Alors qu’ils se déplaçaient en voiture de location en Afrique du Sud, les clients se sont fait arrêter à un croisement où se dressait un barrage routier. Des personnes prétendant être des collaborateurs du service de transport les ont alors informés qu’ils ne pouvaient pas traverser la ville en raison d’un accident. Ils devaient tourner à droite et rejoindre une station-service pour y acheter un billet leur permettant d’emprunter un pont et de contourner ainsi l’accident. Suivant ces instructions, les clients et d’autres automobilistes se sont rendus dans une station-service appartenant à une grande marque de carburant internationale. Ils voulaient utiliser l’automate d’une banque bien établie dans le pays afin de payer le billet. Après l’introduction de la carte et la saisie du code NIP, un message d’erreur est cependant apparu, et la carte a été «avalée». Les clients ont alors tenté de retirer de l’argent avec une seconde carte, à nouveau sans succès. Comprenant peu après qu’ils avaient probablement été victimes d’une escroquerie, ils ont immédiatement fait bloquer leurs cartes par leur banque en Suisse. Ils ont par ailleurs déposé une plainte pénale auprès de la police locale dès qu’ils en ont eu l’occasion.

En effectuant par la suite des recherches sur Internet, les clients se sont rendus compte qu’ils avaient apparemment été victimes d’un schéma d’escroquerie connu en Afrique du Sud. La station-service qui avait été le théâtre de l’escroquerie était même mentionnée dans certains rapports. Les clients étaient étonnés que personne ne prenne de mesures contre ces escroqueries, alors que la station-service et l’automate concerné portaient tous deux le logo de marques reconnues.

En l’espèce, les auteurs inconnus sont parvenus, immédiatement après l’utilisation de l’automate par les clients, à effectuer des transactions à hauteur totale de 8900 CHF grâce aux données de carte obtenues frauduleusement. Etant donné que les auteurs n’étaient pas identifiables, comme souvent dans de tels cas, la question se posait de savoir qui des clients ou de l’émettrice des cartes devaient supporter le dommage résultant de l’incident. Les contrats de carte de crédit prévoient généralement que l’émettrice de la carte ne supporte le dommage résultant d’une utilisation abusive de la carte que si le client a respecté les obligations de diligence qui y sont énoncées et si aucune autre violation du contrat ne lui est imputable.

En l’espèce, la banque a fait valoir que les transactions ont été effectuées avec les cartes originales et que le code NIP saisi était d’emblée correct. Selon elle, les clients ont violé une obligation de diligence centrale en divulguant leur code NIP, qu’il est interdit de transmettre à des tiers.

Les clients estimaient quant à eux avoir respecté toutes les obligations de diligence qui leur incombaient. En apparence, l’automate était un appareil usuel appartenant à une banque réputée opérant à l’échelle nationale, installé dans un lieu habituel pour de tels appareils dans ce pays. Ils se sont contentés de suivre les étapes nécessaires pour retirer de l’argent avec la carte de crédit, une opération qui implique nécessairement d’introduire la carte dans l’appareil et de saisir le code NIP. Toujours d’après les clients, ils n’avaient aucun moyen de savoir que l’appareil était truqué de telle sorte que des tiers non autorisés puissent récupérer et utiliser de façon abusive les informations transmises. Dès que les circonstances leur ont permis de conclure à une escroquerie, ils ont immédiatement bloqué les cartes, puis déposé une plainte pénale dans les meilleurs délais.

L’Ombudsman jugeait l’argumentation de l’émettrice des cartes problématique au vu de l’incident décrit. Il est indéniable que les clients doivent faire preuve de toute la prudence nécessaire lors de l’utilisation de leur carte de crédit et, par exemple, s’assurer que personne ne les espionne lorsqu’ils saisissent le code NIP. Il n’est cependant pas imprudent en soi d’utiliser une carte de crédit afin d’effectuer une transaction tout à fait habituelle, pour laquelle la carte doit nécessairement être introduite dans un appareil et le code NIP saisi. De l’avis de l’Ombudsman, dans la mesure où une telle transaction est effectuée sur un appareil apparemment normal situé à un endroit usuel, dont seul un expert pourrait constater la manipulation en ouvrant l’appareil, un client ne peut pas se voir reprocher une violation de son devoir de diligence du seul fait que les informations relatives à sa carte et le code NIP ont été interceptés par des tiers non autorisés à l’aide de l’appareil truqué. En outre, il semblait bien compréhensible que les clients n’aient pas tout de suite pensé à une escroquerie après l’échec de la transaction, car, par expérience, des dysfonctionnements peuvent survenir occasionnellement sur les automates. L’Ombudsman ne voyait donc pas quelle violation du devoir de diligence ou autre violation contractuelle pouvaient être reprochées aux clients en l’espèce.

Bien que la banque n’ait pas été convaincue par ces arguments, elle a indiqué à l’Ombudsman qu’elle était disposée à réparer l’intégralité du dommage, à bien plaire et sans toutefois reconnaître d’obligation juridique à cet égard. L’affaire a ainsi pu être résolue à la satisfaction des clients.