2017.2628

THEME

Paiements et comptes de paiements – Opérations à distance – Paiements par PC – Opérations contestées

AVIS

Présents :
Monsieur A. Van Oevelen, Président ;
Messieurs E. Struye, R. Steennot, membres ;
Madame N. Spruyt, membre.

Date : 19 décembre 2017

1. DESCRIPTION DE LA PLAINTE
Le litige porte sur un hacking du compte bancaire de la requérante auprès de sa banque donnant lieu à un dommage de € 19.650.

Le 18 juillet 2017, vers 11h, la requérante a été contactée par téléphone par une personne, parlant exclusivement en anglais, et se faisant passer pour un employé de Microsoft. La technique de hacking telle que décrite ci-avant est enclenchée et l’ordinateur est sous la commande du hacker plus de cinq heures durant ! A la fin de cette session, la requérante est invitée à procéder à un paiement de 5€ au départ de son compte de la Banque X pour payer l’octroi d’une mise à jour de sa licence d’exploitation, au motif que l’ancienneté de la licence en cours (4 ans) serait à l’origine des erreurs et de la lenteur de fonctionnement de l’ordinateur signalés en début de conversation. La requérante accepte de procéder à ce paiement, ignorant qu’en agissant de la sorte, le hacker n’aura aucun mal à modifier en cours de processus de paiement à l’aide du digipass, le montant et le bénéficiaire effectifs de la transaction demandée. Sur son écran, la requérante conclue toutefois que l’opération s’est déroulée sur base de ses instructions (montant de 5 € et Microsoft comme bénéficiaire).

Le 19 juillet, vers 9h30, la requérante est à nouveau contactée pour s’entendre dire qu’un check supplémentaire de son ordinateur devait être réalisé ; elle accepte et son ordinateur est une fois encore sous commande du hacker qui identifie la présence d’une application de paiement de la banque Y. En fin de session, le hacker l’informe qu’elle doit procéder à un paiement supplémentaire de 5 euro via son compte bancaire de la banque Y. Elle donne suite à cette demande.

En fin de journée, gagnée par des soupçons en raison des doutes émis par le gendre de la requérante sur la réalité des problèmes au niveau de l’ordinateur, la requérante va consulter l’état de son compte dans une agence de la banque X dès lors qu’elle n’est plus en mesure de la faire au départ de son ordinateur. Elle fait alors le constat suivant :

• le 18 juillet :
- 5.000 € sont virés de son compte épargne vers son compte-vue ;
- 5.000 € sont virés du compte de sa fille sur lequel la requérante est mandataire au profit de son propre compte-vue ;
- 9.850 € sont transférés par débit du compte vue vers un compte ouvert auprès d’une banque étrangère en faveur de N.P.

• le 19 juillet :
- 3.300 € sont virés de son compte épargne vers son compte-vue ;
- 1.600 € sont virés de son compte épargne vers son compte-vue ;
- 3.300 € sont virés du compte de sa fille sur lequel la requérante est mandataire au profit de son compte-vue ;
- 9.800 € sont transférés par débit du compte-vue vers un compte ouvert auprès de la banque étrangère en faveur de N.P.

Le 19 juillet, vers 21 heures, la requérante procède au blocage de ses cartes auprès de la banque X. Elle en fait de même vers 22 heures pour sa carte de la banque Y.

Lors de son entretien vers 21 heures avec sa banque X, elle fait part des montants frauduleux débités de son compte. La requérante estime qu’à ce moment-là, la banque était encore en mesure de récupérer le montant de 9.800 € viré le même jour.

La requérant est par la suite (le lendemain ?) informée par sa banque Y qu’une tentative de hacking sur son compte à vue en cours de journée du 19 juillet avait été identifiée et dans le même temps déjouée ; son compte avait en conséquence été bloqué. Le hacker avait toutefois réussi à transférer 8.200 € du livret d’épargne vers le compte à vue. En revanche, sa tentative de transférer 8.700 € vers une banque anglaise a échoué.

La requérante utilisait par ailleurs l’application PayPal. Cette société a communiqué par mail à la requérante qu’une activité inhabituelle avait été observée sur son compte le 19 juillet, en l’occurrence sur base d’opérations pour 65.25 € et 199.36 € en faveur d’un vendeur localisé à Vaduz. Les montants en question ont été restitués à la requérante, sans doute en raison de la possibilité pour PayPal de récupérer endéans un certain délai les opérations frauduleuses.

La requérante reproche principalement à sa banque X de ne pas avoir en place un système anti-hacking qui a prouvé son efficacité auprès d’une autre banque.

Elle s’étonne, par ailleurs, qu’en date du 19 juillet, un deuxième virement frauduleux ait pu être réalisé sans que la procédure de M2 n’ait été déclenchée à votre initiative. En outre, la requérante ne comprend pas comment un paiement validé par elle-même de 5 € puisse être modifié quant à son montant et son bénéficiaire sans l’intervention de son code PIN qu’elle déclare ne jamais avoir communiqué. Enfin, la requérante estime que la banque était encore en mesure de récupérer le second paiement dès lors qu’elle avait été avertie vers 21 heures.

Compte tenu des relations très anciennes que la requérante entretient avec sa banque X, elle estime avoir droit à un geste commercial de la part de sa banque.

2. POSITION DE LA BANQUE

La banque observe que les deux paiements litigieux ont été validés au moyen de la signature électronique (M2) de la cliente, à 12h13 le 18 juillet et à 12h40 le 19 juillet, respectivement. La sécurité de son système informatique ne peut dès lors être mise en cause.

S’agissant du paiement effectué le 19 juillet, la banque indique qu’elle aurait pu le bloquer si elle avait été avertie avant 21h 05 ; elle laisse ainsi entendre qu’elle n’a pas été informée endéans ce délai.

La banque confirme qu’une signature électronique n’est pas requise pour les transferts entre comptes liés au titulaire de la carte.

Au vu de ce qui précède, la banque estime qu’elle n’est pas tenue d’intervenir pour compenser le dommage de sa cliente.

3. AVIS DU COLLEGE (1)

Le Collège est d’avis que l’article VII.36, § 1, alinéa 3, 2°du Code de droit économique est, en l’espèce, d’application. Il observe, tout d’abord, que la requérante n’a pas agi frauduleusement ni n’a manqué intentionnellement aux obligations l’incombant en vertu de l’article VII.30 du même code. Elle a, en effet, prévenu la banque dès qu’elle a été en mesure de prendre connaissance du détournement dont son compte avait fait l’objet. Le Collège observe par ailleurs que l’instrument de paiement a été indûment utilisé par un tiers qui a réussi à modifier à son profit le montant ainsi que le bénéficiaire des opérations validées par la requérante sans qu’elle ne soit dépossédée de son instrument de paiement.

Dans un souci d’équité et jugeant que la requérante a, pour le moins, fait preuve d’un manque évident de prudence en autorisant à deux reprises un tiers à s’emparer pendant plusieurs heures de la maîtrise de son ordinateur, le Collège estime que la banque ne doit compenser qu’un tiers du dommage qu’elle a subi.

4. CONCLUSIONS DE L’OMBUDSMAN

Compte tenu des échanges et de l’avis de notre Collège d’experts, l’Ombudsman rejoint son analyse relative aux circonstances de fait et sa conclusion quant à l’indemnisation. Dès lors, il invite la banque à intervenir partiellement à concurrence de 6.550€ en faveur de la requérante. La banque X bénéficie d’un délai de 30 jours pour communiquer sa réaction. Il appartiendra alors à la requérante de l’accepter ou de la refuser formellement. A cet égard, elle sera libre de sa décision, sachant que l’avis de l’Ombudsman est rendu en équité et peut dès lors être différent d’une décision judiciaire.

(1) Le Collège s’est réuni le 19 décembre 2017 en présence de Mr Van Oevelen, Mme Spruyt, Mr Struye de Swielande, et Mr Steennot et l’avis a été définitivement approuvé par les experts, le 31 décembre 2017.