Home Recueil de cas Abus et escroquerie Paiement frauduleux par e-banking avec autorisation à deux facteurs contesté

Paiement frauduleux par e-banking avec autorisation à deux facteurs contesté

Sujet:

Numéro de cas: 2026/05

Le client s’est adressé à l’Ombudsman des banques à la suite d’une escroquerie au cours de laquelle un montant de près de 22’000 CHF avait été transféré à un nouveau bénéficiaire via son e-banking. Il a affirmé que la banque avait violé ses obligations de diligence puisqu’il n’avait pas eu besoin de confirmer le paiement au nouveau bénéficiaire sur un appareil séparé et en a déduit qu’une faille de sécurité existait dans le système e-banking. La banque a estimé que le client avait fourni aux escrocs les données d’accès à son e-banking lors d’une attaque par hameçonnage. Ces derniers auraient ensuite installé un nouvel appareil pour la réception de messages relatifs à la sécurité, ce que le client aurait dû confirmer sur l’ancien appareil enregistré. Les escrocs auraient alors eu la possibilité de saisir le paiement et également de le confirmer sur le nouvel appareil, sans que le client s’en aperçoive. L’Ombudsman a examiné les arguments des deux parties et demandé à la banque de lui fournir une prise de position détaillée sur le déroulement des faits. Sur la base du compte rendu technique, il a conclu que la cause du dommage relevait de la sphère d’influence et de risque du client et que celui-ci devait donc assumer le dommage conformément aux dispositions contractuelles relatives à la responsabilité. D’autres efforts de médiation ont semblé vains et la procédure a été clôturée par une décision explicative.

Le client entretenait depuis longtemps une relation commerciale avec la banque et utilisait son système e-banking pour effectuer des paiements. Le point de départ du cas était un incident de phishing, dans lequel le client a réagi à un courriel trompeur d’apparence authentique et qui l’invitait à se réenregistrer dans l’e-banking. En pensant qu’il s’agissait d’un message authentique de la banque, le client a saisi ses données d’identification sur une page Internet falsifiée.
Le client n’a ensuite plus réussi à se connecter à l’e-banking. Peu après, son compte a été débité de 21’800 CHF avec pour mention l’achat de véhicule. Le client estimait qu’un tel paiement à un nouveau bénéficiaire n’aurait pas dû être exécuté sans sa confirmation expresse donnée sur l’appareil enregistré à cet effet, et considérait cela comme une faille de sécurité dans le système d’e-banking. Il a exigé de la banque le remboursement du préjudice.
La banque a rejeté la demande. Elle a expliqué que le client, en transmettant ses données d’accès et en confirmant l’enregistrement de l’appareil, avait donné aux escrocs la liberté d’action nécessaire pour saisir et également confirmer le paiement. D’après les données du journal (logs), l’opération s’était déroulée correctement sur le plan technique.
L’Ombudsman a examiné l’affaire de manière approfondie et a demandé à la banque une prise de position plus précise concernant l’incident, car le déroulement technique n’avait pas été clairement décrit dans un premier temps. La banque a expliqué qu’après avoir obtenu les données d’accès lors de l’incident de phishing décrit par le client, les auteurs inconnus ont utilisé ces données en arrière-plan pour accéder à l’e-banking du client. Par la suite, ils ont enregistré un nouvel appareil pour recevoir des messages relatifs à la sécurité, comme par exemple les notifications relatives pour l’autorisation à deux facteurs des transactions. L’activation du nouvel appareil nécessitait une confirmation du client sur son ancien appareil enregistré. Le client aurait donné cette confirmation possiblement sous une fausse image que les escrocs lui auraient fait miroiter.
Après l’activation d’un nouvel appareil, les escrocs ont activé eux-mêmes un deuxième nouvel appareil. Ils ont pu ainsi donner la confirmation nécessaire sur le premier appareil nouvellement enregistré, sans l’intervention du client. Les escrocs ont effectué l’authentification à deux facteurs prévue pour les nouveaux bénéficiaires sur le deuxième appareil nouvellement enregistré, là encore sans que le client ne s’en aperçoive. Selon la banque, il n’y a donc pas eu de faute de sa part ou de violation de ses obligations contractuelles.
La responsabilité pour les dommages résultant de tels incidents est régie contractuellement. Ces contrats reposent généralement sur la théorie de la sphère de risque. Selon ce principe, chaque partie supporte les risques qu’elle peut influencer. La divulgation des données d’accès à l’e-banking et la confirmation ultérieure de l’enregistrement d’un nouvel appareil pour la réception de messages liés à la sécurité relèvent de la sphère d’influence du client et sont contractuellement qualifiées de manquement au devoir de diligence, ce qui exclut toute responsabilité de la banque.
Du point de vue de l’Ombudsman, il était déterminant que les escrocs ne pouvaient contrôler la suite du processus de paiement que parce que le client avait, dans un premier temps, permis l’activation d’un appareil tiers en donnant sa confirmation. Même si le paiement proprement dit n’a ensuite plus été autorisé sur son propre appareil, cette première étape a permis le sinistre puisque l’enregistrement du nouvel appareil a nécessité une authentification à deux facteurs sur l’appareil original du client. Cet enregistrement n’a été possible que parce que le client avait franchi – certes inconsciemment et sous une fausse idée – cette barrière de sécurité au profit des escrocs. Etant donné que la banque avait exploité ses systèmes conformément aux clauses contractuelles et exécuté l’ordre de paiement en utilisant les moyens de légitimation convenus et la confirmation prévue, l’Ombudsman a considéré que, conformément aux dispositions contractuelles applicables, il n’y avait aucune base solide pour engager la responsabilité de la banque.
Compte tenu de la position claire de la banque et de la réglementation contractuelle, l’Ombudsman a donc estimé que toute autre tentative de médiation était vaine et a clôturé le dossier. Il a regretté le préjudice subi, mais a souligné que, dans de tels cas, les auteurs responsables ne pouvaient naturellement pas être inclus dans le régime de responsabilité, car ils n’étaient pas identifiables. Le préjudice doit être imputé soit au client, soit à la banque teneuse de compte. De tels cas ne peuvent donc généralement pas être résolus à la satisfaction des parties concernées.