Fraude de paiement en banque privée : responsabilité, preuve et authentification forte

ByBertrand Mariaux Updated on

La responsabilité fraude paiement banque privée se traite d’abord par qualification juridique. La loi modifiée du 10 novembre 2009 relative aux services de paiement, à l’activité d’établissement de monnaie électronique et au caractère définitif du règlement dans les systèmes de paiement et les systèmes de règlement des opérations sur titres (ci-après, la Loi de 2009 sur les Services de Paiement) distingue l’opération non autorisée, l’opération mal exécutée et l’ordre autorisé par un payeur trompé. Une fraude au virement autorisé (authorised push payment fraud) n’entre donc pas automatiquement dans le remboursement de l’article 87 de la Loi de 2009 sur les Services de Paiement.

Trois contrôles de responsabilité

  • (i) Le remboursement est le point de départ. En cas d’opération non autorisée, l’article 87 de la Loi de 2009 sur les Services de Paiement impose le remboursement au plus tard à la fin du premier jour ouvrable suivant, sauf si le prestataire a de bonnes raisons de soupçonner une fraude et communique ces raisons par écrit à la Commission de Surveillance du Secteur Financier (CSSF).
  • (ii) La preuve pèse sur le prestataire. L’article 86 de la Loi de 2009 sur les Services de Paiement exige plus qu’un journal technique. L’usage d’un instrument de paiement ne suffit pas nécessairement à prouver l’autorisation, la fraude ou la négligence grave.
  • (iii) L’authentification forte du client (strong customer authentication, SCA) change la répartition de la responsabilité financière entre le client et la banque. L’article 88, paragraphe 2bis, de la Loi de 2009 sur les Services de Paiement protège le payeur si le prestataire n’a pas exigé l’authentification forte, sauf fraude du payeur.

Le message central : en banque privée, un dossier de fraude est d’abord un dossier de preuve. Il faut qualifier le consentement. Il faut contrôler la notification prévue par l’article 85 de la Loi de 2009 sur les Services de Paiement. Il faut conserver les données d’authentification. Il faut documenter le soupçon de fraude. Il faut tester les parcours client contre le règlement délégué (UE) 2018/389 de la Commission du 27 novembre 2017 complétant la directive (UE) 2015/2366 par des normes techniques de réglementation relatives à l’authentification forte du client (ci-après, le Règlement Délégué SCA).

Le contrôle SCA repose sur des facteurs indépendants relevant de trois catégories : connaissance, possession et inhérence. La défaillance peut venir de la conception du parcours, de l’usage d’exemptions, du déclenchement d’une authentification renforcée (step-up authentication) ou de la piste d’audit (audit trail). En pratique, chaque faiblesse peut peser directement sur l’allocation de la perte.

Évolution à surveiller : la proposition de règlement du Parlement européen et du Conseil sur les services de paiement dans le marché intérieur COM(2023)367 (ci-après, le PSR, pour Payment Services Regulation) et la proposition de directive du Parlement européen et du Conseil concernant les services de paiement et les services de monnaie électronique COM(2023)366 (ci-après, la PSD3, pour third Payment Services Directive) ne sont pas encore applicables. L’accord politique provisoire du 27 novembre 2025 annonce toutefois un durcissement ciblé : contrôle du nom du bénéficiaire avec l’identifiant unique, mesures de blocage, partage d’informations liées à la fraude et responsabilité accrue lorsque les mécanismes de prévention requis ne sont pas mis en œuvre. Le point sensible en banque privée concerne les fraudes par usurpation de l’identité du prestataire de services de paiement. Le PSR pourrait imposer un remboursement plus protecteur, sous réserve du texte final adopté.

Pour les clients non consommateurs, l’article 78 de la Loi de 2009 sur les Services de Paiement permet certaines dérogations contractuelles. Les comptes de sociétés patrimoniales, holdings familiales et structures d’investissement doivent donc être revus clause par clause.

Connectez-vous avec Bertrand Mariaux sur LinkedIn. Vous pouvez écouter le podcast associé sur ApplePodcast, Spotify, YouTube ou sur votre plateforme d’écoute préférée.

Références :

Bertrand Mariaux is a certified Avocat à la Cour (admitted lawyer in Luxembourg, Liste I and Paris), holding an LL.B and LL.M (Hons).
He is an experienced lawyer with extensive expertise in investment funds, regulatory compliance, corporate & criminal law. Bertrand regularly contributes to legal publications and speaks at industry events, with a particular focus on financial regulation and corporate governance.

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *