Escroquerie commise par des prétendus collaborateurs de microsoft
La méthode de l’escroquerie à la base de la présente affaire semble elle aussi malheureusement encore répandue, les escrocs ciblant surtout les clients âgés. De prétendus collaborateurs de Microsoft se manifestent et affirment que l’ordinateur du client a de nombreux problèmes de sécurité qui doivent être résolus d’urgence. Les clients de bonne foi leur permettent d’accéder à leur ordinateur, habituellement grâce à un programme d’accès à distance. Les escrocs parviennent alors à accéder au système e-banking du client et à déclencher des transactions de manière autonome.
La question de savoir exactement comment en l’espèce les escrocs ont obtenu les données d’accès à l’e-banking n’a pas été tranchée. La transaction frauduleuse consistait à transférer de l’argent sur le compte de carte de crédit du client. A l’issue de cette opération, les escrocs ont affirmé sans vergogne que la licence Microsoft du client avait expiré et qu’il pouvait la renouveler pour un prix avantageux de 12 CHF. Le client leur a alors communiqué ses données de carte de crédit. Avec ces données, les escrocs ont effectué des transactions pour un montant total d’environ 7000 CHF, confirmées par le client selon la banque au moyen des codes envoyés à cet effet sur son téléphone portable.
Au bout d’un certain temps, le client a trouvé l’opération suspecte. Il a éteint son ordinateur et téléphoné à la banque. Sa carte de crédit a été immédiatement bloquée. Le client, âgé de près de 80 ans, a eu honte de ne pas s’être rendu compte de l’escroquerie plus tôt lorsqu’il a eu connaissance du dommage subi.
Après examen des documents et des conditions contractuelles pertinentes, l’Ombudsman a contacté la banque, qui avait refusé à plusieurs reprises d’indemniser le client. Elle avait annoncé publiquement qu’elle indemnisait les clients victimes de cyberattaques jusqu’à concurrence de 100 000 CHF, ce qui a fait l’objet d’une large diffusion dans la presse. Dans la disposition correspondante de son offre de prestations numériques, elle s’engage à rembourser aux clients l’avoir qui leur a été retiré par le biais d’un détournement illicite de leurs moyens d’identification ou d’éléments de sécurité par des tiers, notamment en cas d’hameçonnage ou d’attaques par un logiciel malveillant, pour autant que les clients aient respecté toutes les conditions de participation à l’offre de prestations numérique. L’Ombudsman a prié la banque d’expliquer le champ d’application de cette disposition et d’expliquer pourquoi elle ne souhaitait pas en l’espèce indemniser le client sur la base de celle-ci.
La banque estimait qu’il était douteux en l’espèce que les éléments constitutifs de l’infraction d’hameçonnage soient remplis, dès lors que l’agression a été commise par téléphone et que le client a volontairement rendu accessibles les données nécessaires à des tiers qu’il ne connaissait pas et qui n’avaient aucun lien avec la banque. Dans les conditions de participation, la banque renvoie à un site Internet traitant de différentes questions de sécurité et précisant, entre autres, que les données personnelles, en particulier les données de compte, ne doivent en aucun cas être transmises, et que la banque ne contacte jamais ses clients pour leur demander des données d’accès.
Cependant, en l’espèce, la question de savoir si l’on était en présence d’un hameçonnage était peu déterminante. Même si tel était le cas, le client a violé une condition déterminante pour les prestations promises en vertu de la disposition en question. En effet, celle-ci ne s’applique que si toutes les conditions de participation ont été respectées, ce qui n’avait pas été le cas en l’espèce. La banque a regretté cet incident et a déclaré beaucoup apprécier le client. Elle a donc été disposée à lui faire parvenir 2000 CHF en guise de geste commercial.
L’Ombudsman a estimé que cette argumentation n’est pas concluante. Selon lui, il est reconnu que l’hameçonnage peut aussi avoir lieu par téléphone. Lorsque l’hameçonnage de données bancaires ou de cartes aboutit, cela implique toujours que les clients les transmettent «volontairement» à des tiers non autorisés qui en abusent par la suite, car les escrocs font croire aux clients qu’ils ont une raison légitime et créent un monde illusoire de manière parfois très sophistiquée. Or, si les conditions de participation prévoient que les prestations promises annoncées ne s’appliquent pas lorsqu’une telle transmission a lieu, leur champ d’application ne semble pas tangible.
Considérant que d’autres efforts de médiation étaient voués à l’échec au vu de l’ensemble des circonstances de l’affaire, l’Ombudsman a néanmoins soumis l’offre de transaction au client en lui adressant une réponse explicative. Celui-ci a décidé de l’accepter.