image_pdf

Transactions frauduleuses via l’application TWINT

Sujet: Abus et escroquerie   Numéro de cas: 2024/06

Après avoir mis en vente des objets sur une plateforme de petites annonces, la cliente a été induite par un prétendu acheteur à lui transmettre son numéro de téléphone et des données concernant son compte bancaire. Grâce à celles-ci, les malfrats ont réussi à activer sur un appareil mobile en leur possession l’application TWINT, à la relier au compte bancaire de la cliente et à effectuer avec celle-ci 9 transactions non-autorisées par la cliente pour un montant total de CHF 4’750. En réponse à la contestation de la cliente, la banque a rejeté toute responsabilité et refusé un quelconque geste en sa faveur. Selon elle, la cliente avait manqué à ses devoirs de diligence et contribué par son comportement au dommage que les fraudeurs lui ont infligé. Non satisfaite de la position de la banque, la cliente s’est adressée à l’Ombudsman. Ce dernier a alors pris contact avec la banque et lui a demandé de lui fournir de plus amples informations sur le cas. Il a contesté certains arguments de la banque, notamment le fait que les conditions de TWINT, qui constituaient la base juridique des débits des transactions, avaient été valablement acceptées par la cliente. Dans le cadre de la procédure de médiation, la banque a pris position sur les différents points soulevés par l’Ombudsman. Elle a toutefois confirmé l’avis selon lequel l’élément décisif pour apprécier cette affaire restait le manquement de la cliente à ses devoirs de diligence. Malgré cela, la banque a accepté de faire un geste commercial en faveur de la cliente. Celle-ci a accepté la solution transactionnelle proposée par la banque.

La cliente, âgée de 70 ans, avait mis en vente des chaussures de ski sur un site de petites annonces. Elle a ensuite été contactée par une personne qui s’est dit intéressée par l’achat de ses chaussures. En lui faisant croire que ces informations servaient à lui verser le prix convenu, le prétendu acheteur a induit la cliente à lui transmettre certaines informations personnelles. Selon les souvenirs de la cliente, elle se serait toutefois limitée à transmettre à son interlocuteur l’IBAN du compte qu’elle détenait auprès de la banque et son numéro de téléphone. La cliente a également reconnu avoir saisi dans son lecteur de carte un code qu’elle avait reçu de la banque par SMS et avoir transmis les données calculées ensuite au prétendu acheteur, ce qui a permis à ce dernier d’activer l’application TWINT sur son téléphone. Peu de temps après, 9 transactions d’un montant total de CHF 4’750 ont été effectuées via TWINT et débitées au compte de la cliente. Comme l’ont révélé par la suite les informations fournies par la banque, ces transactions ont servi à acheter des bons numériques TWINT. Ces bons permettent de réaliser des achats auprès des commerçants qui les ont émis. Ils peuvent également être transférés directement via TWINT ou par e-mail à des tiers.

La cliente a contesté les opérations frauduleuses auprès de la banque. Cette dernière a toutefois refusé d’entrer en matière sur une compensation, même partielle, du dommage. Dans sa prise de position à l’attention de la cliente, la banque faisait en substance valoir que celle-ci avait saisi, sur un formulaire que les escrocs lui avaient transmis, ses données bancaires, l’identifiant figurant sur sa carte bancaire ainsi que d’autres informations personnelles. Selon la banque, la cliente avait ensuite saisi sur le lecteur de cartes en sa possession un code que les escrocs lui avaient donné par téléphone. Grâce à ces informations, les fraudeurs avaient pu télécharger l’application TWINT sur un appareil mobile à leur disposition et a activé le compte privé de la cliente dans l’application. Ils avaient ensuite effectué les transactions contestées. Selon la banque, en transmettant des informations confidentielles à une personne tierce, la cliente avait manqué aux devoirs de diligence que, conformément aux dispositions contractuelles qui s’appliquaient à sa relation d’affaire et à l’utilisation de l’application TWINT, celle-ci était tenue d’observer. La banque a donc rejeté toute responsabilité dans cette affaire et a refusé d’entrer en matière sur une quelconque indemnité en faveur de la cliente.

N’étant pas satisfaite de la prise de position de la banque, la cliente a adressé une requête de médiation à l’Ombudsman. Selon elle, le SMS qu’elle avait reçu de la banque ne contenait qu’un code, sans texte d’accompagnement. Ainsi, il ne lui avait pas été possible de comprendre qu’il s’agissait d’un code servant à activer l’application TWINT, qu’elle ne connaissait pas et qu’elle n’utilisait pas. La cliente faisait aussi valoir que la limite d’utilisation de TWINT était par défaut de CHF 5’000. Cette limite était donc sensiblement plus élevée que la limite journalière de CHF 1’000, prévue pour des retraits d’espèces avec sa carte bancaire. Ella ajoutait enfin avoir signalé très rapidement par téléphone à la banque les transactions frauduleuses. Elle s’étonnait donc que celle-ci n’ait pas été en mesure d’annuler les transactions et d’obtenir le retour des fonds au vu de ce signalement qu’elle considérait diligent.

L’Ombudsman a alors pris contact avec la banque et lui a demandé de prendre position sur les différents aspects de cette affaire, notamment sur la question de savoir pourquoi le code transmis par SMS n’était pas accompagné d’un texte indiquant l’usage qui pouvait en être fait. Il a également estimé que les conditions d’utilisation de TWINT applicables n’avaient été acceptées que par les escrocs lors de l’activation de l’application TWINT et n’étaient donc pas valables pour la cliente.

Dans sa réponse à l’Ombudsman, la banque a admis que le SMS par lequel le code avait été envoyé à la cliente ne contenait pas de texte ni d’avertissement. Elle a toutefois précisé avoir modifié et complété entretemps les SMS par lesquels des codes d’activation sont transmis avec une mention qui permet à leurs destinataires de les reconnaître comme tels et qui les avertit de la nécessité de les garder confidentiels. Le texte d’accompagnement indiquait que le code devait être traité de manière confidentielle et utilisé uniquement pour activer l’application TWINT. La banque a également reconnu que les conditions d’utilisation de TWINT n’avaient été acceptées que par les fraudeurs. Toutefois, cela avait été rendu possible par des manquements aux devoirs de diligence de la cliente, qui avait transmis les données confidentielles nécessaires à cet effet.

La banque a en outre relevé que la limite d’utilisation de CHF 5’000, définie de manière standard pour des transactions par l’application TWINT, se basait sur celle pour les achats de marchandise avec ses cartes de débit. Elle a relevé à ce sujet, que des transactions par TWINT ne pouvaient être comparées avec des retraits en espèces. La banque a également souligné que les transactions TWINT sont exécutées immédiatement et qu’elles ne peuvent pas être annulées. Concernant la demande de retour des montants de 9 transactions, la banque a indiqué qu’elle attendait en règle générale 24 heures avant de lancer une recherche pour un versement TWINT sur un numéro de téléphone. En effet, le traitement peut durer jusqu’à 24 heures en raison des délais de la banque du bénéficiaire. En l’occurrence, ses demandes de retour n’avaient pas abouti.

Selon la banque, l’élément décisif pour l’analyse de cette affaire restait toutefois le fait que la cliente avait communiqué à des tiers des informations qu’elle était tenue de maintenir confidentielles. Avec référence aux détails techniques du processus d’activation, la banque a fait valoir que le manquement de la cliente à ses devoirs de diligence avait rendu possible les transactions contestées et, par conséquent, causé le dommage. Malgré cela, la banque a proposé de verser à la cliente, à titre exceptionnel et sans reconnaissance d’aucune responsabilité, un montant de CHF 2’000. Suite à l’acceptation de l’offre de la banque par la cliente, le cas a pu être clôturé.