européen portant sur les virements instantanés.
Les prestataires des services de paiement devront, par ailleurs, proposer à leurs clients la possibilité de fixer des limites de dépenses pour chaque instrument de paiement ainsi que la possibilité de les modifier à tout moment.
Pour détecter et prévenir les opérations de paiement potentiellement frauduleuses, l’article 83 du projet de Règlement européen prévoit la mise en place par les prestataires des services de paiement des mécanismes de contrôle des opérations de paiement. Ces mécanismes devront notamment permettre d’analyser les flux financiers reçus ou exécutés par un prestataire des services de paiement pour le compte de son client, les données relatives à l’accès aux comptes de paiement ainsi que des informations portant sur les comportements typiques du client (au regard notamment de l’historique des opérations de paiement dites « habituelles »).
En cas de raisons objectivement motivées relatives à la sécurité d’une ou plusieurs opérations de paiement ou à leur caractère frauduleux, le prestataire des services de paiement devrait s’abstenir d’exécuter l’ordre de paiement et, le cas échéant, tenter de récupérer les fonds concernés. A contrario, il devrait couvrir toutes les pertes financières qui en résultent pour l’utilisateur de services de paiement si ce dernier a été victime d’une telle fraude.
La DSP2 ne prévoit pas de mécanisme de partage d’informations relatives à la fraude entre les prestataires des services de paiement. Ainsi, dès lors que le prestataire des services de paiement du payeur détecte des opérations de paiement potentiellement frauduleuses, le droit européen ne prévoit pas d’obligation d’échange d’informations avec le prestataire des services de paiement du bénéficiaire ou inversement.
Le projet de Règlement permettra un échange d’informations au niveau européen. Plus exactement, les prestataires des services de paiement pourront échanger des informations (dont l’IBAN, le nom et le prénom du titulaire du compte ainsi que des informations portant sur l’opération de paiement et le mode opératoire utilisé en l’espèce) avec d’autres prestataires des services de paiement adhérents au dispositif européen de partage d’informations. Cet échange d’informations, qui devrait répondre aux exigences prévues par le Règlement européen n° 2016/679 relatif à la protection des données à caractère personnel (RGPD), pourrait se faire uniquement par le biais d’une plateforme informatique spécifique dont l’Autorité bancaire européenne (ABE) serait chargée de mettre en place.
Le législateur européen a relevé dans le Considérant 106 du projet de Règlement que les nouveaux schémas de fraude aux paiements, basés sur des techniques de manipulation et d’usurpation d’identité, rendent difficile leur détection par les utilisateurs des services de paiement.
Pour renforcer la prévention de la fraude, il a été proposé de prévoir à l’article 84 du projet de Règlement une obligation d’alerte des utilisateurs des services de paiement lorsque de nouvelles formes de fraude apparaissent. Plus exactement, les prestataires des services de paiement devraient communiquer à leurs clients, par divers supports, des informations adaptées portant sur les risques ainsi que les nouveaux mécanismes de fraude en matière de paiements. Ils devraient par ailleurs envoyer des messages à caractère pédagogique pour les sensibiliser sur les mesures à entreprendre en cas d’exposition à des situations potentiellement frauduleuses.
La liste exacte d’informations à communiquer ainsi que les modalités de communication à privilégier seraient prévues dans des orientations élaborées par l’ABE.
La principale innovation prévue par la DSP2 pour lutter contre la fraude a été l’introduction d’une obligation d’authentification forte du client reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que l’utilisateur ), « possession » (quelque chose que seul l’utilisateur possède) et « inhérence » (quelque chose que l’utilisateur est).
Si le cadre législatif 5 actuel prévoit l’application de la SCA notamment dès lors que le client accède à son compte en ligne ou initie une opération de paiement électronique (paiement par carte à distance ou réalisation d’un virement électronique), le projet de Règlement prévoit6 d’étendre cette obligation aux opérations de paiement reposant sur un ordre de paiement reçu sur un support physique (de type « papier »), par courrier ou par téléphone. Par ailleurs, la même obligation devra également s’appliquer lors de l’enrôlement d’une carte de paiement dans un portefeuille numérique (de type Apple Pay ou Google Pay). Dans ce dernier cas, un accord d’externalisation sera conclu.
Outre l’élargissement de l’application de la SCA aux opérations de paiement non-électroniques, le projet de Règlement prévoit7 une obligation d’adaptation de la SCA à la charge des prestataires des services de paiement pour mieux répondre aux besoins des personnes sans compétences numériques, en situation de handicap ou dépourvues d’un téléphone portable. Ainsi, le législateur européen souhaite que la SCA ne dépende plus d’une seule technologie ou de la possession d’un téléphone portable de type smartphone par le client.
Enfin, le projet de Règlement prévoit de renforcer la sécurité de la SCA. Plus exactement, l’article 85, alinéa 8 du projet de Règlement prévoit d’imposer aux prestataires de services de paiement le recours à des codes dynamiques pour assurer le lien entre l’ordre de paiement et le payeur. Cela devrait avoir pour résultat la réduction des cas de fraude qui reposent sur la falsification du nom du bénéficiaire et/ou du montant précis de la transaction entre le moment où l’ordre de paiement est émis et le moment où le client s’authentifie.
Achevé de rédiger le 16 mai 2025
