56_2025-2026/59 - Responsabilité des institutions financières en matière de phishing et de fraude bancaire numérique.

Auteur: Mo Alloul Monsieur le Président, Mesdames et Messieurs les Membres de la Chambre des représentants, Conformément à l’article 28 de la Constitution belge, je fais usage de mon droit de m’adresser au Parlement en formulant une demande formelle d’initiative politique concernant la responsabilité des institutions financières en matière de phishing et de fraude bancaire numérique. Les cas récents et fortement croissants de phishing organisé en Belgique démontrent que nous sommes confrontés à un risque systémique structurel au sein du trafic des paiements numériques. Les personnes âgées et les citoyens disposant de compétences numériques limitées sont particulièrement et de manière disproportionnée touchés, alors que, du fait de la réduction progressive des agences bancaires physiques, ils sont en pratique contraints d’utiliser des canaux numériques. La pratique actuelle selon laquelle les banques refusent les remboursements au motif d’une « authentification correcte » soulève des questions juridiques au regard de la Directive (UE) 2015/2366 relative aux services de paiement (PSD2). L’article 73 de cette directive oblige les prestataires de services de paiement à rembourser immédiatement les transactions non autorisées. L’article 74 ne prévoit une exception que si le payeur a agi de manière frauduleuse ou a manqué à ses obligations par négligence grave. La charge de la preuve incombe sans équivoque au prestataire de services de paiement. Un consentement obtenu de manière manipulatoire par des techniques d’ingénierie sociale ne peut être automatiquement assimilé à une autorisation juridiquement valable au sens du droit européen. Lorsque des citoyens agissent sous l’effet d’une tromperie et d’une pression psychologique, se pose la question fondamentale de savoir s’il existe juridiquement un « consentement ». En outre, le fait que les banques proposent des assurances cyber distinctes contre le phishing et la fraude en ligne confirme que ce risque est prévisible et structurel. Un risque systémique prévisible ne peut être systématiquement transféré aux consommateurs individuels. En tant que personne âgée de 56 ans disposant d’une expérience professionnelle dans le domaine de l’informatique, je suis pleinement conscient du degré de sophistication technologique de la cybercriminalité contemporaine. Si même des citoyens disposant de solides compétences numériques sont confrontés à des manipulations de plus en plus complexes, il devient socialement intenable de considérer les citoyens vulnérables, dépourvus de connaissances spécialisées, comme les principaux porteurs de risque. Je prie dès lors instamment le Parlement de : 1. Soumettre à une évaluation parlementaire l’application belge de la PSD2 en matière de remboursements liés au phishing. 2. Clarifier dans la loi que l’authentification obtenue par tromperie n’implique pas automatiquement un consentement juridiquement valable. 3. Renforcer explicitement la charge de la preuve concernant la négligence grave. 4. Ancrer légalement des normes minimales de détection de la fraude. 5. Introduire des obligations de rapportage transparent concernant les remboursements refusés. La confiance dans le système financier numérique constitue un intérêt public. Si, de facto, les citoyens supportent eux-mêmes le risque systémique, cela compromet la confiance tant dans le secteur bancaire que dans la capacité régulatrice des pouvoirs publics. Je vous prie d’accorder à cette problématique une priorité à l’ordre du jour. Je vous prie d’agréer, Monsieur le Président, Mesdames et Messieurs les Membres de la Chambre des représentants, l’expression de ma très haute considération.