Home Recueil de cas Abus et escroquerie Transactions frauduleuses avec une application de paiement reliée à un nouveau numéro de téléphone

Transactions frauduleuses avec une application de paiement reliée à un nouveau numéro de téléphone

Sujet:

Numéro de cas: 2026/06

Le client a saisi l’Ombudsman à la suite de quatre transactions frauduleuses pour un montant total de 200 CHF, effectuées via une application de paiement. Ces paiements avaient été réalisés après que l’accès à l’application de paiement eut été reliée à un nouveau numéro de téléphone. La banque a refusé tout remboursement, estimant que cette liaison nécessitait l’utilisation de données confidentielles relevant exclusivement de la sphère de responsabilité du client. Celui-ci a contesté cette position, invoquant l’absence de notifications et de mesures de sécurité renforcées lors de l’ajout du nouveau numéro. L’Ombudsman a examiné si le niveau de sécurité appliqué par la banque était adéquat et proportionné, et a invité l’établissement à préciser sa pratique ainsi qu’à envisager une solution amiable tenant compte des lacunes de sécurité alléguées. La banque a accepté de dédommager le client à hauteur de 100 CHF. Elle s’est également engagée à revoir sa pratique en matière de fonctionnalités de paiement.

Le client utilisait depuis plusieurs années les services bancaires électroniques de la banque ainsi que l’application de paiement liée à son compte. À la suite de l’exécution de plusieurs transactions qu’il n’avait pas autorisées, il avait constaté que cette fonctionnalité de paiement avait été associée à un nouveau numéro de téléphone. Les montants débités, d’un total de 200 CHF, concernaient des achats effectués auprès d’un commerçant en ligne.
Le client a contesté la position de la banque et a demandé le remboursement intégral des 200 CHF. Il affirmait n’avoir jamais partagé ni divulgué ses données d’identification e-banking. Il supposait que son identifiant et son mot de passe avaient été dérobés à son insu, probablement lors d’une connexion à un réseau Wi-Fi public. Le client reprochait principalement à la banque deux lacunes de sécurité : premièrement, il n’avait reçu aucune notification par e-mail, SMS ou appel téléphonique l’informant qu’une deuxième fonctionnalité de paiement du même type avait été ajoutée à son profil bancaire. Deuxièmement, et surtout, aucune authentification à deux facteurs n’avait été exigée pour sécuriser cette opération sensible. Le client faisait valoir qu’une simple confirmation via l’application de paiement déjà installée sur son téléphone aurait suffi à empêcher cette fraude. Il mentionnait également qu’un collaborateur de la banque lui avait confirmé, lors d’une visite au guichet, que des améliorations au système de sécurité seraient apportées pour éviter que ce type de fraude ne se reproduise.
La banque a rejeté la demande de remboursement. Elle a expliqué que la liaison de l’application de paiement à un nouveau numéro de téléphone supposait la saisie correcte de l’identifiant e-banking et du mot de passe correspondant. Selon elle, ces éléments relevaient exclusivement de la sphère de contrôle du client, de sorte que les conséquences financières de leur utilisation abusive ne pouvaient pas être imputées à la banque. Elle a ainsi nié toute défaillance de son système de sécurité.
Saisi du litige, l’Ombudsman a examiné les arguments des deux parties. Il a demandé à la banque des éclaircissements supplémentaires, notamment concernant le niveau de sécurité appliqué lors de l’association d’un nouveau numéro de téléphone à la fonctionnalité de paiement existante. Dans ses contacts avec la banque, l’Ombudsman a relevé qu’il paraissait surprenant qu’une authentification multifacteur soit exigée pour l’activation initiale de l’application de paiement, mais qu’une authentification simple suffise pour modifier le numéro de téléphone associé. La banque a expliqué que, pour rendre la fonctionnalité de paiement rapidement utilisable, celle-ci était immédiatement disponible à concurrence de 200 CHF, dès l’introduction de l’identifiant et du mot de passe du client. Un niveau de sécurité supplémentaire était requis uniquement aussitôt que l’utilisation de l’application de paiement dépassait 200 CHF. Selon la banque, la fraude dont le client avait été victime résultait du fait que des éléments d’identification qui étaient en sa possession ont été divulgués à des tiers. Les mesures de sécurité mises en place avaient permis de limiter le dommage à 200 CHF.
Après divers échanges, tant par écrit que par téléphone, la banque a accepté de faire un geste commercial de 100 CHF, soit de rembourser au client la moitié du montant réclamé. Le client a accepté cette offre de règlement amiable.
L’Ombudsman a recommandé à la banque d’introduire systématiquement une authentification à deux facteurs pour toute modification du numéro de téléphone lié à la fonctionnalité de paiement, afin de prévenir la récurrence de situations similaires.