Depuis aujourd’hui, la « Verification of Payee » (VoP) est officiellement en vigueur dans la zone SEPA, et donc également auprès des banques luxembourgeoises. Ce dispositif vise à vérifier si l’IBAN saisi lors d’un virement correspond bien au nom du bénéficiaire indiqué. L’Union Luxembourgeoise des Consommateurs (ULC) salue cette mesure, mais avertit qu’il ne faut pas s’y reposer entièrement.
« La VoP peut contribuer à réduire les erreurs de virement et certaines formes d’escroquerie. Mais dès que des criminels ont accès au compte bancaire d’un client ou utilisent des techniques d’ingénierie sociale, cette mesure de sécurité devient inefficace », explique Paul Gries, président de l’ULC.
L’ULC critique particulièrement le fait que les consommateurs soient de plus en plus poussés vers l’e-banking. Les fermetures d’agences sont régulièrement justifiées par un prétendu changement de comportement des clients. « C’est une inversion de la cause et de l’effet », souligne Paul Gries. « En réalité, ce sont les banques elles-mêmes qui, en limitant les alternatives, en imposant des frais élevés au guichet et en supprimant les services traditionnels, contraignent de nombreuses personnes à passer à l’e-banking. »
Pour l’ULC, LuxTrust a également une responsabilité. La suppression du token physique au profit de l’application mobile avait été présentée comme un gain de sécurité. Pourtant, de nombreux consommateurs ont le sentiment que les cas de fraude ont depuis augmenté. « L’inquiétude des consommateurs est donc tout à fait compréhensible », déclare Paul Gries. LuxTrust utilise pour son application mobile ou son alternative de scan la fameuse authentification à deux facteurs (2FA). Cependant, en matière de sécurité des mots de passe – l’un des deux facteurs –, LuxTrust ne montre pas l’exemple. Pour activer le certificat LuxTrust, il suffit en effet de choisir un mot de passe de six à dix caractères, comprenant des lettres majuscules et minuscules ainsi que des chiffres, mais sans possibilité d’utiliser des caractères spéciaux.
Revenons aux banques : les personnes âgées ou moins familiarisées avec la technologie sont de fait désavantagées par la disparition des services bancaires classiques. « Les services bancaires sont un besoin fondamental. Lorsque l’accès à l’argent liquide ou les virements au guichet deviennent un luxe, c’est une régression en matière de droits des consommateurs et de justice sociale », affirme Paul Gries. L’ULC demande donc, entre autres, une tarification équitable des services bancaires au guichet, un renforcement de la présence physique des banques, des contrôles de sécurité transparents pour les solutions de banque mobile et d’authentification, ainsi qu’une réglementation claire afin que la protection des consommateurs ne soit pas sacrifiée au nom de la numérisation.
Conseils importants aux consommateurs
L’ULC appelle tous les consommateurs à rester particulièrement vigilants lors de l’introduction de la « Verification of Payee ». Les criminels profitent souvent de la mise en place de nouvelles mesures de sécurité pour tenter de tromper les clients. Les consommateurs doivent donc se méfier lorsqu'ils reçoivent des appels ou des messages provenant prétendument d'employés de banques ou de LuxTrust leur demandant de confirmer leurs données personnelles, mots de passe ou codes de sécurité. Les banques et LuxTrust ne demandent jamais ces informations par téléphone, e-mail ou SMS.
En cas de message inattendu, il est recommandé de ne pas cliquer sur les liens ni ouvrir les pièces jointes, et de ne saisir aucune donnée sur des sites web accessibles via ces liens. En cas d’appel suspect, il faut raccrocher immédiatement et contacter sa banque ou LuxTrust uniquement par les canaux officiels – c’est-à-dire via les numéros de téléphone et adresses e-mail figurant sur les sites officiels ou les relevés de compte.
Par ailleurs, l’ULC recommande de vérifier régulièrement ses relevés bancaires, de choisir des mots de passe forts et uniques, de protéger son smartphone et donc aussi l’application LuxTrust à l’aide d’un verrouillage sécurisé (code PIN, empreinte digitale, reconnaissance faciale) et de ne jamais valider une notification push que l’on n’a pas soi-même initiée. Les consommateurs doivent rester attentifs : la véritable sécurité ne repose pas uniquement sur les nouvelles technologies, mais avant tout sur un comportement conscient et informé de chacun.
Communiqué par l'ULC le 9 octobre 2025
