SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2012-2013 Zitting 2012-2013
________________
22 janvier 2013 22 januari 2013
________________
Question écrite n° 5-7875 Schriftelijke vraag nr. 5-7875

de Bert Anciaux (sp.a)

van Bert Anciaux (sp.a)

au vice-premier ministre et ministre de l'Économie, des Consommateurs et de la Mer du Nord

aan de vice-eersteminister en minister van Economie, Consumenten en Noordzee
________________
Banques - Fraude commises lors d'opérations bancaires en ligne - Indemnisation du préjudice - Febelfin Banken - Fraude bij internetbankieren - Vergoeding van de schade - Febelfin 
________________
criminalité informatique
bancatique
protection du consommateur
computercriminaliteit
elektronische bankhandeling
bescherming van de consument
________ ________
22/1/2013Verzending vraag
21/2/2013Antwoord
22/1/2013Verzending vraag
21/2/2013Antwoord
________ ________
Question n° 5-7875 du 22 janvier 2013 : (Question posée en néerlandais) Vraag nr. 5-7875 d.d. 22 januari 2013 : (Vraag gesteld in het Nederlands)

J'ai déjà posé cette question précédemment au ministre des Finances (5-7522) qui me renvoie vers le ministre.

Le nombre de cas de fraudes commises lors d'opérations bancaires en ligne connaît une croissance exponentielle. Les montants ainsi détournés au cours des cinq premiers mois de 2012 sont déjà quatre fois plus élevés que sur l'ensemble de l'année 2011. C'est ce que révèlent les chiffres de Febelfin, la fédération du secteur financier.

Jusqu'à présent, toutes les personnes qui, ces dernières années, étaient victimes de ces arnaques en Belgique étaient indemnisées. Mais cette indemnisation ne va manifestement plus de soi. Réagissant à ces annonces, les banques disent qu'elles examinent la situation « au cas par cas » et que l'indemnisation du préjudice n'est pas automatique mais est un « geste commercial ». Tant que le nombre de cas reste limité, l'indemnisation ne semble donc pas poser de problème et les banques remboursent loyalement. Mais, si ces cas de fraude continuent à croitre (et leur hausse est très rapide), les banques seront de moins en moins enclines à faire un « geste ».

D'autres experts qui défendent les intérêts des clients (entre autres Test-Achats) prétendent toutefois que cette attitude n'est pas correcte. Conformément à la loi sur les opérations électroniques, les banques sont tenues d'indemniser le client, sauf négligence grave de sa part. La banque doit en outre pouvoir démontrer la négligence. Reste encore à savoir ce que l'on entend par négligence.

Mes questions sont les suivantes :

1) À quel cadre réglementaire l'indemnisation du préjudice subi par un consommateur lors d'opérations bancaires en ligne est-elle soumise ? Le ministre peut-il donner des explications ?

2) Est-il vrai que les indemnités sont un « geste commercial » des banques ou bien celles-ci sont-elles obligées de rembourser, comme le prétend entre autres Test-Achats ? Le ministre reconnaît-il qu'un traitement « au cas par cas » est inacceptable et que les banques doivent utiliser des critères uniformes pour indemniser les consommateurs victimes d'une fraude lors d'opérations bancaires en ligne ? Pense-t-il qu'il faille à tout le moins préciser le statut juridique du consommateur ?

3) Que faut-il comprendre par « négligence grave » concernant ce genre de cas de fraude ? À qui la charge de la preuve incombe-t-elle ? Ce n'est actuellement pas clair pour les consommateurs. Le ministre pense-t-il comme moi que cette situation soit fâcheuse et que l'argent en tant que moyen de paiement et les opérations de paiement (en ligne) reposent uniquement sur la confiance ? Reconnaît-il qu'en renforçant la responsabilité des consommateurs on risque de saper la confiance dans les opérateurs de paiement en ligne alors qu'il s'agit justement d'une méthode de paiement très efficace ? Estime-t-il comme moi que la sécurité des opérations bancaires en ligne incombe avant tout aux banques ?

4) Les banques tentent de rejeter sur le client la responsabilité de la fraude en ligne prenant pour cible les comptes de paiement, par exemple, en imposant aux clients de disposer d'un antivirus et de le mettre à jour régulièrement. Quelle latitude les banques ont-elles pour exiger des consommateurs une « connaissance de l'internet » minimale et une protection minimale des ordinateurs avant de procéder à l'indemnisation du préjudice ?

5) Le ministre s'est-il déjà concerté avec Febelfin à ce sujet ? Avec quel résultat ?

 

Ik heb deze vraag eerder aan de minister van Financiën gesteld (5-7522). Deze verwees door naar de geachte minister.

Het aantal gevallen van fraude via internetbankieren stijgt exponentieel. In de eerste vijf maanden van 2012 is er al vier keer meer geld verloren aan fraude bij internetbankieren dan in heel 2011. Dat blijkt uit cijfers van de sectorfederatie voor de financiële wereld Febelfin.

Tot dusver werden alle gedupeerden vergoed die de afgelopen jaren in België op die manier werden opgelicht. Dat is blijkbaar echter geen vanzelfsprekendheid. In eerdere reacties op dit soort berichten zeggen banken dat ze "geval per geval" bekijken en dat de vergoeding van de schade geen vanzelfsprekendheid is, maar "een commerciële geste". Zolang het aantal schadegevallen beperkt blijft, lijkt er dus geen probleem en betalen de banken braaf uit. Maar wanneer deze gevallen van fraude blijven toenemen - en dat doen ze snel - zullen banken steeds minder bereid zijn een 'geste' te doen.

Andere experts die de belangen van de klanten behartigen, onder andere Test-Aankoop, stellen echter dat dit niet klopt. De banken zijn volgens de wet op de elektronische verrichtingen gewoon verplicht de klant te vergoeden, tenzij er sprake zou zijn van grove nalatigheid door de consument. De bank moet die nalatigheid ook kunnen aantonen. Rest er bovendien nog de vraag wat men onder grove nalatigheid verstaat.

Hierover de volgende vragen:

1) Welk regelgevend kader bestaat er met betrekking tot de vergoeding van consumentenschade bij internetbankieren en kan de minister dit toelichten?

2) Klopt het dat de schadevergoedingen een "commerciële geste" zijn vanwege de banken of zijn de banken sowieso verplicht tot deze terugbetaling zoals onder andere Test-Aankoop stelt? Gaat de minister ermee akkoord dat een "geval per geval"-aanpak in ieder geval onaanvaardbaar is en dat banken uniforme standaarden moeten hanteren voor het vergoeden van consumentenschade door fraude bij internetbankieren? Is hij van mening dat er op zijn minst een verduidelijking moet komen van de rechtspositie van de consument?

3) Wat moet men verstaan onder grove nalatigheid met betrekking tot dit soort gevallen van fraude? Bij wie ligt de bewijslast? Momenteel is dit voor consumenten onduidelijk. Deelt de minister mijn opvatting dat deze toestand onwenselijk is en dat geld als betaalmiddel en het onlinebetalingsverkeer alleen kunnen functioneren op basis van vertrouwen? Beaamt hij dat het aanscherpen van de verantwoordelijkheid van consumenten kan leiden tot het ondermijnen van het vertrouwen in het onlinebetalingsverkeer, terwijl dit juist een zeer efficiënte betaalmethode is? Deelt hij mijn opvatting dat de verantwoordelijkheid voor de veiligheid van internetbankieren in de eerste plaats bij de banken ligt?

4) De banken proberen de aansprakelijkheid voor onlinefraude met betaalrekeningen te verschuiven naar de klant, bijvoorbeeld door in de voorwaarden te stellen dat klanten een virusscanner moeten hebben en de software regelmatig moeten updaten. Welke ruimte hebben banken om eisen te stellen aan de "internetkennis" en de beveiliging van computers van consumenten alvorens tot vergoeding bij schade over te gaan?

5) Heeft de minister hieromtrent reeds overlegd gevoerd met Febelfin? Met welk resultaat?

 
Réponse reçue le 21 février 2013 : Antwoord ontvangen op 21 februari 2013 :

1. La législation applicable est la loi du 10 décembre 2009 relative aux services de paiement (ci-après LSP), qui est une transposition de la directive européenne 2007/64/CE concernant les services de paiement.

Le point de départ du législateur est qu’il appartient en premier lieu au prestataire de services de paiement de mettre en place ou d’organiser des structures permettant aux opérations de paiement de se dérouler en toute sécurité. C’est donc le prestataire de services de paiement qui est en premier lieu responsable de la sécurité technique et du bon fonctionnement de ses produits et du système de paiement. Dans ce cadre, je peux également, par exemple, renvoyer à certains cas de fraude où le législateur a explicitement prévu que l’entière responsabilité incombe au prestataire de services de paiement lorsque les systèmes de paiement utilisés s’avèrent être insuffisamment sécurisés: paiement via internet en indiquant simplement le numéro de carte et la date d’expiration de la carte (article 37, § 1er, alinéa 3, 1°, LSP), le clonage (skimming) et le piratage (hacking) (article 37, § 1er,, alinéa 3, 2°, LSP).

2. à 4. Il est essentiel, si l’on veut favoriser le paiement électronique comme “instrument quotidien de paiement” par rapport aux paiements en espèces, que cela s’accompagne de suffisamment de garanties en matière de sécurité, d’efficacité et de prix.

Je ne suis pas d’accord quant à l’affirmation selon laquelle les dédommagements par la banque peuvent être qualifiés de « geste commercial », compte tenu du dispositif légal précité.

Le législateur européen, et par conséquent également belge, n’a pas défini la "négligence grave" et a veillé à ne pas la préciser dans la Directive européenne 2007/64/ CE concernant les services de paiement. Dans les considérants de cette directive, au considérant 33, il est également stipulé qu’afin d'évaluer l'éventualité d'une négligence de la part de l'utilisateur de services de paiement, il convient de tenir compte de toutes les circonstances.

Conformément à l’article 37, § 3, alinéa 1er,, LSP, la charge de la preuve en matière de fraude, d’intention ou de négligence grave incombe au prestataire de services de paiement. Si la charge de la preuve incombait au payeur, le payeur ne pourrait pratiquement pas prouver en pratique qu’il n’a pas agi avec négligence grave (preuve d’un fait négatif).

Je peux également faire référence aux explications du considérant 33 de la directive et au principe général repris à l’article 61, 3°, LSP, qui prévoient que les clauses et conditions ou les combinaisons de clauses et conditions qui ont pour objet de mettre à charge de l’utilisateur de services de paiement la preuve du respect de tout ou partie des obligations qui incombent au prestataire de services de paiement sont interdites et nulles de plein droit. En ce sens, ne peuvent pas être acceptées les clauses contractuelles d’un prestataire de services de paiement reprenant une liste décrivant les négligences graves ou stipulant qu’il est question d’une négligence grave lorsque le consommateur n’a pas respecté les mesures de précautions prescrites dans les conditions générales.

L’article 37, § 3, LSP, décrit cependant deux cas comme suit: « le fait, pour le payeur de noter ses dispositifs de sécurité personnalisés, comme son numéro d’identification personnel ou tout autre code, sous une forme aisément reconnaissable, et notamment sur l’instrument de paiement ou sur un objet ou un document conservé ou emporté par le payeur avec l’instrument de paiement, ainsi que le fait de ne pas avoir notifié au prestataire de services de paiement, ou à l’entité indiquée par celui-ci, la perte ou le vol, dès qu’il en a eu connaissance. » Il est clair que ces deux cas portent sur l’utilisation physique de la carte de paiement. Il appartient cependant au juge d’apprécier si un acte particulier constitue ou non une négligence grave, en tenant compte de l’ensemble des circonstances de fait (voir article 37 in fine, LSP).

5. Je suis parfaitement conscient du fait que la fraude sur internet doit être suivie de près. C’est pour cette raison que j’ai accordé mon soutien à Febelfin pour diffuser un message d’intérêt général visant à encore sensibiliser davantage les citoyens aux risques liés au PC banking et à leur donner des conseils utiles quant à la meilleure manière de réagir à des tentatives de fraude. Je voudrais également faire remarquer que l’Europe a annoncé certaines initiatives pour 2013 en vue de la révision de la directive européenne concernant les services de paiement, ainsi que la poursuite du suivi du Livre vert « Vers un marché européen intégré des paiements par carte, par internet et par téléphone mobile ». Je plaiderai certainement, dans ce cadre, pour que l’on accorde suffisamment d’attention à l’aspect sécurité des paiements électroniques et à une protection adéquate du consommateur.

1. De toepasselijke wetgeving is de wet van 10 december 2009 betreffende de betalingsdiensten (hierna WBD), die een omzetting is van de Europese richtlijn 2007/64/ EG betreffende de betalingsdiensten.

Het uitgangspunt van de wetgever is dat het in de eerste plaats aan de betalingsdienstaanbieder is om structuren op te zetten of te organiseren waardoor het mogelijk is dat betalingstransacties op een veilige manier kunnen plaatsvinden. Het is dus de betalingsdienstaanbieder die in de eerste plaats verantwoordelijk is voor de technische beveiliging en het goed functioneren van zijn producten en betalingssysteem. In dit kader kan er ook verwezen worden naar bv. een aantal gevallen van fraude waarbij de wetgever expliciet de volledige verantwoordelijkheid heeft gelegd op de betalingsdienstaanbieder wanneer de gehanteerde betaalsystemen onvoldoende veilig blijken te zijn: betaling via internet met louter opgave kaartnummer en vervaldatum kaart (artikel 37, § 1, derde lid, 1°,WBD), skimming en hacking ( artikel 37, § 1, derde lid, 2°, WBD).

2. tot 4. Het is essentieel dat het bevorderen van elektronisch betalen als “dagdagelijkse manier van betalen” ten opzichte van het cash betalingen hand in hand gaat met voldoende waarborgen inzake veiligheid, efficiëntie en prijs.

Ik ga niet akkoord met de bewering dat de schadevergoedingen door de bank kunnen worden gekwalificeerd als “commerciële geste”, rekening houdend met de wettelijke regeling.

De Europese wetgever - en bijgevolg ook de Belgische - heeft ervoor gekozen om “grove nalatigheid” niet te definiëren, of verder in te vullen in de Europese richtlijn 2007/64/ EG betreffende de betalingsdiensten. In de toelichting bij deze richtlijn wordt – in overwegende 33 – ook gesteld dat bij de beoordeling of de betalingsdienstgebruiker nalatig is geweest, alle omstandigheden in aanmerking moeten worden genomen.

De bewijslast inzake bedrog, opzet of grove nalatigheid ligt bij de betalingsdienstaanbieder op grond van artikel 37, § 3, eerste lid WBD. Indien de bewijslast zou worden gelegd bij de betaler, zou het voor de betaler in de praktijk zo goed als onmogelijk zijn te bewijzen dat hij niet met grove nalatigheid heeft gehandeld ( bewijs van een negatief feit).

Er kan ook verwezen worden naar de toelichting in overwegende 33 van de richtlijn en het algemeen principe, opgenomen in artikel 61, 3°, WBD, waarbij alle bedingen en voorwaarden of combinaties van bedingen en voorwaarden in de overeenkomst die tot gevolg zouden hebben de bewijslast voor de gebruiker te verzwaren of de bewijslast voor de aanbieder te verlichten verboden en nietig zijn. In die zin kunnen de contractuele bedingen van een betalingsdienstaanbieder niet aanvaard worden waarin een lijst wordt opgenomen met de invulling van de grove nalatigheid, of waarin wordt bepaald dat het als een grove nalatigheid wordt beschouwd wanneer de consument de in algemene voorwaarden voorgeschreven voorzorgsmaatregelen niet heeft nageleefd.

Er worden in artikel 37, § 3, WBD wel twee gevallen omschreven als volgt: “het feit vanwege de betaler, zijn gepersonaliseerde veiligheidskenmerken, zoals een identificatienummer of enige andere code in een gemakkelijk herkenbare vorm te noteren, en met name op het betaalinstrument, of op een voorwerp of een document dat de betaler bij het instrument bewaart of met dat instrument bij zich draagt, alsook het feit van de betalingsdienstaanbieder, of de door laatstgenoemde aangeduide entiteit, niet onverwijld in kennis te hebben gesteld van het verlies of de diefstal”. Het is duidelijk dat deze twee gevallen betrekking hebben op het fysieke gebruik van de betaalkaart. De beoordeling van het feit of een bepaalde handeling al dan niet een “grove” nalatigheid is, behoort echter toe aan de rechter die rekening houdt met het geheel van de feitelijke omstandigheden ( zie art.37 in fine WBD)..

5. Ik ben mij terdege van bewust dat internetfraude van nabij dient te worden opgevolgd. Om die reden heb ik ook mijn steun verleend aan Febelfin voor het geven van een boodschap van algemeen nut om de burgers nog meer te sensibiliseren over de risico’s inzake internetbankieren en om hen advies te geven over hoe men het best kan reageren op fraudepogingen. Ook wil ik er op wijzen dat Europa voor 2013 heeft aangekondigd met een aantal initiatieven te komen voor de herziening van de Europese betalingsrichtlijn, alsook een verdere opvolging van het groenboek “Naar een geïntegreerde Europese markt voor kaart-, internet- en mobiele betalingen”. Ik zal in dat kader zeker pleiten voor voldoende aandacht aan het veiligheidsaspect van elektronisch betalen en adequate consumentenbescherming.