Table of Contents

    Je suis victime de phishing et j’ai perdu une importante somme d’argent ; ai-je droit à un remboursement de la part de ma banque ? Quels sont mes droits et mes obligations ?

    Les règles applicables en cas de phishing sont identiques à celles applicables en cas de perte ou de vol d’un instrument de paiement.

    Par instrument de paiement, on entend tout dispositif personnalisé et/ou tout ensemble de procédures convenus entre l'utilisateur et la banque et auxquels l'utilisateur a recours pour initier un ordre de paiement. Il peut s’agir, par exemple, d’une carte bancaire, d’une application mobile de paiement ou encore du homebanking.

    À l’heure actuelle, tout le monde possède au moins un instrument de paiement. L’utilisation de ces instruments de paiement implique un certain nombre d’obligations pour l’utilisateur et pour la banque, afin notamment d’en assurer la sécurité.

    Malgré tout, il peut arriver qu’un instrument de paiement soit perdu, volé ou piraté, menant à une opération de paiement non autorisée.

    Les obligations liées aux instruments de paiement et les règles relatives à la responsabilité en cas d’opération de paiement non autorisée sont contenues aux articles VII.38 à VII.45 du Code de droit économique. Ces règles ne s’appliquent toutefois pas aux fraudes dans lesquelles les victimes transfèrent elles-mêmes uns somme d’argent, le fraudeur se faisant passer pour quelqu’un d’autre (ex. : fraude à la facture, fraude au CEO, whaling, etc.).

    Qu’est-ce qu’une opération de paiement non autorisée ?

    Une opération de paiement est considérée comme autorisée si le payeur a donné son consentement à l'exécution de l'ordre de paiement. Sans le consentement du payeur, l’opération de paiement est considérée comme non autorisée.

    Attention : ce n’est pas parce que l’opération de paiement a été authentifiée qu’elle a nécessairement été autorisée par le payeur.

    Une opération de paiement est authentifiée dès lors qu’elle a été effectuée au moyen de l’instrument de paiement et des données de sécurité connues du seul titulaire du compte. Toutefois, ce n’est pas parce que l’instrument de paiement a été utilisé au moyen du bon code PIN que son propriétaire a nécessairement donné son accord pour procéder au paiement.

    S’il revient à la banque de démontrer que l’opération de paiement a été correctement authentifiée, il appartient au payeur de rendre plausible le fait qu’il s’agit d’une opération de paiement non autorisée.

    Quels sont vos droits et vos devoirs ?

    Lorsque vous utilisez un instrument de paiement, qu’il s’agisse d’une carte bancaire ou d’un autre moyen de paiement tel qu’une application mobile, vous êtes tenu de respecter les 3 obligations suivantes :

    • utiliser l'instrument de paiement conformément aux conditions contractuelles, qui doivent être objectives, non discriminatoires et proportionnées ;
    • prendre toutes les mesures raisonnables afin de préserver la sécurité de l'instrument de paiement et de ses données de sécurité personnalisées ;
    • lorsque vous avez connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de votre instrument de paiement, en informer et notifier sans délai, la banque et/ou le tiers désigné (ex. : Card Stop en ce qui concerne le blocage des cartes).

    Quels sont les devoirs de la banque ?

    La banque, de son côté, a le devoir d’assurer la sécurité des instruments de paiement de ses clients.

    Il s’agit notamment de :

    • veiller à ce que les données de sécurité ne soient pas accessibles à d’autres personnes ;
    • mettre à disposition des utilisateurs, gratuitement et à tout moment, des outils leur permettant de notifier la perte, le vol ou le détournement d’un instrument de paiement et d’en demander le blocage (ex. : Card Stop en ce qui concerne les cartes bancaires) ;
    • empêcher toute utilisation de l’instrument de paiement après notification.

    Vous êtes victime d’un vol, que devez-vous faire ?

    Lorsque vous avez connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée d’un de vos instruments de paiement, contactez immédiatement votre banque ou le tiers désigné par celle-ci afin de notifier l’incident et faire bloquer les instruments de paiement.

    Afin de limiter votre éventuelle responsabilité, il est impératif de notifier la banque le plus rapidement possible. De plus, plus tôt vous prévenez votre banque, plus les chances de récupérer les fonds volés sont élevées.

    S’il s’agit d’une carte bancaire, appelez immédiatement Card Stop au +32 78 170 170 pour en obtenir le blocage.

    Attention, en règle générale, Card Stop permet de bloquer uniquement les cartes et non les autres types d’instruments de paiement tels que les applications bancaires. Vérifiez auprès de votre banque que tous les instruments de paiement perdus, volés ou piratés sont bloqués.

    Adressez-vous aussi à la police locale : rendez-vous au bureau de police le plus proche de votre domicile pour faire établir un procès-verbal. Il est conseillé de transmettre le numéro du procès-verbal à votre banque et à votre éventuel assureur.

    Informez l’Inspection économique via le Point de contact.

    Votre compte a été débité sans votre autorisation ; qui est responsable ?

    Le Code de droit économique établit une distinction selon que l’opération non autorisée a eu lieu avant ou après la notification de la perte, du vol, du détournement ou de toute utilisation non autorisée de l’instrument de paiement.

    Il est conseillé de garder la preuve de l’accomplissement de la notification, en particulier pour les instruments de paiement autres que les cartes bancaires.

    Opérations non autorisées après notification

    En cas d'opération de paiement non autorisée, la banque doit rembourser immédiatement au payeur le montant de l’opération de paiement après en avoir été informée, sauf si la banque a de bonnes raisons de soupçonner une fraude dans le chef du payeur et si elle communique ces raisons par écrit au SPF Economie.

    En effet, il revient à la banque d’empêcher l'utilisation de l'instrument de paiement après la notification de la perte, du vol, du détournement ou de l’utilisation non autorisée de l’instrument de paiement par le payeur.

    Opérations non autorisées avant notification

    Tant que vous n’avez pas informé votre banque, ou le tiers désigné, de la perte, du vol, du détournement ou de toute utilisation non autorisée de votre instrument de paiement, vous devrez supporter les pertes liées à toute opération de paiement non autorisée à concurrence de 50 euros. Vous ne supporterez donc ici qu'un risque limité, à savoir une franchise de 50 euros.

    Il existe cependant 3 exceptions dans le cadre desquelles vous ne supporterez aucune perte liée à une opération de paiement non autorisée même si vous n’avez pas informé votre banque ou le tiers désigné à temps :

    1. Lorsque vous ne pouviez pas détecter, avant le paiement, la perte, le vol ou le détournement de l’instrument de paiement : en pratique, on vise notamment ici les cas de phishing, piratage, vol de données de sécurité, alors que le payeur est toujours en possession de son instrument de paiement et ne pouvait pas détecter la fraude
      Attention : le payeur ne pourra pas se prévaloir de cette exception si, au cours du processus de vol des données bancaires, le payeur savait ou aurait dû savoir qu’il s’agissait d’une fraude.
    2. Lorsque la perte est due à des actes ou à une carence d'un agent de la banque ou d'un de ses sous-traitants.
    3. Lorsque votre banque n'exige pas une authentification forte du client ou lorsque le bénéficiaire ou sa banque n'accepte pas une authentification forte du client. L’authentification forte du client est une authentification basée sur au moins deux informations que seul le titulaire de l’instrument de paiement sait (ex. : mot de passe, code PIN), possède (ex. : carte, smartphone) et/ou est (ex. : empreinte, donnée biométrique).

    Dans ces 3 hypothèses, vous ne subirez aucune perte financière liée à une opération de paiement non autorisée. La banque pourra uniquement vous refuser le remboursement de l’opération si vous agissez vous-même à des fins frauduleuses.

    La banque peut-elle refuser de vous rembourser le montant de l’opération frauduleuse en cas de négligence grave ?

    En principe, le payeur supporte toutes les pertes financières occasionnées à la suite d’opérations de paiement non autorisées si elles résultent soit d'un agissement frauduleux de sa part, soit du fait qu'il n'a pas satisfait, intentionnellement ou à la suite d'une négligence grave, à une ou plusieurs des obligations liées à l’utilisation d’un instrument de paiement.

    En d’autres termes, vous pourriez être contraint de supporter intégralement la perte financière subie si, à la suite d’une négligence grave :

    • vous n’avez pas utilisé l’instrument de paiement conformément aux conditions contractuelles, ou
    • vous n’avez pas pris de mesures de sécurité suffisantes (par ex. : noter ses données de sécurité personnalisés sur l'instrument de paiement), ou
    • vous n’avez pas notifié immédiatement à votre banque la perte, le vol ou le détournement de votre instrument de paiement.

    Dans ce cas, il revient à la banque de prouver la négligence grave. À ce sujet, le seul fait d’affirmer que l’instrument de paiement et les données de sécurité ont été utilisés lors de l’opération frauduleuse ne suffit pas en tant que tel à prouver l’existence d’une négligence grave.

    En revanche, la loi ne prévoit pas d’exception pour négligence grave dans l'hypothèse où le payeur ne pouvait pas détecter la fraude. Autrement dit, en cas de phishing, la banque ne peut pas vous refuser le remboursement de l’opération frauduleuse en raison d’une négligence grave.

    Toutefois, cette règle ne s’applique que dans les cas où vous ne pouviez pas raisonnablement détecter la fraude.

    En d’autres termes, la banque peut seulement tenter de démontrer qu’au moment des faits, vous saviez ou auriez dû savoir qu’il s’agissait d’une arnaque ou que vous agissiez vous-même à des fins frauduleuses.

    Au final, il appartient au juge de décider si, en tenant compte de toutes les circonstances de fait, il y a négligence grave ou pas.

    Litiges et plaintes

    Si vous souhaitez signaler un problème ou déposer un signalement concernant les services financiers, vous pouvez vous adresser à la Direction générale de l'Inspection économique via le Point de contact.

    Vous devez également introduire votre plainte auprès du service de médiation de l’établissement de crédit en question. Si aucune solution n’a été trouvée dans un délai raisonnable, vous pouvez alors avoir recours au Service de médiation des services financiers. Celui-ci examinera la plainte de manière prioritaire et formulera, en cas de litige, un avis contraignant à l’égard de l’établissement de crédit. Vous pouvez contacter le Service de médiation à l’adresse suivante :

    Service de médiation des services financiers

    North Gate II
    Boulevard du Roi Albert II 8 bte 2
    1000 Bruxelles

    Tél. : +32 2 545 77 70
    Fax : +32 2 545 77 79
    E-mail : ombudsman@ombudsfin.be

    Dernière mise à jour
    16 janvier 2023

    Dernières actualités pour ce thème