Face aux menaces numériques, la Commission a proposé des outils pour lutter contre la fraude aux moyens de paiement (1).
Objectif : une capacité accrue en matière de cybersécurité
Dans son discours annuel sur l’état annuel, le président de la Commission européenne, Jean-Claude Juncker a fait le constat suivant, malgré « des progrès dans la sécurisation de l’internet, (…) l’Europe reste mal équipée face aux cyberattaques ».
C’est en réponse aux défaillances significatives de l’arsenal européen de lutte contre les cyberattaques, que la Commission a proposé une panoplie de nouveaux outils permettant de « mieux nous défendre contre ces attaques ». Constat alarmant : l’année dernière plus de 4 000 attaques par rançongiciel par jour ont été enregistrées et 80% des entreprises européennes ont connu au moins un incident lié à la cybersécurité.
L’ambition du paquet cybersécurité est de permettre que l’UE devienne « plus résiliente face aux cyberattaques et puisse adopter des mesures efficaces, en matière de cyberdissuasion et de répression par le droit pénal, pour mieux protéger les citoyens, les entreprises et les institutions publiques européennes ».
Ainsi, la Commission renforce la résilience en proposant que :
- l’Agence européenne pour la sécurité des réseaux et des Etats membres soit renforcée en ce qu’elle disposera d’un mandat permanent qui aidera les Etats membres à prévenir efficacement les cyberattaques et à y répondre ;
- un cadre de certification à l’échelle de l’UE permette de garantir que les produits et les services répondent à toutes les exigences de cyberécurité applicables. Cela vise notamment à offrir aux citoyens un cadre de confiance pour les dispositifs d’internet des objets qui sera reconnu dans tous les Etats membres de l’Union Européenne.
La lutte contre la fraude aux moyens de paiement autres que les espèces
La fraude aux moyens de paiement (autres que les espèces) constituent une importante source de revenus pour la criminalité organisée et sont souvent le nid de pratiques illégales voire criminelles : terrorisme, trafic de stupéfiants ou traite des êtres humains. A titre d’exemple, Europol a signalé que les personnes qui voyageaient frauduleusement incluaient des personnes servant de mules.
En outre, cette fraude aux moyens de paiement nuit à la confiance que peuvent avoir les citoyens européens dans le commerce en ligne, craignant que leurs données soient détournées de leur finalité initiale, et donc ralentit l’activité économique.
Afin d’être en phase avec les nouveaux comportements criminels résultant des nouvelles technologies comme les monnaies virtuelles et les paiements mobiles, la Commission a proposé l’adoption d’une nouvelle directive concernant la lutte contre la fraude et la contrefaçon des moyens de paiement autres que les espèces (2).
Cette proposition a trois objectifs spécifiques :
- la mise en place d’un cadre juridique clair, solide et technologiquement neutre ;
- l’élimination d’obstacles opérationnels qui entravent les enquêtes et les poursuites ;
- l’amélioration de la prévention.
Tout d’abord, la proposition de nouvelle directive élargit le champ des infractions pour y inclure les transactions effectuées avec des monnaies virtuelles (Proposition de directive, art. 3, 5). Désormais, en faisant référence expressément aux « transfert d’argent, de valeur monétaire, ou de monnaies virtuelles », la Commission permet aux Etats de prendre en compte les infractions liées aux opérations de paiement réalisées avec des monnaies virtuelles.
La Commission instaure, également, de nouvelles infractions relevant de la cybercriminalité (Proposition de directive, art. 4) afin de s’adapter aux nouveaux comportements résultant du développement des nouvelles technologies. Ainsi elle sanctionne l’utilisation frauduleuse d’un instrument de paiement volé ou faux, qu’il soit matériel ou non. Cela comprend toutes les fraudes commises à l’aide d’authentifiant de paiements volés ou falsifiés.
La proposition de directive introduit également une durée minimale allant de 2 ans pour les infractions par exemples de « carding » (vol d’authentifiant volés), de « phishing » et de « pharming » (exploitation des vulnérabilités d’un système) à 5 ans lorsqu’elles sont commises dans le cadre d’une organisation criminelle ou qu’elles causent un préjudice grave ou considérable ou procurent un avantage cumulé égal à au moins 20 000 euros (Proposition de directive, art. 9-10).
Ces sanctions seront prononcées dans un cadre juridictionnel bien défini puisque la directive clarifie la portée de la compétence juridictionnelle des Etats qui doit s’établir selon les critères suivants (Proposition de directive, art. 11) :
- l’infraction a été commise, en tout ou en partie, sur son territoire ;
- l’auteur de l’infraction est l’un de ses ressortissants ;
- l’infraction a causé un préjudice sur son territoire.
Enfin, la proposition de la directive cherche à garantir les droits des victimes de fraude aux moyens de paiement, notamment (Proposition de directive, art. 15) :
- en leur procurant des informations et de conseils sur la façon de se protéger contre les conséquences négative de ces infractions ;
- en leur permettant de s’adresser à une l’autorité compétente qui leur assure un accompagnement dans leurs démarches ;
- en les sensibilisant et les informant sur les risques que présentent l’économie numérique.
De nouvelles propositions sur l’accès transfrontalier aux preuves électroniques seront publiées au début de l’année 2018.
Frédéric Forster
Charlotte Le Fiblec
Lexing Télécoms / Banque et bourse électroniques
(1) « Cybersécurité : la Commission dote l’UE de moyens supplémentaires pour répondre aux cyberattaques », Communiqué de presse de la Commission européenne, IP/17/3193 du 19 septembre 2017.
(2) Proposition de directive concernant la lutte contre la fraude et la contrefaçon des moyens de paiement autres que les espèces COM (2017) 489 final du 13 septembre 2017.