- Texte visé : Proposition de loi contre les fraudes aux moyens de paiement scripturaux, n° 884
- Stade de lecture : 1ère lecture (1ère assemblée saisie)
- Examiné par : Commission des finances, de l'économie générale et du contrôle budgétaire
- Code concerné : Code monétaire et financier
I. – Le code monétaire et financier est ainsi modifié :
1° L’article L. 133‑21 est ainsi modifié :
a) L’alinéa 2 de l’article L. 133‑21 est remplacé par deux alinéas ainsi rédigés :
« Le prestataire de services de paiement propose à l’utilisateur un service assurant la vérification du bénéficiaire auquel l’utilisateur a l’intention d’envoyer un virement. Ce service compare le nom du bénéficiaire fourni par l’utilisateur ou tout élément qui identifie sans ambiguïté le bénéficiaire à celui associé à l’identifiant unique fourni par l’utilisateur. Le prestataire de services de paiement effectue la vérification immédiatement après que l’utilisateur a fourni les informations pertinentes sur le bénéficiaire et avant que l’utilisateur ne se voie offrir la possibilité d’autoriser le virement concerné. Les exigences techniques du service de vérification sont précisées par décret en Conseil d’État.
« Un prestataire de services de paiement n’est pas tenu responsable de l’exécution d’un virement en faveur d’un mauvais bénéficiaire sur la base d’un identifiant unique inexact pour autant qu’il ait satisfait aux exigences de l’alinéa précédent. » ;
b) Le dernier alinéa de l’article L. 133‑21 est supprimé ;
2° L’article L. 133‑22 est ainsi modifié :
a) Au premier alinéa du I, les mots : « deuxième et troisième » sont remplacés par les mots : « troisième et quatrième » ;
b) Au premier alinéa du II, les mots : « deuxième et troisième » sont remplacés par les mots : « troisième et quatrième » ;
c) Au troisième alinéa du II, les mots : « deuxième et troisième » sont remplacés par les mots : « troisième et quatrième » ;
4° À l’article L. 133‑22‑1, les mots : « deuxième et troisième », sont remplacés par les mots : « troisième et quatrième ».
II. – Les dispositions du I entrent en vigueur le 9 octobre 2025.
D’après le rapport annuel 2023 de l’Observatoire de la sécurité des moyens de paiement (OSMP), le nombre de fraudes au virement a été multiplié par près de douze en seulement cinq ans et la valeur totale fraudée augmente chaque année de 25 % en moyenne depuis 2018.
C’est un enjeu pour les consommateurs mais aussi pour les administrations qui sont parfois victimes d’usurpations et pour nos entreprises, pour lesquelles ces fraudes représentent des pertes importantes. Un sondage OpinionWay pour Trustpair et SAP réalisé auprès d’entreprises de plus de 250 salariés et publié début 2023 a montré que la moitié d’entre elles a subi au moins une tentative de fraude au virement, et que 23 % de ces tentatives ont abouti.
Conformément à l’article 88 de la directive (UE) 2025/2366, le code monétaire et financier dispose à l’article L. 133‑21 que le prestataire de service de paiement (PSP) n’est pas responsable d’un virement mal effectué lorsque le client lui a fourni un IBAN inexact. Cette disposition est interprétée rigoureusement (Cass. comm. 24 janvier 2018, N° 16‑22.336, Caisse des dépôts et consignations c/ CERCAM). Ainsi, même si le payeur est abusé ou trompé, il sera responsable de l’erreur et devra donc payer une seconde fois le bénéficiaire légitime.
Il existe des dispositifs techniques destinés à prévenir les erreurs de paiement, notamment en demandant au payeur d’entrer le nom ou d’autres informations sur le bénéficiaire et de vérifier si les informations rattachées à l’IBAN correspondent aux informations fournies (protocole appelé IBAN name check).
Modifié par le règlement (UE) 2024/886 du 13 mars 2024, le règlement (UE) 260/2012 oblige les PSP à proposer un service de vérification de ce type au plus tard à partir du 9 octobre 2025. Aux termes de l’article 5 quater : « Un prestataire de services de paiement n’est pas tenu responsable de l’exécution d’un virement en faveur d’un mauvais bénéficiaire sur la base d’un identifiant unique inexact, conformément à l’article 88 de la directive (UE) 2015/2366, pour autant qu’il ait satisfait aux exigences du présent article. »
Il convient donc de traduire cette nouvelle obligation en droit français, en spécifiant que la responsabilité du PSP est engagée dès lors qu’il ne propose pas à son client un dispositif de vérification de type IBAN name check.