Transactions frauduleuses par carte de crédit après une attaque de phishing
Le client souhaitait effectuer un achat d’environ 100 CHF sur Internet et a abouti sur un site Internet frauduleux. Dans celui-ci les escrocs ont pu lui faire croire qu’il devait charger une carte Samsung prépayée avec le montant de l’achat pour que le paiement soit possible. Il a saisi les données de sa carte et la banque lui a envoyé un code de confirmation par SMS sur son téléphone portable. Ce SMS indiquait que le code d’enregistrement servait à Samsung-Pay, qu’il ne devait être saisi que dans l’application Samsung Pay et qu’il ne devait pas être transmis ou enregistré sur un site Internet. Le client a saisi le code sur le site Internet car il pensait que cela était nécessaire pour charger la carte Samsung prépayée. En fait, les escrocs ont enregistré la carte avec les données obtenues frauduleusement pour Samsung Pay sur un autre appareil mobile. Dans un second SMS, la banque a confirmé au client que sa carte pouvait désormais être utilisée pour Samsung Pay. Il pensait que la carte Samsung prépayée était chargée. En fait, les escrocs ont pu utiliser sa carte avec l’appareil mobile étranger pour effectuer des achats, sans qu’il le constate, puisque la confirmation de ces transactions se faisait dans l’application installée sur l’appareil mobile étranger.
Les transactions incriminées ont eu lieu pour la plupart en l’espace d’une journée, à intervalles rapprochés et pour des montants considérables, dans un magasin de vêtements et un magasin d’électronique à l’étranger. Elles étaient inhabituelles pour le client, selon ses déclarations, de par leur nature et leur montant. L’Ombudsman a donc demandé à la banque pourquoi le système de surveillance des fraudes n’avait pas détecté les transactions. Selon son observation, un système de surveillance des fraudes conforme à l’état de la technique fait certes partie des standards usuels dans le secteur des cartes et peut être présumé par les clients de nos jours, mais ces systèmes ne sont pas non plus en mesure de détecter toutes les tentatives de fraude. En d’autres termes, le client n’a aucun droit à une détection réussie de la fraude.
Dans sa prise de position à l’attention de l’Ombudsman, la banque s’est tout d’abord penchée sur le processus d’enregistrement de la carte dans un Wallet de paiement. Elle a estimé que le client avait violé ses obligations de diligence en transmettant ses données de carte et le code nécessaire à l’enregistrement et qu’il n’avait donc pas droit à une indemnisation sur la base des conditions de la carte. Il n’aurait pas prêté attention aux textes SMS. S’il l’avait fait et s’il avait contacté la banque en raison des contradictions entre les textes et l’image que les escrocs lui avaient transmise, la fraude aurait pu être évitée. En outre, il aurait eu la possibilité de configurer sa carte de manière à ce que chaque transaction dépassant un certain montant minimal lui soit annoncée au moyen d’un message push sur son téléphone portable. Il n’aurait pas fait usage de cette possibilité. S’il l’avait fait, il aurait remarqué l’escroquerie survenue après la première transaction. Une communication en temps utile aurait permis d’éviter d’autres transactions frauduleuses.
Pour assurer la sécurité des clients, la banque utilise un système d’alerte rapide moderne dans le but de détecter au plus vite les transactions frauduleuses. Cela ne libère toutefois pas le titulaire de la carte de ses obligations de diligence. Les critères selon lesquels le système d’alerte précoce qualifie une transaction de suspecte dépendent de nombreux facteurs différents. En l’espèce, le système n’aurait pas qualifié les transactions de suspectes, notamment parce que la carte avait été préalablement enregistrée au moyen d’une authentification à deux facteurs pour Samsung Pay. Le client utilisait régulièrement sa carte pour plusieurs transactions par jour. Les transactions auraient eu lieu sur place et auraient également pu correspondre à un comportement d’achat touristique. La banque s’est contentée de prendre en charge le dépassement de la limite d’environ 1500 CHF.
Etant donné que des divergences frappantes subsistaient entre le comportement d’utilisateur du client et les transactions frauduleuses et qu’il n’était pas en mesure de comprendre dans quelle mesure les achats importants effectués dans un magasin électronique qui n’était pas connu pour des produits électroniques bon marché correspondaient à un comportement d’achat touristique, l’Ombudsman a demandé des compléments d’information à la banque. Celle-ci a maintenu son argumentation et précisé que le système de détection de la fraude ne faisait pas partie de la réglementation contractuelle avec le client et qu’il n’était pas fiable à 100%. Pour minimiser l’utilisation abusive des cartes de crédit, il faut combiner le respect des obligations de diligence par le client, des mesures supplémentaires telles que l’authentification à deux facteurs et le système de détection de la fraude. La Banque a néanmoins acceptL de prendre en charge non seulement le montant du dépassement de la limite, mais aussi à rembourser au client l’intégralité du montant de la transaction ayant conduit à ce dépassement. L’indemnisation a ainsi été doublée pour atteindre environ CHF 3’000. L’Ombudsman a recommandé au client d’accepter l’offre, estimant que d’autres tentatives de médiation étaient vouées à l’échec. Le client a suivi cette recommandation.