Transactions sans saisie du nip au moyen de la fonction «sans contact» d’une carte de crédit volée
Par le passé, la presse a régulièrement mis en doute la sécurité de la fonction «sans contact» des cartes de crédit et des autres cartes bancaires. Cette fonction permet d’effectuer une transaction par le seul fait de placer la carte à proximité immédiate d’un appareil de réception, sans devoir saisir le code NIP, dans la mesure où le montant de la transaction ne dépasse pas une limite déterminée, qui est généralement fixée à 40 CHF en Suisse. Si une carte dotée de cette fonction tombe entre de mauvaises mains, le tiers non autorisé peut l’utiliser jusqu’à concurrence du montant maximal sans devoir saisir le NIP. Lors de discussions avec des représentants du secteur concerné, ceux-ci avaient assuré à l’Ombudsman que des algorithmes étaient utilisés pour prévenir les abus. Pour des raisons évidentes, ils ne lui avaient toutefois pas fourni de détails sur ces mesures de sécurité.
En l’espèce, la cliente a expliqué que sa carte volée avait été utilisée d’une manière qui permettait de conclure à un abus de la possibilité de payer des biens et des services sans saisie du code jusqu’à hauteur d’un certain montant maximal. En effet, en quelques jours seulement, plus de 200 transactions d’un montant total de près de 2000 CHF avaient été effectuées avec la carte que la cliente n’avait pourtant plus utilisée depuis longtemps, et ce, toujours au moyen de la fonction «sans contact» et sans saisie du code NIP. De surcroît, la carte avait été utilisée à plusieurs reprises auprès des mêmes commerçants, parfois jusqu’à sept fois par jour, pour des montants allant de 0.40 EUR à 25 EUR. Or, la cliente avait constaté en utilisant ses autres cartes que, dans de tels cas, il arrivait que le NIP soit exigé même si la limite maximale pour un paiement sans saisie du code n’avait pas été atteinte. En l’espèce, rien n’indiquait que des mesures de sécurité avaient été prises pour empêcher un tel abus, et la banque n’était pas disposée à indemniser partiellement la cliente.
La cliente était consciente du fait qu’elle assumait une grande part de responsabilité dans l’utilisation abusive de sa carte par les auteurs inconnus, dans la mesure où elle avait oublié la carte et ne l’avait donc pas fait bloquer. Comme elle n’avait jusqu’alors eu de contact avec l’émettrice de cartes de crédit que par téléphone, l’Ombudsman lui a conseillé d’adresser dans un premier temps une réclamation écrite à la direction afin de lui permettre de reconsidérer sa position. Il restait naturellement disposé à se saisir de l’affaire si aucune solution ne pouvait être trouvée. Suivant son conseil, la cliente a proposé à l’émettrice de cartes de crédit de prendre en charge le tiers du dommage. Peu après, elle a informé l’Ombudsman qu’elle avait reçu un e-mail de l’émettrice de cartes de crédit, dans lequel celle-ci expliquait avoir même décidé d’assumer l’intégralité du dommage après réexamen du cas.
Cette affaire montre qu’il est important et judicieux de suivre les conseils de l’Ombudsman lorsqu’il recommande aux clients de commencer par adresser une réclamation écrite à la direction de la banque s’ils ne l’ont pas déjà fait. Une telle démarche permet à celle-ci d’examiner le cas et, parfois, de le régler directement. En l’espèce, la réaction de la banque a même dépassé les attentes de la cliente, ce dont l’Ombudsman a pris acte avec satisfaction.