En l’espèce, la cliente a été victime d’un type d’escroquerie très répandu. Sur Google, il est possible, contre rémunération, de faire en sorte que le résultat de recherches sur certains termes apparaît en haut de la liste avec les liens correspondants. Les escrocs semblent également tirer profit de cette possibilité en veillant à ce que leurs sites d’hameçonnage falsifiés ressemblent à s’y méprendre aux vrais sites bancaires trompant ainsi les clients qui recherchent la page d’accueil e-banking de leur banque au moyen d’un moteur de recherche. Google signale ces résultats de recherche payants comme étant «sponsorisés». Si le client clique sur le lien figurant en haut des résultats de recherche, il risque d’être conduit à son insu vers un site Internet d’hameçonnage (phishing) sur lequel il saisit alors les données de connexion prévues. En arrière-plan, les escrocs interceptent les données d’accès du client et ouvrent avec celles-ci le véritable site e-banking de la banque. La police, les établissements financiers, les organisations de consommateurs et l’Ombudsman mettent régulièrement en garde contre ce type d’escroquerie. Il est étonnant de constater que, malgré les connaissances acquises, elle fonctionne encore.

Dès que les escrocs sont connectés à l’e-banking du client, ils effectuent les opérations de paiement possibles avec les données usurpées. Souvent, le client doit confirmer un bénéficiaire auquel il n’a encore jamais adressé de paiement dans l’e-banking au moyen d’une authentification à deux facteurs par le biais d’une application ou d’un code SMS envoyé sur son téléphone portable. Selon l’expérience de l’Ombudsman, les clients ne lisent malheureusement pas toujours attentivement les messages de sécurité. Cela permet de contourner une mesure de sécurité importante et efficace des systèmes e-banking courants.

Dans sa réponse à l’Ombudsman, la banque a expliqué qu’elle avertissait régulièrement ses clients des méthodes d’escroquerie connues, y compris de celles dont la cliente avait été victime, notamment en leur fournissant des informations sur la page d’accueil de son système e-banking. La cliente avait effectivement confirmé le paiement contesté au moyen de l’application. Rien n’indiquait que le processus de confirmation n’avait pas fonctionné. La banque n’a pas pu se rendre compte que la cliente était victime d’une escroquerie. Selon les dispositions relatives aux services électroniques de la banque, il incombe aux clients de s’assurer qu’ils se trouvent sur la page e-banking correcte lors de la saisie des données d’accès.

Une fois confirmé dans l’application, l’ordre de paiement est irrévocable et ne peut plus être arrêté. Dans un tel cas, la banque offre toutefois aux clients la possibilité d’exiger le rappel du paiement effectué. Conformément aux directives internes de la banque, celui-ci doit intervenir dans un certain laps de temps. Seuls les jours ouvrables bancaires sont déterminants pour le délai. Comme un week-end s’était écoulé entre le signalement de l’escroquerie et le rappel, celui-ci a été effectué dans les délais, soit cinq jours.

Dans un tel cas, la banque destinataire doit obtenir l’accord du titulaire du compte pour procéder au retour de fonds. La banque ne peut pas garantir qu’un tel rappel soit couronné de succès et n’en n’est d’ailleurs pas responsable. En l’espèce, la banque destinataire a également été informée, un jour après le rappel, que le paiement avait une origine frauduleuse. Après deux relances, la banque destinataire a indiqué environ un mois après le rappel que le destinataire n’avait pas consenti au remboursement.

La banque estimait que la cliente était seule responsable du dommage. En l’espèce, la banque a pris à temps toutes les mesures que l’on pouvait raisonnablement attendre d’elle et a donc refusé de transiger.

L’Ombudsman a expliqué à la cliente que, conformément aux dispositions contractuelles applicables, la responsabilité des paiements confirmés par le client au moyen d’une authentification à deux facteurs via une application incombait en principe au client. Sur la base des explications de la banque documentées au moyen de copies des fichiers de logs, l’Ombudsman a dû partir du principe que l’ordre de paiement avait bel et bien été confirmé par le biais de l’application de la cliente. L’expérience montre que les destinataires de virements frauduleux retirent ou transfèrent généralement immédiatement l’argent de la banque destinataire, de sorte que les demandes de retour qui ne sont pas effectuées immédiatement après le déclenchement de la transaction sont très souvent infructueuses.

L’Ombudsman comprenait toutefois la critique de la cliente selon laquelle la banque avait tardé à initier le retour de fonds dans son cas. Dans de tels cas, il juge important que la banque destinataire soit informée le plus rapidement possible de la fraude présumée. Un rappel ordinaire, tel qu’il est généralement effectué en cas de paiements mal acheminés en raison d’indications erronées, ne suffit pas, car les destinataires d’un paiement frauduleux ne consentent probablement jamais à un retour de fonds. En l’espèce, il n’a toutefois pas été possible de déterminer si une action plus rapide aurait permis de bloquer et de renvoyer le paiement avec succès. La banque ayant catégoriquement refusé de transiger, l’affaire a dû être close sans résultat de médiation.