Arnaques financières: bonjour les dégâts!

Publié le 26 mars 2025 par Nathalie Cobbaut

Quelle protection des consommateurs en cas de fraude?

Il n’y a pas si longtemps, les arnaqueurs distribuaient de faux documents et des propositions d’investissements douteux directement dans nos boîtes aux lettres «physiques». Désormais la plupart des fraudes sont opérées au sein d’infrastructures virtuelles, numériques. Dans un contexte où les paiements électroniques sont de plus en plus utilisés par les consommateurs[1], il y a une opportunité pour les criminels de parvenir à leurs fins. Mais quel est l’état de la législation en termes de protection des victimes? Comment faire pour se prémunir au mieux de ce fléau? Et quel rôle les associations de consommateurs peuvent-elles jouer pour exister dans ce contexte?

Débutons par un bref résumé de la législation. Dura lex, sed lex («la loi est dure, mais c’est la loi»), dit l’adage romain. S’agissant du phishing (hameçonnage), les banques se plaisent à s’en tenir à une interprétation littérale de la loi, laquelle restreint fortement les possibilités de remboursement des victimes de phishing. Les directives européennes sur les services de paiement (respectivement 2007/64 dite PSD1, et 2015/2366 dite PSD2) ont mis en place le régime légal encadrant la responsabilité du prestataire de services de paiement (la plupart du temps, une banque). Selon cette législation, en cas d’opération de paiement non autorisée, la banque doit rembourser le montant dérobé au client. En droit belge, ces dispositions sont reprises à l’article 43, paragraphe 1er, du livre VII du Code de droit économique.

La règle, en apparence simple, a pourtant donné lieu à une jurisprudence et à une doctrine abondante. En effet ces dispositions se trouvent contrebalancées par l’article VII.38 du même Code, lequel prévoit que «le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées» si ces pertes sont le fruit d’une fraude de sa part, ou s’il a commis une «négligence grave» au moment du paiement. Les débats se sont donc cristallisés autour de cette fameuse «négligence grave», laquelle ne s’appréhende pas facilement.

Cette notion n’est pas définie légalement[2] à proprement parler: son appréciation repose, au cas par cas, sur la décision des tribunaux. Par exemple, les cours ont pu juger que communiquer des données personnelles d’identification par téléphone, ou ne pas prêter attention à des e-mails ou appels téléphoniques faisant état de mouvements suspects sur son compte bancaire étaient constitutifs d’une négligence grave[3]. On soulignera au passage que les juges ne tiennent pour ainsi dire jamais compte de l’âge avancé de certaines victimes[4] – ce qui est une question délicate, dans la mesure où ce public plus vulnérable est une cible privilégiée des criminels. Si la jurisprudence en la matière est donc plutôt stricte, chaque affaire examinée au tribunal l’est en fonction de ses particularités propres. A contrario, lorsqu’elles sont sollicitées, les banques sont très loin de se prêter au même examen minutieux des faits. La plupart du temps, elles se contentent de rejeter en bloc les circonstances spécifiques invoquées par les victimes pour mieux brandir la négligence grave, et ainsi ne pas indemniser leurs clients.

Le fossé entre le droit et la technologie

 Les banques s’en tiennent à une ligne fort simple: la victime aurait pu détecter la fraude à l’avance et a commis une négligence grave en autorisant des paiements. Les opportunités de fraude explosent, du fait des innovations technologiques, combinées à des techniques d’ingénierie sociale savamment mises en scène. Il devient très difficile de ne pas tomber dans les pièges tendus par les criminels. L’intelligence artificielle complique encore la tâche: elle rend les messages, les fausses pages, et même les imposteurs (!) plus crédibles.

Dans ce contexte asymétrique, on se rangera plutôt derrière l’avis de l’ombudsfin (voir son interview page 18), lequel rappelle régulièrement dans ses rapports annuels qu’il ne faut pas conclure trop facilement à une négligence grave. Comme expliqué précédemment, les règles concernant les services de paiement sont gérées à l’échelle de l’Union européenne. La troisième directive services de paiement (PSD3), qui sera prochainement votée, devrait amender – au moins en partie – ce régime. À ce stade, une certaine incertitude plane quant aux futures mesures de protection des consommateurs, en particulier en ce qui concerne le phishing et la négligence grave. Les institutions européennes sont au fait de l’état de la jurisprudence et du préjudice causé aux victimes de fraude en ligne aux quatre coins du continent. À elles de concilier la nécessaire protection des consommateurs et la sécurité juridique des prestataires de services de paiement au sein d’un régime adapté…

Deux cas emblématiques

On peut illustrer ce quotidien légal, technique et jurisprudentiel en mettant en avant deux petits cas pratiques. Le premier concerne une consommatrice escroquée sur la plateforme Marketplace, et qui n’a pu être indemnisée qu’après d’âpres négociations… et une intervention de Testachats. Le second illustre comment un consommateur peut se retrouver piégé par un site internet plus vrai que nature.

  1. Une fraude classique sur Marketplace

Madame P, membre de Testachats, a mis en vente quelques objets sur «Marketplace», la plateforme de Facebook. À la suite de cette annonce, elle a été contactée par un certain Monsieur W, lequel s’était montré intéressé par l’achat d’un casque électronique. L’affaire est vite conclue: Monsieur W a proposé d’effectuerun virement instantané et de prendre en charge les frais de livraison via Mondial Relay, ce que Madame P accepte. Monsieur W lui fait alors parvenir un lien vers le site de Mondial Relay, sur lequel Madame P fait plusieurs démarches avec sa carte bancaire et son boîtier sécurisé, afin de se créer un compte utilisateur.

Mise en confiance, Madame P pense sincèrement que ces étapes sont nécessaires pour que l’acheteur puisse effectuer son paiement. Malheureusement, elle se trompe: les liens l’ont en réalité dirigée vers un site frauduleux, lequel a «aspiré» ses données bancaires. Sa banque l’a rapidement contactée par téléphone, Madame P a immédiatement procédé au blocage de tous ses comptes et cartes. Un peu trop tard, tout de même: la banque l’a informée que 2.400 € ont été prélevés. En vérifiant ses relevés, elle constate que l’argent a été envoyé sur un compte PayPal.

Madame P prend alors contact avec PayPal qui lui explique avoir besoin de la collaboration de la banque pour retrouver le compte bénéficiaire de ces paiements. Elle porte également plainte à la police pour escroquerie. La banque de Madame P refuse de répondre favorablement à sa demande de remboursement. Si Madame P estime qu’elle n’a pas autorisé cette opération de paiement, le service fraude de la banque se base sur le fait que des informations confidentielles permettant d’effectuer et de valider ces transactions ont été communiquées à une personne tierce. Pour la banque, il s’agit d’une négligence grave. La banque lui conseille d’attendre le résultat de l’enquête judiciaire, car elle ne peut être tenue responsable de cet acte frauduleux.

Pour Madame P, c’est la douche froide. Elle ne comprend pas le manque de réactivité de sa banque. Avec le recul, elle se rend compte qu’elle a été naïve, mais n’ayant jamais été confrontée à ce genre d’escroquerie et ayant confiance en la plateforme Marketplace, elle ne s’est pas méfiée. De plus, son mari et elle sont des clients loyaux de la banque et n’ont jamais eu le moindre problème. Elle ne comprend pas que cela n’a pas été pris en compte dans leur décision.

À sa demande, le service juridique de Testachats est intervenu en son nom auprès de la banque pour lui venir en aide. À la suite de cette intervention, elle sera complètement remboursée.

  1. La fausse boutique en ligne démasquée

Au cours de l’été 2024, Testachats a démasqué une boutique en ligne malhonnête: le site balova.nl. Promu sur Instagram, ce site proposait notamment des articles de décoration et divers gadgets. Ce magasin en ligne n’était rien d’autre qu’une arnaque. Quand un client commandait, soit il ne recevait rien, soit il réceptionnait un produit de qualité moindre. Et ensuite, la boutique était injoignable pour répondre aux demandes.

La fraude du site balova.nl a été repérée grâce à plusieurs signaux d’alarme, lesquels ont mis en évidence des pratiques suspectes. Voici les éléments qui ont permis de découvrir que ce site était une arnaque:

  1. Des fautes de frappe dans les textes, ce qui est souvent le signe d’une arnaque construite «à la va-vite».
  2. Des évaluations et commentaires trop positifs: les avis sur le site étaient suspects, car «trop» élogieux, avec des plaintes de clients n’ayant jamais reçu leurs commandes ou des articles de mauvaise qualité.
  3. Une absence d’informations claires sur la société: le site ne fournissait pas les détails légaux obligatoires (adresse, numéro d’immatriculation) et le numéro de téléphone était injoignable et les e-mails n’obtenaient jamais de réponse.
  4. Des délais de livraison et des frais de retour élevés, qui font penser au dropshipping (soit des produits envoyés directement par les fournisseurs, souvent à l’étranger).
  5. Des photos de produits retrouvées ailleurs sur d’autres sites, ce qui signifie qu’il s’agissait de produits achetés en gros et revendus à un prix beaucoup plus élevé que leur valeur réelle.
  6. Des prix trop bas et des remises importantes.

Tous ces indices ont permis à Testachats de conclure que balova.nl était une arnaque qui vendait des produits de faible qualité à des prix réduits, tout en étant injoignable et sans aucune responsabilité envers ses clients. Entre-temps, si ce site frauduleux a fermé ses portes, ses propriétaires ont malheureusement pu en ouvrir un autre ailleurs… une nouvelle illustration du décalage qui existe parfois entre les procédures juridiques et la vitesse d’adaptation des fraudeurs grâce aux outils technologiques.

Des revendications pour une meilleure protection des consommateurs

  1. Une meilleure disponibilité des banques en cas d’urgence

Sous une précédente législature, la secrétaire d’État à la Protection des consommateurs, Alexia Bertrand, a annoncé que les banques devraient désormais être disponibles 24 h/24 et 7 j/7 pour permettre à leurs clients de bloquer leurs applications en ligne. Cette annonce était conforme à une ancienne revendication de Testachats: sa mise en place a été accueillie positivement. De fait, les fraudeurs peuvent sévir de jour comme de nuit.

  1. La vérification du nom lié à l’IBAN

Cette technique (aussi dite de «l’IBAN-check») consiste à vérifier si le nom du client correspond à celui du titulaire du compte. Déjà mise en place dans d’autres pays, comme les Pays-Bas ou le Royaume-Uni, Testachats réclame de longue date l’introduction de ce contrôle par les banques belges, tout en exigeant que les banques assument leur responsabilité en cas de perte d’argent due à une fraude, si le contrôle n’a pas été effectué correctement. Cette obligation devrait être reprise dans la future PSD3.

Dans la mesure où le règlement sur les paiements instantanés est entré en vigueur, les banques belges devront se conformer très bientôt à cette obligation et implémenter effectivement l’IBAN-check au bénéfice des consommateurs belges.

  1. Un amendement du régime de la négligence grave

Les organisations de consommateurs plaident depuis très longtemps pour un régime de responsabilité plus protecteur, qui élargisse les possibilités de remboursement, avec une «redéfinition» de la négligence grave qui inclurait, par exemple, une différence plus subtile de ce qu’est un paiement autorisé, ou non autorisé.

Conclusion

 La lutte contre le phishing se révèle un défi complexe, qui nécessite une approche multidimensionnelle. Les chiffres alarmants de la fraude en ligne et les témoignages de victimes montrent à quel point il est crucial de renforcer les mécanismes de protection des consommateurs. La législation actuelle présente des lacunes qui permettent aux banques de se dédouaner en invoquant la négligence grave. Le consommateur doit alors entamer des recours devant les tribunaux (ces procédures sont chères et sans garantie absolue de résultat) ce qui le met dans une situation précaire. Il est donc impératif que les futures directives européennes, comme la PSD3, apportent des clarifications et des améliorations significatives pour mieux protéger les victimes de fraude.

Les cas emblématiques présentés dans cet article illustrent les difficultés rencontrées par certains consommateurs pour obtenir réparation. L’apport d’un soutien extérieur souligne le besoin d’une meilleure accessibilité et d’une plus grande transparence des procédures de remboursement. S’il est essentiel que les consommateurs soient mieux informés de leurs droits et des procédures à suivre en cas de fraude, tout cela doit toutefois être associé à un régime légal plus équilibré.

Enfin, la fraude en ligne étant l’affaire de tous, dans l’attente d’une réponse forte de pouvoirs publics, on s’efforcera de sensibiliser toutes les parties prenantes au problème, selon un autre adage bien connu: «Mieux vaut prévenir que guérir».

Neigema Louas, juriste chez Testachats

[1] https://urls.fr/hvxADs

[2] https://www.rdc-tbh.be/news/reglement-sur-les-services-de-paiement-le-parlement-europeen-se-prononce-sur-un-renforcement-de-la-responsabilite-des-prestataires-de-services-de-paiement-en-cas-de-fraude/#_ftn5

[3] Anthemis, Les services de paiement en droit belge, page 171.

[4] Ibid.