Face à la recrudescence des attaques de fraude par usurpation d’identité, pointée par l’Observatoire de la sécurité des moyens de paiement (OSMP) [i] , ces développements s’intéressent aux situations de virements par manipulation du donneur d’ordre (payeur), parfois évoquées sous l’expression de faux ordres de virement (FOVI).
Déterminer si un FOVI est une opération de paiement « mal exécutée » ou « non autorisée » est légitime. De la réponse à cette question dépend l’application de deux régimes de responsabilités où le donneur d’ordre dispose respectivement (i) d’un droit à assistance pour une opération en sens contraire (recall) et au contraire (ii) d’un droit à un remboursement auprès de son prestataire de services de paiement (PSP), sauf à être à l’origine de la fraude ou avoir été gravement négligent dans l’initiation de l’ordre du virement.
La question est plus épineuse qu’il n’y paraît tant on peut autant admettre qu’un FOVI est « non autorisé » puisque le consentement du donneur d’ordre (payeur) est vicié mais également qu’il est « mal exécuté » puisqu’il est assurément dirigé vers une personne qui n’est pas celle indiquée dans l’ordre de virement.
Si le virement se distingue toujours par un faible niveau de fraude par rapport aux autres moyens de paiement [ii] , l’OSMP constate un doublement des fraudes en nombre d’opérations [iii] et une augmentation du poids des fraudes aux virements par rapport aux autres moyens de paiement scripturaux [iv] .
L’occasion est de s’interroger sur la pertinence des réactions des Autorités, à commencer par les recommandations de l’OSMP, dans la perspective du développement du virement instantané [v] . Au-delà d’une analyse critique de l’approche des Autorités (1.), c’est l’efficacité des règles de la 2e Directive sur les services de paiement (DSP2) [vi] à lutter contre cette recrudescence des FOVI qui est également examinée (2.).
1. Prévenir les FOVI
1. 1. Les FOVI : des opérations autorisées ?
Comme l’expliquent les services de l’État dédiés à la lutte contre la cybermalveillance [vii] , le FOVI désigne l’arnaque visant à « amener la victime à réaliser un virement de fonds non planifié, par persuasion, menaces ou pressions diverses ». Dans une analyse plus fine des typologies de la fraude :
– l’OSMP distingue notamment [viii] (i) le faux virement qui consiste en « l’émission d’un ordre de virement par le fraudeur » [ix] (ii) du virement par détournement (FOVI), qui vise les « cas où le fraudeur amène par la tromperie, notamment de type ingénierie sociale, c’est-à-dire en usurpant l’identité d’un interlocuteur de confiance, le titulaire légitime du compte à émettre régulièrement un paiement à destination d’un numéro de compte qui n’est pas celui du bénéficiaire légitime ou qui ne correspond à aucune réalité économique » [x] ;
– l’Autorité bancaire européenne (EBA) [xi] établit une distinction similaire entre :
• les opérations de paiement à la suite notamment « de la perte, du vol ou de l’appropriation illicite de données de paiement sensibles ou d’un instrument de paiement, qu’elle soit détectable ou non par le payeur avant un paiement et résultant ou non d’une négligence grave du payeur ou exécutée en l’absence de consentement du payeur » ; et
• les manipulations du donneur d’ordre par le fraudeur « ayant pour effet d’émettre un ordre de paiement ou de donner instruction de le faire au prestataire de services de paiement, de bonne foi, à un compte de paiement que le donneur d’ordre estime appartenir à un bénéficiaire légitime » ;
– enfin, la Banque centrale européenne (BCE) distingue [xii] entre les virements frauduleux par « émission [ou modification] d’un ordre de paiement par le fraudeur » des virements par « manipulation du payeur par le fraudeur ».
En France, les FOVI sont évoqués au travers de l’expression d’ « arnaque au président » lorsque le fraudeur usurpe l’identité d’un dirigeant pour déclencher le virement par une personne au sein de la comptabilité de l’entreprise. Les variantes sont nombreuses, selon que l’identité usurpée est (i) celle du fournisseur qui réclame le règlement de factures réelles sur de nouvelles coordonnées bancaires ou (ii) celle d’un salarié qui sollicite le changement des coordonnées bancaires où virer son salaire.
Les distinctions des différentes Autorités portent en germe une analyse lourde de conséquences en termes de responsabilités :
– en indiquant que le virement issu de la perte, du vol ou de l’appropriation illicite de données de paiement sensibles ou d’un instrument de paiement est une opération « non autorisée », l’EBA semble considérer que le virement par manipulation du donneur d’ordre serait une opération « autorisée », alors que le consentement du donneur d’ordre est clairement vicié ;
– l’OSMP semble abonder dans le même sens lorsque dans sa synthèse de la protection du donneur d’ordre (payeur) en cas de paiement non autorisé [xiii] , il laisse entendre également que les opérations « non autorisées » seraient limitées aux cas de perte, vol ou détournement des instruments de paiement (y compris par utilisation frauduleuse à distance ou contrefaçon).
Pourtant, un donneur d’ordre peut-il avoir consenti à un virement – et donc autorisé – qu’il pensait adresser à une personne alors qu’il l’était à une autre, à la suite d’une manipulation qui a vicié son consentement ?
Comme indiqué dans nos propos liminaires, l’enjeu est de savoir si la fraude par manipulation du donneur d’ordre doit être rangée du côté des opérations « mal exécutées » ou au contraire que cette fraude interdit de déduire de l’authentification du donneur d’ordre son autorisation à l’opération de paiement.
Le postulat affiché des Autorités européennes et françaises interroge eu égard aux règles de protection du donneur d’ordre, bien plus favorables lorsque l’opération est « non autorisée ». Mais surtout, les Autorités semblent assimiler « autorisation » et « authentification » alors que l’authentification forte de la DSP2 n’est qu’une composante de l’autorisation d’un ordre de paiement.
La DSP2 renseigne que chaque prestataire de services de paiement (PSP) doit contractuellement préciser « la forme et la procédure pour donner le consentement à l’initiation [du virement] » [xiv] . Conformément à ce principe, la loi française précise que « le consentement est donné sous la forme convenue entre le payeur et son prestataire de services de paiement » [xv] . Sa traduction contractuelle est parfois retranscrite comme suit : « Pour qu’un ordre de virement puisse être exécuté, le client doit communiquer l’identifiant unique du compte du bénéficiaire [Ex : l’IBAN pour un virement SEPA] ainsi que le nom du bénéficiaire. »
Les mêmes stipulations contractuelles précisent parfois : « Les ordres de virement sont exécutés conformément à l’identifiant unique communiqué par le client pour les virements émis, nonobstant toute autre indication supplémentaire, telle que le nom du bénéficiaire. »
Autrement dit, si l’inscription d’un nom de bénéficiaire est une condition nécessaire pour initier un virement, son caractère fantaisiste ou faux peut ne pas affecter son exécution. L’approche contractuelle susvisée est directement liée à une disposition tirée du régime de la responsabilité des opérations mal exécutées de la DSP2 qui indique qu’« un ordre de paiement exécuté conformément à l’identifiant unique fourni par l’utilisateur du service de paiement est réputé dûment exécuté pour ce qui concerne le bénéficiaire désigné par l’identifiant unique. » [xvi] . Or, si le législateur répute l’ordre exécuté « pour le bénéficiaire », il ne se prononce pas « pour le donneur d’ordre ». Pour ce dernier, l’ordre de paiement n’est assurément pas « réputé exécuté » puisqu’il peut encore inverser le processus (recall).
Mais le donneur d’ordre et son PSP peuvent l’un et l’autre soutenir que l’ordre de virement a été (i) bien exécuté puisque dûment dirigé vers le compte désigné par l’identifiant unique renseigné ou (ii) mal exécuté puisque pas adressé au bénéficiaire désigné par le donneur d’ordre.
Malheureusement, le régime des opérations « mal exécutées » de la DSP2 envisage seulement la situation où l’identifiant unique fourni dans l’ordre de virement est inexact et n’envisage pas la situation où l’identifiant unique est incohérent avec le nom inscrit dans les livres du PSP du bénéficiaire. Les règles de la DSP2 n’ont en effet pas accompagné l’authentification forte du donneur d’ordre d’une authentification systématique et préalable du bénéficiaire renseigné par le donneur d’ordre par rapport au bénéficiaire enregistré dans les livres du PSP recevant les fonds.
La situation d’invalidité du couple identifiant unique/nom du bénéficiaire est toutefois bien présente dans un Règlement européen en matière de la lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT) [xvii] . Selon ces règles, les PSP assujettis sont invités à scruter l’éventuelle discordance entre identifiant unique (ex : IBAN) et le nom figurant dans l’ordre de virement, selon des procédures de contrôle a posteriori ou en temps réel [xviii] . Le PSP du donneur d’ordre est ainsi tenu d’inclure diverses informations sur le donneur d’ordre et le bénéficiaire, dans un mouvement de partage et d’échange avec le PSP receveur, par voie de messages SWIFT [xix] . Toutefois, ces règles :
– imposent la vérification aux seuls virements de plus de 1 000 euros [xx] ; et surtout
– ne tirent aucune conséquence juridique en termes de responsabilité du PSP du bénéficiaire vis-à-vis du PSP du donneur d’ordre lorsque le premier manque à son obligation de vérification et de notification de discordances au second [xxi] .
Dans le projet modificatif du Règlement précité [xxii] , on ne voit nulle trace d’une responsabilité du PSP du fraudeur vis-à-vis du PSP de la victime en cas de négligence au titre de l’identification des discordances.
Une exigence de vérification en temps réel et systématique permettrait assurément de supprimer les situations de FOVI où les donneurs d’ordre (payeurs) sont victimes de cyber malveillance et adressent des fonds à des bénéficiaires qui ne sont pas ceux qu’ils croient être. Cette solution en temps réel participerait à la confiance des utilisateurs dans les nouveaux usages numériques (vente à distance, règlement de prestations à domicile, remboursement entre amis, etc.).
1.2. Analyse critique des recommandations de l’OSMP
Dans ses recommandations, l’OSMP manque non seulement d’évoquer les insuffisances de ce texte européen qui concourt à l’éclosion de FOVI – notamment ceux dont les montants sont inférieurs à 1 000 euros – mais surtout ne tire pas les conséquences qui devraient s’imposer aux établissements receveurs qui négligent les contrôles des virements au regard du Règlement précité [xxiii] . L’Observatoire se contente de viser différentes voies pour lutter contre les situations de manipulations du donneur d’ordre :
– le projet européen de partage d’information sur les IBAN frauduleux [xxiv] ;
– le développement d’outils de surveillance et de détection des transactions à caractère inhabituel à même de suspendre l’exécution d’un virement analysé comme suspect en raison par exemple de son montant ou du pays destinataire des fonds, eu égard à l’activité habituelle du client ;
– les actions d’information et de sensibilisation menées par les PSP auprès des entreprises et des particuliers [xxv] ; et
– une solution technologique fruit de l’expérience du secteur britannique du paiement permettant de vérifier la correspondance entre le nom du titulaire indiqué dans l’ordre de virement et le nom réel du titulaire, afin d’éviter que les virements ne soient accidentellement acheminés vers de mauvais bénéficiaires [xxvi] .
Si pertinente soit-elle, la dernière recommandation de l’OSMP peut surprendre puisqu’une solution interbancaire française existe pour les comptes de paiement ouverts en France même si elle n’est que facultative. Lancée en 2017 par la société SEPAmail.eu au sein de son application « Diamond » [xxvii] , l’utilisation obligatoire de cette solution permettrait assurément de limiter drastiquement les FOVI dans les situations françaises [xxviii] . Naturellement, cela laisse intact le problème de la fraude des virements hors de France [xxix] dont la résolution dépendra d’une solution européenne ou internationale équivalente, par exemple fondée sur l’open banking. Nul doute que les coûts induits par une utilisation systématisée du service français SEPAmail seraient rapidement absorbés par l’économie de temps aujourd’hui passé par les PSP à s’opposer aux demandes des victimes de FOVI, qui invoquent à tort ou à raison le droit au remboursement de la DSP2.
2. Responsabiliser les acteurs professionnels du virement
2.1. La responsabilité du PSP du donneur d’ordre
Comme indiqué plus haut, les virements « mal exécutés » ou « non autorisés » entraînent deux régimes distincts de responsabilité, sachant que seule l’opération « non autorisée » déclenche une obligation de principe du remboursement par le PSP du donneur d’ordre [xxx] . Ce n’est ainsi pas sans raison que les victimes de fraudes ont tendance à se placer sur le terrain des opérations « non autorisées » plutôt que sur celui des opérations « mal exécutées ».
Ces victimes se heurtent parfois à l’affirmation qu’une fraude par utilisation d’un IBAN frauduleux, fourni par une personne usurpant l’identité d’une personne légitime à recevoir un paiement, constitue une opération « autorisée » [xxxi] . La logique d’une telle affirmation est que l’authentification de l’ordre de paiement par la victime vaudrait autorisation.
Pourtant, un virement dont le nom du bénéficiaire est invalide par rapport à l’IBAN peut-il réellement être réputé autorisé par le donneur d’ordre alors que la DSP2 prévoit qu’« une opération de paiement est autorisée si le payeur a donné son consentement à son exécution. » [xxxii] et qu’« en l’absence d’un tel consentement, l’opération ou la série d’opérations de paiement est réputée non autorisée. » [xxxiii] ? C’est à cette réponse que nous souhaitons apporter une contribution à l’interprétation de la DSP2.
En l’absence de définition du terme « consentement » dans la DSP2, la référence aux vices du consentement du Code civil [xxxiv] apparaît particulièrement pertinente. Elle légitime les situations où la victime par contrainte d’un vol de carte bancaire et son code secret n’a pu autoriser le retrait d’argent du voleur [xxxv] , notamment parce que « la violence est une cause de nullité qu’elle ait été exercée par une partie ou par un tiers » [xxxvi] .
Assurément, le PSP du donneur d’ordre victime d’une fraude par manipulation n’est pas à l’origine de l’erreur ou du dol de son client. Il est bien un tiers à la décision du donneur de formuler l’ordre de paiement. Doit-on considérer pour autant qu’il ne peut y avoir vice du consentement du donneur d’ordre lorsque celui-ci déclenche un ordre de virement ?
Si la jurisprudence considère que le dol n’est qu’une cause de nullité d’un contrat que s’il émane de la partie envers laquelle l’obligation est contractée [xxxvii] , elle admet également que l’erreur consécutive au dol d’un tiers à la convention est une cause de nullité lorsqu’elle porte sur la substance même du contrat [xxxviii] . La nullité d’un ordre de virement par erreur consécutive au dol d’un tiers n’apparaît ainsi pas dénuée de tout fondement lorsque victime de manœuvres dolosives du fraudeur, le donneur d’ordre se trompe en déclenchant un ordre de virement qu’il est persuadé de diriger vers la personne qu’il renseigne dans son ordre de virement. N’est-il pas rassuré par l’idée que sa banque « pourra être amenée à effectuer un contrôle de fiabilisation des coordonnées bancaires » selon les termes des conditions générales précitées ?
Dans les deux situations des opérations « non autorisées »/« mal exécutées », le PSP du donneur d’ordre est tenu de prouver que l’ordre de virement a été authentifié, dûment enregistré, comptabilisé et qu’il n’a pas été affecté par une déficience technique ou autre [xxxix] . Dans la situation particulière où le donneur d’ordre invoque le régime des opérations « non autorisées », l’utilisation de l’instrument de paiement, telle qu’enregistrée par le PSP, ne suffit pas en tant que telle à prouver que l’opération a été autorisée par le donneur d’ordre ou que celui-ci n’a pas satisfait, par négligence grave, aux obligations lui incombant [xl] .
Dans la jurisprudence opposant les PSP à leurs clients sur le droit à remboursement des opérations « non autorisées », ces PSP tentent ainsi de s’exonérer en relevant soit que (i) l’opération a été dûment autorisée et/ou (ii) le client a été gravement négligent. Si la jurisprudence retient plutôt une conception objective de la négligence grave [xli] , la question de la preuve de cette négligence revient régulièrement.
Or, une jurisprudence récente de la cour de cassation [xlii] confirme que cette négligence grave ne peut non seulement se déduire de ce que l’opération de paiement a été effectuée sur la base des données personnelles renseignées [xliii] mais aussi que le PSP doit établir le lien de causalité entre la négligence et les pertes occasionnées. Pour ce faire, le PSP doit doublement prouver que (i) l’émission de l’ordre de paiement a été rendue possible par le manquement du client (ex : sa négligence grave) et que (ii) l’opération n’a pas été affectée par une « déficience technique ou autre » [xliv] .
Une discordance entre le nom du bénéficiaire et l’IBAN indiqués dans l’ordre de virement ne révèle-elle justement pas une telle « déficience », au sens de la DSP2 ? Si la jurisprudence ne l’a, semble-t-il, pas encore jugé, on ne peut pas faire abstraction de ce que l’utilisation systématique du service SEPAmail permettrait assurément de palier à l’erreur d’aiguillage des clients concernant des virements dirigés vers des IBAN français.
En outre, la DSP2 ne dit-elle pas que les États membres peuvent « demander au [PSP] du payeur d’agir avec toute la diligence requise et, lorsque cela est techniquement possible et ne nécessite pas d’intervention manuelle, de vérifier la cohérence de l’identifiant unique, et, s’il apparaît que cet identifiant unique n’est pas cohérent, de refuser l’ordre de paiement et d’en informer le payeur » [xlv] ?
Autrement dit, tant que la transposition française de la DSP2 n’exigera pas du PSP du donneur d’ordre qu’il vérifie systématiquement la cohérence de l’identifiant unique (IBAN) du bénéficiaire indiqué dans l’ordre de virement, il pourra être plus difficile de soutenir qu’il y a eu déficience technique du virement mal dirigé.
On peut toutefois se demander combien de temps les tribunaux accepteront que les PSP puissent s’exonérer de leur responsabilité alors qu’ils n’ont pas systématisé l’application du service SEPAmail pour les ordres contenant des IBAN français et que dans le même temps, un service équivalent au Royaume-Uni (appelé « confirmation of payee ») est aujourd’hui progressivement rendu obligatoire aux établissements britanniques.
Les acteurs de la place prennent ainsi un risque à camper sur l’idée que leurs clients sont gravement négligents alors que l’ingénierie sociale des fraudes est de moins appréhendable par des populations de plus en plus vulnérables au développement du numérique. En outre, ils ne sont pas exempts de tout reproche à ne pas vérifier ce qu’ils sont techniquement à même de faire avec l’application Diamond du service SEPAmail. Si la jurisprudence européenne la plus récente semble considérer que la responsabilité des PSP est exclusive de tout autre régime de responsabilité [xlvi] , la responsabilité d’un PSP peut toujours être recherchée sur un fondement légal autre que le droit de la responsabilité de la DSP2, notamment le devoir de vigilance en tant que gestionnaire de compte [xlvii] .
2.2. La responsabilité extracontractuelle du PSP du bénéficiaire
En général, les PSP sont plus souvent en litige avec leurs clients payeurs qu’ils ne le sont pour rechercher la responsabilité des PSP des bénéficiaires. Il peut arriver qu’ils recherchent la responsabilité d’acteurs tiers, qu’il s’agisse de prestataires de téléphonie [xlviii] ou des nouveaux acteurs tiers issus de la DSP2 (les initiateurs de services de paiement), notamment lorsque ces derniers ont manqué à leur obligation de déclencher l’authentification forte de leurs clients communs.
Plus rarement, un litige survient entre le PSP du donneur d’ordre (payeur) et le PSP du bénéficiaire associé à l’identifiant unique. Une jurisprudence française relativement isolée [xlix] met justement en évidence un tel litige dans lequel le PSP du donneur d’ordre (payeur) recherchait à imputer au PSP du bénéficiaire sa responsabilité dans l’acceptation d’un FOVI. La juridiction suprême française statue en faveur du second, en considérant qu’il n’était pas tenu de vérifier si le nom du bénéficiaire mentionné dans l’ordre de virement coïncidait avec le nom du bénéficiaire enregistré dans ses livres.
Le juge suprême européen a suivi cette lecture très personnelle des textes européens [l] en considérant que « lorsqu’un ordre de paiement est exécuté conformément à l’identifiant unique fourni par l’utilisateur de services de paiement, lequel ne correspond pas au nom du bénéficiaire indiqué par ce même utilisateur, la limitation de la responsabilité du [PSP], prévue par [la DSP], s’applique tant au [PSP] du payeur qu’au [PSP] du bénéficiaire » [li] . L’affirmation apparaît non seulement contestable dans l’interprétation littérale qui est faite de la DSP2 mais surtout à la lumière de l’obligation des PSP des bénéficiaires de relever les discordances dans les informations qui leur parviennent des PSP des donneurs d’ordre [lii] , afin de mettre en échec les virements frauduleux.
En premier lieu, concernant l’interprétation littérale, il faut rappeler que le texte français indique d’abord qu’un « un ordre de paiement exécuté conformément à l’identifiant unique fourni par l’utilisateur du service de paiement est réputé dûment exécuté pour ce qui concerne le bénéficiaire désigné par l’identifiant unique. » [liii] avant de dire plus loin que « si l’identifiant unique fourni par l’utilisateur du service de paiement est inexact, le prestataire de services de paiement n’est pas responsable de la mauvaise exécution ou de la non-exécution de l’opération de paiement » [liv] .
En second lieu, concernant le caractère lacunaire de l’interprétation de la DSP2 compte tenu d’obligations des PSP au titre d’autres textes, on peut relever qu’après réception d’un message SWIFT du PSP du donneur d’ordre, il ne faut pas exclure la responsabilité disciplinaire ou pénale du PSP du bénéficiaire au titre de sa négligence fautive pour relever avec suffisamment de célérité la discordance du couple IBAN/nom du bénéficiaire inscrit [lv] . Avant réception d’un message SWIFT du PSP du donneur d’ordre, la négligence fautive du PSP du bénéficiaire n’est pas non plus à exclure, au titre de l’ouverture d’un compte par le bénéficiaire à des fins manifestement frauduleuses, compte tenu d’une récurrence des situations de virements frauduleux.
2.3. La responsabilité des Autorités européennes et françaises
Au final, la balle apparaît aussi et surtout dans le camp des Autorités nationales (ACPR, Banque de France) et européennes (BCE, EBA [lvi] , Commission européenne [lvii] , Parlement et Conseil). Elles doivent décider si elles acceptent de faire perdurer les FOVI là où on pourrait largement les stopper par :
– l’obligation faite aux PSP des donneurs d’ordre de vérifier systématiquement la validité du couple IBAN/nom du bénéficiaire indiqué dans l’ordre de virement, par le biais de solutions nationales existantes ou européennes/internationales à créer ; et
– une redescente rapide d’informations aux PSP des fraudeurs par les autorités nationales (ex : la Banque de France) à réception des notifications de fraudes des PSP les constatant, le cas échéant par la création d’un registre des IBAN frauduleux accessible au niveau des autorités nationales (en France, la Banque de France).
[i] . Rapport annuel relatif à l’année 2020 rendu public le 6 juillet 2021 : l’augmentation est de 65 % en valeur par rapport à 2019 (267 millions d’euros contre 162 millions d’euros) alors que 2019 avait déjà permis de constater la même tendance (66 %) par rapport à 2018. Il est intéressant de noter qu’une récente étude de la revue de la gendarmerie (4e trimestre 2019) pointe la difficulté de l’exercice de recensement de la cybercriminalité.
[ii] . 0,0008 % (contre 0,0006 % en 2019), soit 1 euro de fraude pour 125 000 euros de paiement (contre 160 000 euros en 2019).
[iii] . 36 000 contre 16 000 en 2019.
[iv] . 21 % contre 14 % en 2019. L’OSMP n’omet pas de relever que la tendance masque certaines disparités selon le canal d’initiation de l’ordre de virement, le type de virement émis ou encore la destination géographique des fonds, qui sont autant de points à avoir à l’esprit dans les parades techniques ou réglementaires à opposer aux fraudeurs.
[v] . Le rapport OSMP sur 2020 précise d’ailleurs que le taux de fraude de ces derniers « s’établit à 0,0397 %, soit à un niveau supérieur de près de cinquante fois au taux global sur le virement » (page 31).
[vi] . Directive 2015/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur.
[vii] . https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/escroquerie-faux-ordres-virement-fovi
[viii] . Rapport annuel OSMP sur 2020, pages 42 et 76. L’OSMP évoque aussi la fraude par utilisation ou répudiation abusive par le titulaire légitime d’un moyen de paiement, caractérisée par la contestation infondée d’un ordre de paiement valablement émis, aboutissant ainsi à l’annulation de l’encaissement des fonds.
[ix] . Qui peut se produire après le vol ou la contrefaçon d’un instrument physique, ou par détournement de données ou d’identifiants bancaires par un tiers.
[x] . Si la distinction opérée par l’OSMP lui permet assurément de mesurer la proportion des FOVI, les rapports annuels manquent de la mettre en rapport aux faux virements.
[xi] . Orientations concernant les exigences pour la déclaration de données relatives à la fraude au titre de la DSP2 (EBA/GL/2018/05 du 17 septembre 2018, telles que modifiées par EBA/GL/2020/01 du 22 janvier 2020).
[xii] . Règlement (UE) 2020/2011 du 1er décembre 2020 (BCE/2020/59) concernant les statistiques relatives aux paiements, modifiant le Règlement (UE) n° 1409/2013 (BCE/2013/43), applicable au 1er janvier 2022.
[xiii] . Rapport annuel sur l’année 2020, pages 65-66.
[xiv] . Article 52(2)(c).
[xv] . Article L. 133-7 du Code monétaire et financier (CMF).
[xvi] . L. 133-21, alinéa 1, CMF.
[xvii] . Règlement UE 2015/847 du 20 mai 2015 sur les informations accompagnant les transferts de fonds. La Commission européenne a présenté le 6 juillet 2021 un projet modificatif, dont les révisions se limitent à étendre son champ d’application aux prestataires de services sur actifs virtuels (qui devront obtenir, conserver et partager les informations requises et exactes sur les utilisateurs de transferts d’actifs virtuels et les mettre à disposition à la demande des autorités concernées).
[xviii] . Dans le projet modificatif du Règlement, le contrôle a posteriori ou en temps réel est remplacé par l’expression « après ou pendant les transferts ».
[xix] . Cette obligation est désignée sous l’expression anglophone de « Travel Rule » utilisée par le Groupe d’action financière et aujourd’hui mises en œuvre au sein de l’UE par le Règlement précité.
[xx] . À moins qu’il ait des motifs raisonnables de suspecter des actes de blanchiment de capitaux ou de financement du terrorisme.
[xxi] . Ce contrôle peut toutefois impacter son exécution et rejaillir sur la responsabilité du PSP du bénéficiaire qui a accepté un virement entrant dont il savait l’ordre vicié d’un nom ne correspondant pas au client enregistré dans ses livres. Voir pourtant en sens contraire, Cass. com. 24 janvier 2018 (16-22.336), Banque et Droit n° 179, Thierry Bonneau, page 10.
[xxii] . Actuellement devant le Parlement européen après un accord politique au niveau du Conseil de l’UE rendu public le 1er décembre 2021.
[xxiii] . Ils pourraient d’ailleurs se voir reprocher une complicité de blanchiment ou financement du terrorisme par fourniture de moyens (Article 121-7 du Code pénal).
[xxiv] . Projet OBSIDIAN pour open banking sensitive data and information sharing network (Rapport annuel OSMP sur 2019, page 49), à l’image de ce qui existe dans le secteur de l’assurance.
[xxv] . Par exemple : la récente mise en garde du 18 octobre 2021 de la Fédération bancaire française et du Comité français d’organisation et de normalisation bancaire sur une recrudescence du phishing téléphonique. Au-delà, le plan de communication des autorités inclut la plateforme Pharos sur le signalement des escroqueries financières (Plateforme d’harmonisation, d’analyse, de recoupement et d’orientation des signalements), le fichier Thésée (Traitement harmonisé des enquêtes et des signalements pour les e-escroqueries) qui doit faciliter le dépôt de plainte contre les escroqueries en ligne et la Plateforme Perceval (Plateforme électronique de recueil de coordonnées bancaires et de leurs conditions d’emploi rapportées par les victimes d’achats frauduleux en ligne).
[xxvi] . L’idée de cet outil est d’avertir le donneur d’ordre du risque de l’envoi de paiements vers un compte dont le nom ne correspond pas à l’IBAN du bénéficiaire. Elle désignée comme l’outil de « confirmation of payee » (Rapport annuel OSMP sur 2020, page 47).
[xxvii] . Fin 2021, plus d’une centaine de banques françaises sont adhérentes au service « Diamond ».
[xxviii] . Pour un PSP adhérant au service SEPAmail, la traduction contractuelle de cette solution dans ses conditions générales est parfois retranscrite comme suit : « Le client est informé qu’afin de renforcer la sécurité des paiements, la banque pourra être amenée à effectuer un contrôle de fiabilisation des coordonnées bancaires. Les IBAN remis par le client aux donneurs d’ordre de virements ou de prélèvements pourront être contrôlés en utilisant “le service de SEPAmail” (www.sepamail.eu). Ce contrôle porte sur les noms, prénoms, date de naissance du client. »
[xxix] . Dans son dernier rapport annuel, l’OSMP indique que ces virements comptent pour 55 % des montants fraudés alors qu’ils ne comptent que pour 12 % des virements émis en montant.
[xxx] . Voir notamment Jérôme Lasserre Capdeville sur « L’encadrement du virement instantané », RDBF, janvier-février 2020.
[xxxi] . Voir notamment le mini-guide bancaire de janvier 2021 intitulé « Fraudes aux opérations bancaires », une communication pédagogique bancaire destinée au grand public.
[xxxii] . L. 133-6 I CMF.
[xxxiii] . L. 133-7, 3e alinéa, du CMF.
[xxxiv] . Articles 1130 à 1144.
[xxxv] . Avec l’idée qu’il ne peut y avoir de négligence grave à transmettre un code secret sous la contrainte.
[xxxvi] . Article 1142 du code civil.
[xxxvii] . Cass. civ. 1re, 27 juin 1973 (72-11.564).
[xxxviii] . Cass. civ. 1re, 3 juillet 1996 (94-15.729).
[xxxix] . L. 133-23 et 23-1 du CMF.
[xl] . L. 133-23 alinéa 2 du CMF.
[xli] . Voir notamment Cass. com. 28 mars 2018 (16-20.018) et Cass. com. 2 juin 2021 (19-19.577) ou encore Cass. com. 25 octobre 2017 (16-11.644). Cette conception objective interroge d’ailleurs eu égard à l’inclusion bancaire et la situation des personnes en situation de vulnérabilité technique.
[xlii] . Cass. com. 12 novembre 2020, 19-12.112. Notamment Thierry Bonneau, Banque & Droit n° 196, page 16, et Pierre Storrer, Revue Banque n° 85, page 65.
[xliii] . Voir déjà Cass com. 18 janvier 2017 (15-18.102). Samin/Torck, RDBF mars-avril 2017, page 40, et Pierre Storrer, Revue Banque n° 804, page 72.
[xliv] . L. 133-23, alinéa 1, du CMF.
[xlv] . Considérant 88 (considérant 48 de la DSP1).
[xlvi] . Cour de Justice de l’Union européenne (CJUE) 2 septembre 2021, C-377/20. Notamment citée par Myriam Roussille, Banque & Droit n° 199, page 20.
[xlvii] . Cass. com 17 mai 2017 (15-28.209).
[xlviii] . Cass. com. 22 janvier 2020 (18-18.640) : notamment Myriam Roussille, Banque & Droit n° 191, page 34.
[xlix] . Cass. com. 24 janvier 2018 (16-22.336) : notamment Thierry Bonneau, Banque & Droit n° 179, page 10.
[l] . Article 74 DSP (Article 88 DSP2).
[li] . CJUE 21 mars 2019, affaire C-245/18. Notamment citée par Pierre Storrer, Banque & Droit n° 185, page 57.
[lii] . Règlement précité UE 2015/847 du 20 mai 2015.
[liii] . L. 133-21 alinéa 1 du CMF, transposant l’article 88, § 1, de la DSP2.
[liv] . L. 133-21 alinéa 2 du CMF, transposant l’article 88, § 2, de la DSP2.
[lv] . L’élément intentionnel du blanchiment de la fraude au virement peut être déduit de cette négligence fautive.
[lvi] . L’Autorité bancaire européenne a ouvert le 17 janvier 2022 une consultation publique (échéance au 19 avril 2022) afin que les parties prenantes du secteur du paiement puissent proposer d’éventuels ajustements aux obligations déclaratives des fraudes aux autorités afin de mieux lutter contre celles-ci.
[lvii] . On relèvera que le 18 octobre 2021, la Commission a demandé à l’Autorité bancaire européenne (EBA) de lui adresser d’ici le 30 juin 2022 son avis sur les modifications opportunes à la DSP2, pour une future DSP3, notamment concernant la prévention de la fraude aux moyens de paiement.
[lviii] . Ces notifications sont à adresser sur une base mensuelle via le portail de collecte de la Banque de France via le Portail ONEGATE – OSCAMPS (application backend qui permet de stocker et d’analyser des collectes).
