SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2008-2009 Zitting 2008-2009
________________
12 janvier 2009 12 januari 2009
________________
Question écrite n° 4-2545 Schriftelijke vraag nr. 4-2545

de Hugo Vandenberghe (CD&V)
van Hugo Vandenberghe (CD&V)

au ministre de la Justice
aan de minister van Justitie
________________
Vols de numéros de cartes de crédit aux États-Unis Gestolen kredietkaartnummers in de Verenigde Staten 
________________
monnaie électronique
vol
fraude
criminalité informatique
criminalité organisée
États-Unis
elektronisch betaalmiddel
diefstal
fraude
computercriminaliteit
georganiseerde misdaad
Verenigde Staten
________ ________
12/1/2009Verzending vraag
(Einde van de antwoordtermijn: 12/2/2009)
20/5/2009Antwoord
12/1/2009Verzending vraag
(Einde van de antwoordtermijn: 12/2/2009)
20/5/2009Antwoord
________ ________
Réintroduction de : question écrite 4-1378 Réintroduction de : question écrite 4-1378
________ ________
Question n° 4-2545 du 12 janvier 2009 : (Question posée en néerlandais) Vraag nr. 4-2545 d.d. 12 januari 2009 : (Vraag gesteld in het Nederlands)

Aux États-Unis, un groupe de onze personnes a dérobé et revendu plus de 40 millions de numéros de cartes de crédit. Cette bande internationale de criminels piratait les ordinateurs de divers magasins américains et installait des logiciels pour avoir accès à leurs systèmes informatiques. À l’aide d’un programme renifleur, elle a découvert des données détaillées concernant les clients, des mots de passe et des numéros de cartes de crédit.

Selon leurs propres dires, les pirates ont stocké les données volées sur des serveurs situés aux États-Unis et en Europe. Ils ont ensuite vendu les informations à des criminels d’Europe et des États-Unis qui ont, à leur tour, retiré de l’argent des comptes.

Je souhaiterais obtenir une réponse aux questions suivantes :

1. Combien de compatriotes ont-ils été victimes de ces faits criminels aux États-Unis ?

2. De tels faits de vol de numéros de cartes de crédit ont-ils été observés dans notre pays au cours des dix dernières années ?

3. Combien de personnes ont-elles été victimes de ces pratiques dans notre pays au cours des dix dernières années ?

4. Le ministre juge-t-il souhaitable de mettre cette problématique sur le tapis à l’échelon européen ?

5. Le ministre juge-t-il opportun de prendre des mesures pour attirer l’attention des commerçants, des clients, … sur la possibilité de fraude aux numéros de cartes de crédit ?

6. Quelles mesures le ministre compte-t-il prendre pour réduire le plus possible la possibilité de fraude aux numéros de cartes de crédit ?

 

Een groep van elf mensen heeft in de Verenigde Staten meer dan 40 miljoen kredietkaartnummers gestolen en doorverkocht. De internationale criminele bende hackte computers van verschillende Amerikaanse winkels en installeerde software om toegang te krijgen tot hun computersystemen. Met behulp van de sniffersoftware achterhaalden ze klantendetails, paswoorden en nummers van kredietkaarten.

Naar eigen zeggen hebben de oplichters de gestolen identiteitsgegevens opgeslagen op servers in de Verenigde Staten en in Europa. Daarna verkochten ze de informatie door aan misdadigers in Europa en de VS die op hun beurt geld van de rekeningen haalden.

Graag had ik een antwoord gekregen op de volgende vragen :

1. Hoeveel landgenoten werden in de Verenigde Staten het slachtoffer van deze criminele feiten ?

2. Werden de voorbije tien jaar in ons land dergelijke feiten met gestolen kredietkaartnummers vastgesteld ?

3. Hoeveel personen werden in ons land de voorbije tien jaar slachtoffer van deze praktijken ?

4. Acht de minister het wenselijk deze problematiek op Europees niveau te bespreken ?

5. Acht de minister het aangewezen maatregelen te nemen om de winkeliers, klanten, … te wijzen op mogelijke fraude met kredietkaartnummers ?

6. Welke maatregelen wil de minister nemen om de mogelijke fraude met kredietkaartnummers in de toekomst tot een minimum te herleiden ?

 
Réponse reçue le 20 mai 2009 : Antwoord ontvangen op 20 mei 2009 :

La Police fédérale signale qu'il s'agit, en l'occurrence, de banques de données enregistrant les données relatives aux clients en vue de faciliter le traitement des achats. Il est de la responsabilité des commerçants de sécuriser de telles banques de données (cryptage, firewall, rustines, etc.). Par ailleurs, une partie de la responsabilité incombe également aux clients. Il convient de recommander à ces derniers d'être prudents avant de laisser des données confidentielles.

Réponse à la question 1:

Ces faits criminels concernent l'affaire de piratage d'une grande chaîne de magasins américains qui s'est produite entre juillet 2005 et fin 2006. Le dossier répressif est traité aux États-Unis. Dès lors que les listes des données piratées sont transmises aux divers pays, les cartes concernées sont bloquées de manière préventive ; il n'y a pour ainsi dire aucun dommage. En Belgique, aucune plainte n'est déposée en pareils cas. Aussi ne connaît-on aucun détail supplémentaire quant au dossier. Un piratage similaire s'est produit en juin 2005 et a eu pour cible la banque de données d'une société américaine de traitement de paiements. Comme le révélait la presse à l'époque, cette affaire de fraude concernait 3 800 cartes belges.

Réponse aux questions 2 et 3:

Il s'agit d'une forme récente de fraude. Si ce phénomène demeurait très limité avant 2005, il apparaît clairement depuis 2007. En 2007, quarante-cinq cas ont été constatés, concernant 7 500 cartes, contre 200 cas et 45 000 cartes en 2008.

Aucun titulaire de carte ne subit de dommage dans de tels cas. Conformément à la loi du 17 juillet 2002 relative aux opérations effectuées au moyen d'instruments de transfert électronique de fonds, toutes les transactions contestées qui ont été réalisées sans présentation physique de la carte sont remboursées au titulaire de la carte par la banque émettrice.

Réponse à la question 4:

Cette problématique est déjà examinée au niveau européen. Sur le plan policier, il existe un accord de coopération concernant l'abus de données de cartes de crédit. Les données sont rassemblées et analysées dans le cadre d'un « Analytical Work File » d'Europol, au sein du groupe de travail « Terminal ».

La concertation s'organise également dans le secteur privé, à l'échelon européen. En outre, l'EPC (Conseil européen des paiements) se penche, conjointement avec la Commission européenne, sur cette problématique.

Réponse à la question 5:

Les activités des commerçants sont déterminées par les obligations commerciales et contractuelles, telles que définies par les normes de sécurité de l'industrie. Qui plus est, les calendriers de paiement ont énoncé les règles PCI (Payment Card Industry) visant la protection de toutes les données des cartes tout au long de la chaîne de paiement (cf. www.pci.com).

Par ailleurs, les banques émettrices et celles qui effectuent les transactions ont pris des mesures afin de sécuriser les transactions d'« e-commerce » (3D Secure) : tant les titulaires de cartes que les commerçants sont identifiés lors de l'exécution d'une transaction d'« e-commerce ».

Il existe par surcroît l'obligation légale qu'ont les commerçants de protéger les données personnelles enregistrées dans une banque de données, conformément à la loi sur le respect de la vie privée. La Commission de la protection de la vie privée a pris des mesures à cet effet.

Réponse à la question 6:

Il importe de maintenir les contacts entre la police et le secteur privé.

Afin d'améliorer l'image du phénomène, une analyse en matière de skimming a été réalisée dernièrement au sein de la police, dans le cadre plus large de la fraude à la carte de paiement. À la suite de cette analyse, des sessions d'information ont été données aux fonctionnaires de prévention des communes. Il y a lieu de poursuivre de telles initiatives.

La Federal Computer Crime Unit et le Parquet fédéral collaborent afin de lutter contre et, si possible, désactiver les sites de phishing. La poursuite par les CCU de la recherche en matière de piratage revêt elle aussi une grande importance. Dans différents arrondissements, la police locale ou les services spécialisés de la police judiciaire fédérale luttent très activement contre les bandes qui se livrent à la fraude à la carte de crédit, de sorte que chaque année, différents auteurs sont arrêtés. (source DGJ/DJF/FCCU)

De federale politie meldt dat het hier databanken betreft die klantengegevens registreren met het oog op het toekomstig gemakkelijk verwerken van aankopen. De beveiliging van dergelijke databanken (encryptie, firewall, software patches, ...) is de verantwoordelijkheid van de winkeliers. Daarnaast valt ook een deel van de verantwoordelijkheid op de schouders van de klanten. Zij moeten erop attent gemaakt worden voorzichtig om te springen met het achterlaten van vertrouwelijke gegevens.

Antwoord op vraag 1:

Deze criminele feiten betreffen het dossier van de hacking van een grote Amerikaanse winkelketen die plaatsvond tussen juli 2005 en eind 2006. Het strafrechtelijke dossier wordt behandeld in de Verenigde Staten. Gezien de lijsten met gehackte data worden doorgegeven aan de diverse landen, worden de betrokken kaarten preventief geblokkeerd en is er omzeggens geen schade. In België wordt in dergelijke gevallen geen klacht neergelegd en zijn er dus geen verdere details in verband met de zaak bekend. Een gelijkaardige hacking deed zich voor in juni 2005 waarbij de databank van een Amerikaanse betalingsverwerkende firma werd gehackt. Zoals destijds in de pers verscheen, waren toen 3 800 Belgische kaarten betrokken in de fraudezaak.

Antwoord op vraag 2 en3:

Het betreft een recente vorm van fraude die voor 2005 zeer beperkt bleef, maar sinds 2007 duidelijk aanwezig is. In 2007 zijn vijfenveertig gevallen bekend, wat gepaard ging met 7 500 kaarten en in 2008 zijn 200 gevallen bekend, wat gepaard ging met 45 000 kaarten.

Geen enkele kaarthouder ondervindt schade in dergelijke gevallen. Conform de wet van 17 juli 2002 - betreffende de transacties uitgevoerd met instrumenten voor elektronische overmaking van geldmiddelen - worden alle betwiste transacties die gebeuren zonder dat de kaart fysiek aanwezig was, terugbetaald aan de kaarthouders door de emitterende banken.

Antwoord op vraag 4:

Deze problematiek wordt reeds op Europees niveau besproken. Op politioneel vlak is er een samenwerkingsverband over het misbruik van kredietkaartdata waarbij data worden samengebracht en besproken binnen een Analytical Workfile van Europol, met name binnen de werkgroep “Terminal”.

Ook in de private sector is er overleg op Europees niveau. Bovendien buigt het European Payment Council (EPC) zich op Europees niveau, samen met de Europese Commissie, over deze problematiek.

Antwoord op vraag 5:

De activiteiten van de winkeliers worden enerzijds bepaald door de commerciële en contractuele verplichtingen zoals uitgezet in de security standaarden van de industrie. Bovendien hebben de betaalschema's de Payment Card Industry (PCI)- regels uitgevaardigd die ertoe moeten leiden dat alle kaartgegevens over de volledige betaalketen worden beschermd (cfr. vvww.pci.com). Daarnaast hebben de uitgevende banken en de banken die de transacties uitvoeren maatregelen getroffen om e-commerce transacties te beveiligen (3D Secure) waarbij de kaarthouders zowel als de handelaars geautentificeerd worden bij het uitvoeren van een e-commerce transactie.

Anderzijds is er de wettelijke verplichting waarbij de winkeliers de verplichting hebben de persoonsgegevens die in een databank wordt bijgehouden te beschermen conform de wet op de privacy. Hiertoe heeft de Commissie voor de bescherming van de persoonlijke levenssfeer maatregelen uitgeschreven.

Antwoord op vraag 6:

Het is belangrijk de actuele contacten tussen politie en private sector te bestendigen.

Om de beeldvorming te verbeteren werd binnen de politie onlangs een analyse inzake skimming binnen het bredere kader van de betaalkaartfraude gerealiseerd. In navolging hiervan werden informatiesessies verschaft aan de preventieambtenaren van de gemeenten. Dergelijke initiatieven moeten verdergezet worden.

De Federal Computer Crime Unit en het Federaal Parkt werken samen om phishing sites te bestrijden en indien mogelijk te desactiveren. Daarnaast is het voortgezet onderzoek door de CCU's inzake hacking van belang. In verschillende arrondissementen wordt door lokale politie of gespecialiseerde diensten van de Federale gerechtelijke politie zeer actief gewerkt op bendes die zich bezighouden met kredietkaartfraude, waardoor jaarlijks verschillende daders worden aangehouden. (bron: DGJ/DJF/FCCU)