index

Préambule

index

Préambule
PARTIE 2

Contact us

Tel: +352 46 36 60-1

Email: mail@abbl.lu

PARTIE 2 - CHAPITRE 8

OBLIGATIONS EN CAS DE VIREMENT ET DE TRANSFERT DE FONDS

Les dispositions auxquelles le professionnel se soumet figurent dans le Règlement (UE) 2015/847 sur les informations accompagnant les transferts de fonds et abrogeant le règlement CE 1781/2006. Ces dispositions sont entrées en vigueur le 26 juin 2017.

« Le règlement (UE) 2015/847 assure au niveau de l’Union européenne, la mise en œuvre uniforme de la Recommandation n°16 du GAFI sur les virements électroniques. (…) (il) établit les règles relatives aux informations sur les donneurs d’ordre et, dorénavant (nouveauté́ par rapport à l’ancien Règlement (CE) N° 1781/2006), sur les bénéficiaires de transferts, qui doivent accompagner les transferts de fonds, dans quelque monnaie que ce soit, lorsqu’au moins un des prestataires de services de paiement intervenant dans le transfert de fonds, est établi dans l’Union européenne ».

Compte tenu de l’effet direct du Règlement (UE) 2015/847, la CSSF invite les professionnels à « adapter, le cas échéant, (leurs) procédures et processus internes notamment en matière de LBC/FT, aux fins de (se) conformer aux exigences qu’il comporte »

La circulaire CSSF N°17/680 du 23 janvier 2018 réfère par ailleurs aux orientations communes des trois autorités européennes de surveillance relatives aux mesures que les prestataires de services de paiement doivent prendre en rapport avec des transferts de fonds pour lesquels des informations sur le donneur d’ordre ou le bénéficiaire sont manquantes ou incomplètes.

Le règlement (UE) s’applique aux transferts de fonds, dans quelque monnaie que ce soit, qui sont envoyés ou reçus par un prestataire de services de paiement ou un prestataire de services de paiement intermédiaire établi dans l’Union.

Les dernières orientations de l’Autorité bancaire européenne sur les facteurs de risque LBC/FT précisent que les prestataires de services d’initiation de paiement (« PISPs ») ainsi que les prestataires de services de paiement fournissant des informations sur le compte (« AISPs ») sont assujettis aux règles LBC/FT, quand bien même ceux-ci ne sont pas en possession des fonds du client.

Les dérogations à l’application du règlement (UE) 2015/847

«  Le (…) règlement ne s’applique pas aux transferts de fonds effectués à l’aide d’une carte de paiement, d’un instrument de monnaie électronique ou d’un téléphone portable, ou de tout autre dispositif numérique ou informatique qui permet de pré- ou postpayer présentant des caractéristiques similaires, si les conditions suivantes sont remplies:

a)la carte, l’instrument ou le dispositif est utilisé exclusivement pour payer des biens ou des services;

b)le numéro de cette carte, de cet instrument ou de ce dispositif accompagne tous les transferts découlant de la transaction.

Cependant, le (…) règlement est applicable lorsqu’une carte de paiement, un instrument de monnaie électronique ou un téléphone portable, ou tout autre dispositif numérique ou informatique qui permet de pré- ou postpayer présentant des caractéristiques similaires, est utilisé pour effectuer un transfert de fonds entre particuliers

(4) Le présent règlement n’est pas applicable aux personnes qui ne font que numériser des documents papier et qui agissent en vertu d’un contrat avec un prestataire de services de paiement, ni à celles dont la seule activité est de fournir aux prestataires de services de paiement des systèmes de messagerie ou d’autres systèmes de support pour la transmission de fonds, ou des systèmes de compensation et de règlement

Le présent règlement ne s’applique pas aux transferts de fonds:

a) qui impliquent que le donneur d’ordre retire des espèces de son propre compte de paiement;

b) qui constituent des transferts de fonds au profit d’une autorité publique pour le paiement d’impôts, d’amendes ou d’autres prélèvements au sein d’un État membre;

c) pour lesquels le donneur d’ordre et le bénéficiaire sont tous deux des prestataires de services de paiement agissant pour leur propre compte;

d) qui sont effectués au moyen d’échanges d’images chèques, y compris des chèques digitalisés ».

Les obligations du professionnel varieront selon qu’il agit le cas échéant en qualité de prestataire de service de paiement pour le donneur d’ordre (section 1), pour le bénéficiaire  (section 2) ou en présence d’un prestataire de service de paiement intermédiaire (section 3).

Section 1. Le respect du règlement (UE) 2015/847 sur les informations accompagnant les transferts de fonds

Sous – section 1. Obligations du prestataire de service de paiement (« PSP ») du donneur d’ordre

1. Informations accompagnant les transferts de fonds

« 1. Le prestataire de services de paiement du donneur d’ordre veille à ce que les transferts de fonds soient accompagnés des informations suivantes sur le donneur:

a)  le nom du donneur d’ordre

b)  le numéro de compte de paiement du donneur d’ordre et

c)  l’adresse, le numéro du document d’identité officiel, le numéro d’identification de client ou la date et le lieu de naissance du donneur d’ordre

2. Le prestataire de services de paiement du donneur d’ordre veille à ce que le transfert de fonds soit accompagné des informations suivantes:

a)  le nom du bénéficiaire et

b)  le numéro de compte de paiement du bénéficiaire

3. Par dérogation au paragraphe 1, point b), et au paragraphe 2, point b) (supra), dans le cas d’un transfert qui n’est pas effectué à partir ou à destination d’un compte de paiement, le prestataire de services de paiement du donneur d’ordre veille à ce que le transfert de fonds soit accompagné d’un identifiant de transaction unique (ITU) plutôt que du/des numéro(s) de compte de paiement.

L’ITU est une combinaison de lettres, de chiffres ou de symboles qui est définie par le PSP conformément aux protocoles des systèmes de paiement et de règlement ou des systèmes de messagerie utilisés pour effectuer le transfert de fonds et qui assure la traçabilité de la transaction jusqu’au donneur d’ordre et au bénéficiaire

4. Avant de transférer les fonds, le prestataire de services de paiement du donneur d’ordre vérifie l’exactitude des informations visées au paragraphe 1 sur la base de documents, de données ou de renseignements obtenus d’une source fiable et indépendante.

(…)

6. Sans préjudice des dérogations prévues aux articles 5 et 6, le prestataire de services de paiement du donneur d’ordre n’effectue aucun transfert de fonds tant qu’il ne s’est pas assuré que le présent article est pleinement respecté ».

Il est important de noter que les règles édictées sur les données à renseigner par le PSP du donneur d’ordre subissent une exception importante, dès lors que tous les PSP impliqués dans la chaîne de paiement sont établis dans l’UE : seuls les numéros des comptes de paiement du donneur d’ordre et du bénéficiaire accompagneront obligatoirement le transfert  (art. 5 du Règlement ci-dessous).

Dans la pratique, le nom du donneur d’ordre est généralement renseigné.

2. Transferts de fonds au sein de l’Union

« 1. Par dérogation à l’article 4, paragraphes 1 et 2, les transferts de fonds pour lesquels tous les prestataires de services de paiement intervenant dans la chaîne de paiement sont établis dans l’Union sont accompagnés au moins du numéro de compte de paiement à la fois du donneur d’ordre et du bénéficiaire ou, lorsque l’article 4, paragraphe 3, s’applique, de l’identifiant de transaction unique, sans préjudice des exigences en matière d’informations prévues dans le règlement (UE) no 260/2012, s’il y a lieu

2. (…), le prestataire de services de paiement du donneur d’ordre met à disposition, dans les trois jours ouvrables à compter de la réception de la demande d’informations du prestataire de services de paiement du bénéficiaire ou du prestataire de services de paiement intermédiaire, les informations:

a) pour les transferts de fonds excédant 1 000 EUR, que ces transferts soient effectués en une transaction unique ou en plusieurs transactions qui semblent être liées, les informations sur le donneur d’ordre ou le bénéficiaire conformément à l’article 4 (supra).

b) pour les transferts de fonds n’excédant pas 1 000 EUR et qui ne semblent pas liés à d’autres transferts de fonds dont le montant, cumulé avec celui du transfert en question, excède 1 000 EUR, au moins:

i) les noms du donneur d’ordre et du bénéficiaire et

ii) les numéros de compte de paiement du donneur d’ordre et du bénéficiaire ou, lorsque l’article 4, paragraphe 3, s’applique, l’identifiant de transaction unique.

(…) ».

Le Règlement définit ainsi des seuils eu égard aux transferts (1000 €) selon lesquels les informations à donner par le professionnel varieront.

Le PSP du donneur d’ordre n’aura pas à vérifier l’exactitude des informations sur le donneur d’ordre pour les transferts de fonds au sein de l’UE n’excédant pas 1000€, le PSP a reçu les fonds à transférer en espèces ou sous forme de monnaie électronique anonyme, ou s’il a des des motifs raisonnables de suspecter des actes de blanchiment de capitaux ou de financement du terrorisme.

3. Transferts de fonds vers l’extérieur de l’Union

« En cas de transfert par lots effectué depuis un donneur d’ordre unique à destination de bénéficiaires dont les prestataires de services de paiement sont établis en dehors de l’Union, l’article 4, paragraphe 1 (informations sur le donneur et le bénéficiaire), ne s’applique pas aux transferts individuels regroupés dans ces lots, dès lors que le lot contient les informations visées à l’article 4, paragraphes 1, 2 et 3, que ces informations ont été vérifiées conformément à l’article 4, paragraphes 4 et 5, et que les transferts individuels portent le numéro de compte de paiement du donneur d’ordre ou, lorsque l’article 4, paragraphe 3, s’applique, l’identifiant de transaction unique ».

« Par dérogation à l’article 4, paragraphe 1, et, le cas échéant, sans préjudice des informations requises conformément au règlement (UE) no 260/2012, les transferts de fonds pour lesquels le prestataire de services de paiement du bénéficiaire est établi en dehors de l’Union, dont le montant n’excède pas 1 000 EUR et qui ne semblent pas liés à d’autres transferts de fonds dont le montant, cumulé avec celui du transfert en question, excède 1 000 EUR, sont au moins accompagnés des informations suivantes :

a) les noms du donneur d’ordre et du bénéficiaire et

b) les numéros de compte de paiement du donneur d’ordre et du bénéficiaire ou, lorsque l’article 4, paragraphe 3, s’applique, l’identifiant de transaction unique.

Par dérogation à l’article 4, paragraphe 4, (vérification de l’exactitude des informations), le prestataire de services de paiement du donneur d’ordre n’est pas tenu de vérifier les informations sur le donneur d’ordre visées au présent paragraphe à moins que le prestataire de services de paiement du donneur d’ordre:

a) ait reçu les fonds à transférer en espèces ou sous la forme de monnaie électronique anonyme ou

b) ait des motifs raisonnables de suspecter des actes de blanchiment de capitaux ou de financement du terrorisme ».

Ici encore, un seuil inférieur à 1000 € pour un transfert hors UE permettra au PSP du donneur d’ordre de n’identifier que les noms du donneur d’ordre et du bénéficiaire accompagné des numéros de compte de paiement. 

Le PSP du donneur d’ordre ne sera pas tenu pas tenu de vérifier les informations sur le donneur d’ordre, sauf si les fonds à transférer ont notamment été reçus en espèce ou sous forme de monnaie électronique anonyme ou s’il a des motifs raisonnables de suspecter des actes de blanchiment de capitaux ou de financement du terrorisme.

Sous – section 2. Obligations du prestataire de services de paiement du bénéficiaire

1. Détection d’informations manquantes sur le donneur d’ordre ou le bénéficiaire

« (1) Le prestataire de services de paiement du bénéficiaire applique des procédures efficaces pour détecter si, dans le système de messagerie ou dans le système de paiement et de règlement utilisé pour effectuer le transfert de fonds, les champs devant contenir les informations sur le donneur d’ordre et le bénéficiaire ont été complétés à l’aide de caractères ou d’éléments admissibles conformément aux conventions de ce système.

(2) Le prestataire de services de paiement du bénéficiaire applique des procédures efficaces, y compris, le cas échéant, un contrôle a posteriori ou en temps réel, pour détecter l’absence éventuelle des informations suivantes sur le donneur d’ordre ou le bénéficiaire:

a) pour les transferts de fonds pour lesquels le prestataire de services de paiement du donneur d’ordre est établi dans l’Union, les informations visées à l’article 5

b) pour les transferts de fonds pour lesquels le prestataire de services de paiement du donneur d’ordre est établi en dehors de l’Union, les informations visées à l’article 4, paragraphes 1 et 2

c) pour les transferts par lots pour lesquels le prestataire de services de paiement du donneur d’ordre est établi en dehors de l’Union, les informations visées à l’article 4, paragraphes 1 et 2 en ce qui concerne ce transfert par lots

(3) Pour les transferts de fonds excédant 1 000 EUR, que ces transferts soient effectués en une transaction unique ou en plusieurs transactions qui semblent être liées, le prestataire de services de paiement du bénéficiaire vérifie, avant de créditer le compte de paiement du bénéficiaire ou de mettre les fonds à sa disposition, l’exactitude des informations sur le bénéficiaire visées au paragraphe 2 du présent article, sur la base de documents, de données ou de renseignements obtenus d’une source fiable et indépendante (…)

(4) Pour les transferts de fonds dont le montant n’excède pas 1 000 EUR et qui ne semblent pas liés à d’autres transferts de fonds dont le montant, cumulé avec celui du transfert en question, excède 1 000 EUR, le prestataire de services de paiement du bénéficiaire n’est pas tenu de vérifier l’exactitude des informations sur le bénéficiaire, à moins que le prestataire de services de paiement du bénéficiaire:

a) effectue le versement des fonds en espèces ou sous la forme de monnaie électronique anonyme ou
b) ait des motifs raisonnables de suspecter des actes de blanchiment de capitaux ou de financement du terrorisme. (…) ».


Les principes de non vérification des données du bénéficiaire en présence d’un virement dont le montant n’excède pas 1000 € sont identiques à ceux renseignés supra (encadré « transfert de fonds vers l’extérieur de l’Union) eu égard aux obligations du PSP du donneur d’ordre.  


Le règlement (UE) 2015/847 ne décrit pas comment les PSP du bénéficiaire peuvent détecter  les informations manquantes ; la circulaire CSSF 18/680 du 23 janvier 2018 reprend les orientations communes des autorités européennes de surveillance  relatives aux mesures que les PSP doivent prendre en rapport avec des transferts de fonds pour lesquels des informations sur le donneur d’ordre ou le bénéficiaire sont manquantes ou incomplètes (les « Orientations »).

Le règlement CSSF 12/02 tel que modifié rappelle les règles du règlement (UE) 2015/847 en renvoyant aux orientations orientations communes des autorités européennes de surveillance relatives aux mesures que les prestataires de services de paiement doivent prendre pour détecter des informations manquantes ou incomplètes sur le donneur d’ordre ou le bénéficiaire, ainsi que les procédures devant être mises en place pour gérer un transfert de fonds qui n’est pas accompagné des informations requises.

1.1 Les procédures eu égard aux  informations manquantes et incomplètes
Principes

« Les PSP (…) doivent mettre en œuvre des procédures efficaces pour détecter si les informations requises sur le donneur d’ordre ou sur le bénéficiaire sont manquantes.

Pour être efficaces, ces procédures doivent :
a) permettre au PSP (…) de repérer les informations dépourvues de sens

b) utiliser une combinaison de contrôles en temps réel et à posteriori et

c)déterminer les indicateurs de risque élevé devant alerter le PSP (…)

Obligations et recommandations 

« Afin de détecter et gérer ces transferts de fonds à information manquante ou incomplète, les PSP et PSPI doivent notamment mettre en place, et maintenir par une revue régulière, des politiques et procédures efficaces, mais aussi proportionnelles à la nature, la taille et la complexité́ de leurs activités. Ces politiques et procédures doivent également être proportionnées aux risques de BC/FT auxquels les PSP sont exposés. Ainsi, elles doivent par exemple déterminer de manière précise les transferts de fonds qui doivent être contrôlés en temps réel et ceux qui peuvent l’être a posteriori ».

« Les PSP du bénéficiaire (…) sont donc priés de se référer aux Orientations pour prendre connaissance :

–  des facteurs qu’ils devraient prendre en compte lors de l’élaboration et de la mise en œuvre des procédures de détection et de gestion des transferts de fonds qui ne comportent pas les informations requises sur le donneur d’ordre et/ou le bénéficiaire ».

1.2 Les informations « dépourvues de sens »

« Les PSP et (…) devraient traiter les informations dépourvues de sens comme s’il s’agissait d’informations manquantes.

Les informations dépourvues de sens peuvent être des chaînes de caractères aléatoires (par exemple, «xxxxx» ou «ABCDEFG») ou des informations qui n’ont manifestement aucun sens (par exemple «autre» ou «mon client»), même si ces informations ont été fournies à l’aide de caractères ou d’éléments conformes aux conventions des systèmes de messagerie ou de paiement et de règlement utilisés.

Lorsque les PSP (…)  utilisent une liste de termes fréquemment jugés comme étant dépourvus de sens, ils doivent revoir cette liste régulièrement pour s’assurer qu’elle reste pertinente. Dans ces cas, il n’est pas attendu des PSP (…) qu’ils examinent les transactions manuellement pour détecter les informations dépourvues de sens ».

Il est recommandé que le professionnel paramètre ses systèmes informatiques afin que ceux-ci soient en mesure de détecter des informations dépourvues de sens.

1.3 Les indicateurs de risque

Dans le cadre de la mise en place des procédures de détection des informations manquantes, les PSP tiendront dûment compte des facteurs de risque renseignés dans le chapitre premier (« l’approche basée sur les risques »).

2. Gestion des transferts de fonds pour lesquels des informations sur le donneur d’ordre ou le bénéficiaire sont manquantes ou incomplètes

« Le prestataire de services de paiement du bénéficiaire applique des procédures efficaces, fondées sur les risques, y compris des procédures fondées sur l’appréciation des risques visée à l’article 13 de la directive (UE) 2015/849, pour déterminer s’il y a lieu d’effectuer, de rejeter ou de suspendre un transfert de fonds qui n’est pas accompagné des informations complètes requises sur le donneur d’ordre et le bénéficiaire et pour prendre les mesures de suivi qui s’imposent ».

« Lorsque le prestataire de services de paiement du bénéficiaire constate, lorsqu’il reçoit un transfert de fonds, que les informations (sur le donneur d’ordre ou sur le bénéficiaire) sont manquantes ou incomplètes ou que les champs concernant ces informations n’ont pas été complétés à l’aide de caractères ou d’éléments admissibles conformément aux conventions du système de messagerie ou du système de paiement et de règlement (…), le prestataire de services de paiement du bénéficiaire rejette le transfert ou demande les informations requises sur le donneur d’ordre et le bénéficiaire avant de créditer le compte de paiement du bénéficiaire ou de mettre les fonds à sa disposition, ou après cette opération, en fonction de l’appréciation des risques ».

Il incombera aux PSP de déterminer s’il faut exécuter/refuser/suspendre un transfert de fonds conformément aux procédures en vigueur, étant entendu qu’ils prendront dûment en compte les risques impliqués liés à ce transfert de fonds avant de décider de la marche à suivre.

Le professionnel évalue si les informations manquantes soulèvent des préoccupations en matière de blanchiment.

« Si un PSP (…)  décide de rejeter un transfert de fonds, il n’est pas tenu de demander les informations manquantes, mais il devrait indiquer la raison du rejet au prestataire de services de paiement intervenant en amont dans la chaîne de paiement.

Quand le PSP (…) décide de suspendre un transfert de fonds, il devrait en informer le prestataire de services de paiement situé en amont dans la chaîne de paiement et lui demander de fournir les informations manquantes sur le donneur d’ordre ou le bénéficiaire, ou de fournir ces informations en utilisant des caractères ou d‘éléments admissibles ». (…)

« Lorsque les informations demandées ne sont pas fournies dans le délai fixé, le PSP (…) devrait, conformément à ses politiques et procédures fondées sur les risques:

a)  décider de rejeter ou d’effectuer le transfert ;

b)  déterminer si le fait que le PSP intervenant en amont dans la chaîne de paiement n’ait pas fourni les informations requises suscite ou non un soupçon de BC-FT  et

c)  envisager les mesures à mettre en œuvre à l’égard du PSP intervenant en amont dans la chaîne de paiement au regard des dispositions en matière de LCB-FT ».

Il appartient ainsi au professionnel de déterminer l’issue d’un transfert en présence d’informations manquantes/incomplètes.

3. Évaluation et obligation de déclaration

« Le prestataire de services de paiement du bénéficiaire prend en compte les informations manquantes ou incomplètes sur le donneur d’ordre ou le bénéficiaire comme un facteur pour apprécier si un transfert de fonds, ou toute transaction qui s’y rattache, présente un caractère suspect et doit être déclaré à la cellule de renseignement financier (CRF) conformément à la directive (UE) 2015/849 ».

« Les PSP (…) devraient évaluer si un transfert de fonds est suspect ou non, en tenant compte de tous les critères établis par le droit de l’Union, la législation nationale et leurs propres politiques et procédures internes en matière de LCB-FT.

Les PSP (…) devraient garder à l’esprit que les transferts de fonds ne contenant pas les informations requises ou complétées à l’aide de caractères ou d’éléments inadmissibles ne peuvent, pour ces seules raisons, donner lieu à un soupçon de BC-FT. Lorsqu’ils évaluent le caractère suspect ou non d’un transfert de fonds, ils devraient tenir compte de l’ensemble des facteurs de risque de BC-FT associés au transfert de fonds (…), dans la mesure où ils sont connus, et accorder une attention particulière aux transferts de fonds susceptibles de présenter un risque plus élevé́ de BC-FT.

Les PSP (…) devraient être en mesure de démontrer qu’ils se conforment au droit de l’Union directement applicable ainsi qu’à la règlementation nationale en matière de LCB-FT ».

Sous – section 3. Obligations des prestataires de services de paiement intermédiaires (« PSPI »)

Les obligations incombant au PSPI présentent de nombreuses similarités avec celles du PSP du bénéficiaire.

1. Conservation des informations sur le donneur d’ordre et le bénéficiaire avec ce transfert de fonds

« Les PSPI veillent à ce que toutes les informations reçues sur le donneur d’ordre et le bénéficiaire qui accompagnent un transfert de fonds soient conservées avec ce transfert ».

Le PSPI veillera à ne pas altérer les données.

2. Détection d’informations manquantes sur le donneur d’ordre ou le bénéficiaire 

« Le PSPI applique des procédures efficaces pour détecter si, dans le système de messagerie ou le système de paiement et de règlement utilisé pour effectuer le transfert de fonds, les champs devant contenir les informations sur le donneur d’ordre et le bénéficiaire ont été complétés à l’aide de caractères ou d’éléments admissibles conformément aux conventions de ce système».

En présence « d’informations dépourvues de sens », le  PSPI aura les mêmes obligations que le PSP du bénéficiaire dans la même situation (supra).

« Les PSPI devraient contrôler les transferts de fonds afin de détecter si les caractères ou les éléments utilisés pour fournir les informations sur le donneur d’ordre et sur le bénéficiaire sont conformes aux conventions du système de messagerie ou du système de paiement et de règlement utilisé pour effectuer le transfert de fonds. Ces contrôles devraient être effectués en temps réel.

(…) les PSPI peuvent considérer qu’ils satisfont aux exigences respectivement fixées (…) à l’article 11, paragraphe 1, du règlement (UE) 2015/847, s’ils ont pu s’assurer et peuvent démontrer à leur autorité́ compétente qu’ils comprennent les règles de validation du système de messagerie ou du système de paiement et de règlement (…) ».

« Le PSPI applique des procédures efficaces, y compris, le cas échéant, un contrôle a posteriori ou en temps réel, pour détecter l’absence éventuelle des informations suivantes sur le donneur d’ordre ou le bénéficiaire:

a) pour les transferts de fonds pour lesquels les PSP du donneur d’ordre et du bénéficiaire sont établis dans l’Union, les informations visées à l’article 5

b) pour les transferts de fonds pour lesquels le PSP du donneur d’ordre ou du bénéficiaire est établi en dehors de l’Union, les informations visées à l’article 4, paragraphes 1 et 2

c) pour les transferts par lots pour lesquels le PSP du donneur d’ordre ou du bénéficiaire est établi en dehors de l’Union, les informations visées à l’article 4, paragraphes 1 et 2, en ce qui concerne ce transfert par lots.

3. Transferts de fonds pour lesquels des informations sur le donneur d’ordre ou le bénéficiaire sont manquantes

« (…) les PSPI doivent mettre en œuvre des procédures efficaces pour détecter si les informations requises sur le donneur d’ordre ou sur le bénéficiaire sont manquantes.

Pour être efficaces, ces procédures doivent:

a)  permettre (…) au PSPI de repérer les informations dépourvues de sens

b)  utiliser une combinaison de contrôles en temps réel et à posteriori  et

c)  déterminer les indicateurs de risque élevé devant alerter (…) le PSPI ».

« Le PSPI met en place des procédures efficaces, fondées sur les risques, pour déterminer s’il y a lieu d’effectuer, de rejeter ou de suspendre un transfert de fonds qui n’est pas accompagné des informations requises sur le donneur d’ordre et le bénéficiaire, et pour prendre les mesures de suivi qui s’imposent.

(…) »

Les obligations incombant au PSPI dans la gestion des transferts de fonds pour lesquels des informations sur le donneur d’ordre ou le bénéficiaire sont manquantes ou incomplètes sont identiques à celles renseignées supra pour le PSP du bénéficiaire (points 33 à 38 des Orientations).

Il est recommandé au professionnel de paramétrer ses systèmes informatiques afin de détecter les transactions suspectes ou douteuses. 

4. Évaluation et obligation de déclaration

« Le prestataire de services de paiement intermédiaire prend en compte les informations manquantes sur le donneur d’ordre ou le bénéficiaire comme un facteur pour apprécier si un transfert de fonds, ou toute transaction qui s’y rattache, présente un caractère suspect et doit être déclaré à la CRF conformément à la directive (UE) 2015/849 ».

Sous – section 4. Informations, protection des données et conservation des informations

1. Communication d’informations aux autorités 

« Les prestataires de services de paiement (PSP) donnent suite, de manière exhaustive et sans tarder, y compris par l’intermédiaire d’un point de contact central conformément à l’article 45, paragraphe 9, de la directive (UE) 2015/849, lorsqu’un tel point de contact a été désigné, et conformément aux exigences de procédure fixées par le droit national de l’État membre où ils sont établis, aux demandes émanant exclusivement des autorités dudit État membre responsables de la prévention et de la lutte contre le blanchiment de capitaux ou le financement du terrorisme pour ce qui est des informations requises en vertu du présent règlement ».

Sous certaines conditions, « les États membres d’accueil peuvent exiger des émetteurs de monnaie électronique et des prestataires de services de paiement qui ont des établissements sur leur territoire sous une forme autre que celle de la succursale, et dont le siège est situé dans un autre État membre, qu’ils nomment un point de contact central (…) ».

Le point de contact central joue un rôle de « coordinateur central » entre le PSP qui l’a nommé et ses établissements, ainsi qu’entre le PSP et les autorités compétentes de l’État membre où sont établis ces établissements.

2. Protection des données

« Le traitement des données à caractère personnel effectué au titre du présent règlement est soumis à la directive 95/46/CE (…).

« Les données à caractère personnel ne sont traitées par des prestataires de services de paiement sur la base du présent règlement qu’aux fins de la prévention du blanchiment de capitaux et du financement du terrorisme et ne font pas l’objet d’un traitement ultérieur d’une manière incompatible avec lesdites finalités. Le traitement des données à caractère personnel sur la base du présent règlement à des fins commerciales est interdit ».

« Les prestataires de services de paiement communiquent aux nouveaux clients les informations requises au titre de l’article 10 de la directive 95/46/CE avant d’établir une relation d’affaires ou d’exécuter une transaction à titre occasionnel. Ces informations contiennent en particulier un avertissement général concernant les obligations légales des prestataires de services de paiement au titre du présent règlement lorsqu’ils traitent des données à caractère personnel aux fins de la prévention du blanchiment de capitaux et du financement du terrorisme ».

« Les prestataires de services de paiement veillent à ce que la confidentialité des données traitées soit respectée ».

 

Il convient de se référer aux dispositions appropriées du RGPD eu égard aux « informations à fournir lorsque les données à caractère personnel sont collectées/ n’ont pas été collectées auprès de la personne concernée » (articles 13 et 14).

L’avertissement général contiendra notamment  les informations précontractuelles à fournir aux nouveaux clients (« personnes concernées ») telles qu’indiquées dans les orientations ABBL intitulées (« Steps forward in implementing the GDPR »). En sus, il renverra aux obligations professionnelles telles que contenues dans la Loi et auxquelles le professionnel est assujetti, la licéité du traitement des données du client concordant avec le respect d’une obligation légale à laquelle le professionnel (« responsable du traitement ») est soumis. 

3. Conservation des informations

« 1) Les informations sur le donneur d’ordre et le bénéficiaire ne sont pas conservées au-delà de ce qui est strictement nécessaire. Le prestataire de services de paiement du donneur d’ordre et celui du bénéficiaire conservent pendant une durée de cinq ans les informations visées aux articles 4 à 7 du règlement ».

« 2) À l’issue de la période de conservation visée au paragraphe 1, les prestataires de services de paiement veillent à ce que les données à caractère personnel soient effacées, sauf dispositions contraires du droit national, lequel précise dans quelles circonstances les prestataires de services de paiement peuvent ou doivent prolonger la période de conservation des données. Les États membres ne peuvent permettre ou exiger que les informations soient conservées plus longtemps que s’ils ont au préalable procédé à une évaluation approfondie de la nécessité et de la proportionnalité de cette conservation prolongée et qu’ils l’ont jugée justifiée en raison de la nécessité de prévenir ou de détecter des actes de blanchiment de capitaux ou de financement du terrorisme ou d’enquêter en la matière. Cette période de conservation prolongée ne dépasse pas cinq ans ».

Comme énoncé supra, l’article 3, para (6) de la Loi énonce que « les professionnels sont tenus de conserver les pièces justificatives et les enregistrements de transactions qui sont nécessaires pour identifier ou reconstituer des transactions, pendant cinq ans après la fin de la relation d’affaires avec le client ou après la date de la transaction conclue à titre occasionnel. 

Ainsi, la Loi constitue « une disposition contraire du droit national » au sens du Règlement (UE) 2015/847 qui oblige les professionnels à conserver les pièces justificatives eu égard aux transactions de leurs clients cinq ans après la fin de la relation d’affaires avec ceux-ci.

Sous- section 5. Sanctions

« Sans préjudice du droit de prévoir et d’imposer des sanctions pénales, les États membres arrêtent le régime de sanctions et de mesures administratives applicables en cas d’infraction aux dispositions du présent règlement et prennent toutes les mesures nécessaires pour garantir sa mise en œuvre. Les sanctions et mesures prévues sont effectives, proportionnées et dissuasives, et en adéquation avec celles qui sont fixées en application du chapitre VI, section 4, de la directive (UE) 2015/849.

Les États membres peuvent décider de ne pas fixer de régime de sanctions ou de mesures administratives pour les infractions aux dispositions du présent règlement qui sont déjà passibles de sanctions pénales dans leur droit national. Dans ce cas, les États membres communiquent à la Commission les dispositions pertinentes de leur droit pénal. (…) ».

« En cas de violation de (certaines) dispositions (…) du règlement (UE) 2015/847, la CSSF peut infliger les amendes d’ordre (…) aux entités visées (…) ainsi qu’aux membres de leurs organes de direction, à leurs dirigeants effectifs, ou aux autres personnes responsables de la violation ».

 

Section 2. Fraude relative aux transferts de fonds : les faux ordres de virement 

Le professionnel se demande s’il a potentiellement affaire à un cas de figure relevé par la CRF :

LES TYPOLOGIES CONSTATEES
  • La fraude au président (“CEO Fraud”) par laquelle un fraudeur sera en mesure de convaincre le service comptabilité d’une entreprise, en se faisant passer pour le PDG, de procéder à un virement sur un compte situé à l’étranger.
  • L’utilisation de fausses factures adressées au service comptabilité d’une société peut comprendre plusieurs variations. Un fraudeur peut par exemple entrer dans le système informatique d’une entreprise pour connaître ses cocontractants et des paiements qui leur sont dus dans des délais précis.
  • L’attaque de « l’homme du milieu » (c’est-à-dire un pirate du web interceptant des communications électroniques)
  • Les courriels « piratés » (ceux d’intermédiaires financiers par exemple) visant à amener le professionnel à exécuter des ordres de virement non autorisés.
L’ASTUCE DES FRAUDEURS

Les fraudeurs ont toujours recours à l’ingénierie sociale (“social engineering”) pour tromper leurs victimes, les ayant mis en confiance et les empêchant de se poser des questions sur la légitimité des transferts exécutés .

Dans la plupart des affaires analysées par la CRF, le client n’a informé sa banque ou déposé une plainte auprès de la police ou du parquet que plusieurs jours après les faits. Or, les chances de récupérer les fonds plusieurs jours après l’exécution du virement tendent vers zéro. Les premières 24 heures sont cruciales pour envisager de recouvrer les fonds. Une intervention dans les 72 heures peut parfois encore aboutir à un résultat satisfaisant.

Seule une vigilance accrue des transactions du client par l’établissement financier concerné est susceptible de parer à l’absence de réaction de la part du client.

MESURES PREVENTIVES

Divers indicateurs existent afin de déceler des virements frauduleux. Ces indicateurs peuvent être d’application générale et peuvent notamment impliquer:

  • des montants substantiels/ d’un montant élevé en contrepartie de l’exécution de contrats importants. Selon la CRF, il n’est pas rare que le virement porte sur des sommes dépassant 100.000 euros ou même 100.000 euros.
  • des comptes bénéficiaires utilisés dans le cadre de faux ordres de virement et déjà connus
  • l’utilisation de ”money mules” (une personne qui transfère des fonds obtenus illégalement entre différents comptes bancaires ou autres, très souvent dans différents pays, pour le compte d’autrui).

Il existe aussi des critères se rapportant au compte de la victime ou au compte de l’auteur (titulaire du compte bénéficiaire):

Titulaire du compte bénéficiaire :

  • incohérence du montant de la transaction
  • incohérence par rapport à l’activité du client

Compte de la victime/ comportements inhabituels/autres facteurs : 

  • relation d’affaire existante mais compte bénéficiaire incohérent
  • nouveau compte bénéficiaire
  • urgence/ confidentialité de la transaction
  • non-respect du principe des quatre yeux
  • pièces justificatives inhabituelles/ incohérences dans la documentation fournie
  • noms de domaines frauduleux (phishing/pharming): les instructions viennent d’un compte de messagerie ressemblant étroitement au compte de messagerie du client (par ex. contact@abc.com au lieu de contact@abc.lu)
  • instruction du chef d’un nouvel employé ou instructions données seulement par e-mail.

QUE FAIRE ?

Afin de se prémunir des faux ordres de virement, le professionnel peut instaurer des procédures suivant lesquelles le client est automatiquement contacté dès lors que le montant impliqué dans un ordre de virement atteint un seuil défini préalablement.  

LA DECLARATION PAR LE PROFESSIONNEL A LA CRF

Le professionnel détenant le compte de la victime doit réagir rapidement afin d’avoir le plus de chance de recouvrir les fonds.

Après avoir informé l’établissement financier bénéficiaire, le professionnel fait immédiatement une déclaration d’opération suspecte (DOS) à la CRF.

Si l’exécution du virement a été faite depuis moins de 72 heures, le professionnel :

  • peut faire une première DOS sommaire, renseignant avec précision toutes les informations sur la ou les transaction(s) suspecte(s), ainsi qu’une motivation en quelques mots. Le professionnel s’oblige à fournir tout détail supplémentaire dans les 24 heures.
  • contacte la CRF par téléphone après avoir envoyé la DOS.

Le professionnel détenant le compte du suspect  doit immédiatement faire une DOS à la CRF. La CRF décidera d’un ordre de blocage.

                                                                                                                                      ***