Home Recueil de cas Abus et escroquerie Escroquerie à la carte de débit après l’enregistrement de celle-ci dans une application de paiement

Escroquerie à la carte de débit après l’enregistrement de celle-ci dans une application de paiement

Sujet:

Numéro de cas: 2026/08

Des fraudeurs ont utilisé la carte de débit d’une cliente pour deux paiements après avoir enregistré la carte dans une application de paiement. La banque a refusé toute indemnité au motif que l’activation n’était possible qu’en utilisant les données de la carte et un code SMS envoyé sur le téléphone portable enregistré pour ce faire par la cliente. La cliente a affirmé qu’elle n’avait pas pu identifier ce message SMS parce qu’il provenait d’un expéditeur inconnu et qu’elle ne l’avait donc pas pris en considération. Elle reprochait également à la banque d’avoir effectué le paiement par carte de débit après avoir été informée de l’escroquerie. Ce paiement était décrit comme étant provisoire au moment du SMS reçu. La banque estimait que le dommage avait été causé par un manquement aux obligations de diligence de la part de la cliente et a refusé toute concession. L’Ombudsman a donc dû mettre fin à cette procédure sans solution de conciliation.

La cliente s’est adressée à l’Ombudsman après que deux paiements frauduleux en faveur d’un commerçant qui lui était inconnu ont été débités de sa carte de débit et que la banque n’était pas disposée à accorder une indemnisation. Après le débit, la cliente a fait opposition auprès de la banque et a demandé une indemnisation. À ce moment-là, les transactions contestées n’étaient inscrites sur son compte que comme « provisoires ». Elles ont cependant été exécutées par la banque malgré le signalement de la fraude.
La cliente a estimé qu’elle n’avait sciemment transmis ni les données de sa carte ni un code de sécurité. Elle avait certes reçu un message SMS contenant un code, mais celui-ci provenait d’un expéditeur inconnu. Le SMS ne contenait aucune indication concernant sa banque, c’est pourquoi elle n’a pas pu l’identifier et a supposé qu’il s’agissait d’un message indésirable, qu’elle a ignoré. De son point de vue, elle aurait pu s’attendre à ce que les messages relatifs à la sécurité de sa carte de débit émanent clairement de la banque, ou du moins soient clairement identifiables comme tels.
La banque a refusé toute indemnisation. Elle a expliqué que la carte de débit avait été correctement enregistrée dans une application de paiement. Cette procédure suppose l’utilisation de données confidentielles relatives à la carte ainsi que d’un code de vérification transmis par SMS. Le traitement des transactions par carte s’effectuait par l’intermédiaire d’un prestataire externe certifié, sélectionné avec soin, instruit et contractuellement tenu de garder confidentielles les données du client. Comme l’activation n’était possible qu’avec les éléments de sécurité corrects et a eu lieu immédiatement après l’envoi du code de vérification sur le téléphone portable de la cliente, il fallait partir du principe que la cliente avait transmis les données nécessaires ou qu’elle avait permis l’accès à celles-ci. Sur la base des conditions contractuelles applicables, la banque a nié sa responsabilité.
L’Ombudsman a indiqué qu’il ne pouvait mener aucune enquête sur la façon dont les escrocs avaient concrètement obtenu les données de la carte et le code de sécurité. Il a également expliqué à la cliente que les paiements par carte autorisés ne peuvent plus être annulés après leur validation, même s’ils étaient d’abord affichés comme provisoires. Dans un tel cas, la banque était irrévocablement tenue de payer au commerçant, qui ne faisait normalement pas partie du schéma d’escroquerie.
Cependant, il a également indiqué à la banque que l’argumentation de la cliente quant à l’expéditeur du SMS devait, selon lui, être prise en compte dans la procédure de médiation. Etant donné qu’il n’y avait pas de lien direct entre la cliente et le prestataire externe, il apparaissait compréhensible que cette dernière n’ait pas fait le lien entre le message SMS provenant d’un expéditeur inconnu et sa carte bancaire, d’autant plus que le texte ne faisait pas clairement référence à la banque.
En dépit de ce constat, la banque n’a pas voulu faire un geste commercial envers la cliente. Comme l’Ombudsman ne peut prendre aucune décision contraignante pour les parties et que d’autres efforts de médiation semblaient voués à l’échec, la procédure a été close sans entente.