Escroquerie à la carte de crédit liée à une transaction sur une plateforme de vente en ligne
Au cours de l’exercice sous revue, l’Ombudsman a été confronté à plusieurs reprises à la présente méthode d’escroquerie. Elle est liée à des transactions effectuées sur des plateformes en ligne courantes. Les escrocs incitent les vendeurs à saisir leurs données de carte de crédit sur un site Internet falsifié de la Poste, prétendument utilisé pour transférer le prix d’achat en toute sécurité sur le compte de carte de crédit du vendeur. Avec les données obtenues frauduleusement, ils effectuent des transactions par carte de crédit.
En l’espèce, la cliente a été accompagnée tout au long du processus par un prétendu support dans un chat. Après la saisie de ses données de carte de crédit sur le site Internet falsifié, celui-ci lui a fait comprendre qu’elle recevrait un code sur son téléphone portable afin de finaliser le transfert du prix d’achat du lit faisant l’objet de l’annonce. En fait, il s’agissait du code envoyé par SMS à la cliente sur son téléphone portable par l’émettrice de la carte de crédit, afin d’autoriser le débit de la carte de crédit effectué par les escrocs avec les données reçues. Le prétendu support a ensuite affirmé que le transfert du prix de vente n’avait pas fonctionné et a réitéré à plusieurs reprises l’invitation à saisir des codes nouvellement envoyés. En réalité, les escrocs tentaient en arrière-plan d’effectuer plus d’une transaction abusive par carte de crédit.
Les SMS contenant les codes de confirmation montraient qu’il ne s’agissait pas de crédits, mais de débits qui, sur la base de la monnaie et du commerçant indiqué, n’avaient rien à voir avec le prétendu paiement du prix d’achat à la cliente. Bien qu’elle ait posé des questions critiques et refusé plusieurs demandes de transmission des codes reçus, cette dernière a été tellement manipulée et soumise à des pressions de la part des escrocs qu’elle leur a transmis le code demandé pour deux transactions. Ce faisant, elle a en réalité autorisé des débits de cartes de crédit d’un montant total d’environ 900 CHF par deux prestataires de services de paiement internationaux. Au cours du processus, la cliente a consulté son app de carte de crédit et a immédiatement réalisé qu’elle avait été victime d’une escroquerie en raison des débits qui y étaient apparus. Elle a immédiatement contacté l’émettrice de la carte de crédit, qui a bloqué la carte.
L’émettrice de la carte de crédit a refusé de rembourser les paiements obtenus abusivement en invoquant les conditions contractuelles d’utilisation de la carte, car la cliente les avait confirmés dans le cadre d’une authentification dite à deux facteurs, c’est-à-dire en transmettant les codes qui lui avaient été envoyés sur son téléphone portable. La cliente a alors soumis son cas à l’Ombudsman, qui a contacté à son tour la banque. Elle était désespérée, car, selon ses dires, en tant que mère célibataire, elle vivait dans des conditions très modestes et cette perte représentait pour elle une lourde charge.
L’Ombudsman a contacté l’émettrice de la carte de crédit et a posé des questions plus précises sur le déroulement exact des débits et sur la procédure d’authentification. Il a également demandé une explication plus détaillée sur les bases contractuelles en vertu desquelles le remboursement a été refusé à la cliente. Enfin, il a demandé à l’émettrice de la carte de crédit si elle avait tenté de récupérer le montant auprès des prestataires de services de paiement bénéficiaires, de sorte que ceux-ci auraient eu la possibilité de bloquer le transfert de l’argent, comme cela est habituellement le cas dans le trafic des paiements en cas de notification d’une escroquerie, selon l’expérience de l’Ombudsman.
Dans sa réponse à l’Ombudsman, l’émettrice de la carte de crédit a expliqué en détail le déroulement des transactions et la procédure d’authentification de son point de vue, expliquant que les conditions applicables à la carte excluaient toute prise en charge du dommage si les données de la carte et le code de confirmation de la transaction étaient transmis à des tiers non autorisés. De plus, une prise en charge du dommage est généralement exclue lorsque, comme en l’espèce, des transactions sont confirmées par le client dans le cadre d’une authentification à deux facteurs. L’émettrice de la carte a en outre renvoyé aux mises en garde pertinentes contre l’hameçonnage sur son site Internet et sur celui de la plateforme de vente en ligne concernée.
Enfin, elle a indiqué que, à la différence d’un virement bancaire, une opération de carte effectuée après l’authentification à deux facteurs ne pouvait en principe pas être récupérée a posteriori, même si l’illicéité était constatée immédiatement après. Dans de rares cas, les commerçants procèdent au remboursement si la livraison ou le service payé avec la carte n’a pas encore été fourni. Ces conditions n’étaient pas réunies en l’espèce. La réponse ne précisait pas si l’émettrice de la carte de crédit avait tenté de contacter les prestataires de services de paiement bénéficiaires.
Après une deuxième prise de contact de l’Ombudsman et une discussion sur le cas, l’émettrice de la carte de crédit s’est finalement déclarée prête à rembourser 50 % du dommage à la cliente, à bien plaire et sans reconnaître d’obligation juridique. L’Ombudsman a expliqué à la cliente les arguments qui lui avaient été soumis et lui a recommandé d’accepter l’offre qu’il jugeait appropriée au vu de l’ensemble des circonstances. La cliente a accepté l’offre.