2018.1484

THEME

Paiements et comptes de paiements - Opérations à distance - Paiements par PC - Opérations contestées

AVIS

Présents :
Monsieur A. Van Oevelen, Président;
Madame N. Spruyt; Messieurs R. Steennot, A. Guigui, J. Vannerom, membres;

Date : 9 octobre 2018

1. DESCRIPTION DE LA PLAINTE
Le 12 avril 2018, le requérant a reçu deux sms émanant de Base l’enjoignant de remplir un formulaire pour obtenir un remboursement mais il déclare ne pas y avoir répondu. Ensuite le même jour, il a été contacté sur son gsm vers 18h30 par un homme, se faisant passer pour un employé de BASE.
Ce dernier lui a donné diverses instructions et il y a obtempéré. Le requérant n’est pas un utilisateur régulier de son internet banking et ne ma nipule donc pas régulièrement son digipass. il déclare ne pas avoir transmis son numéro de compte, ni numéro de carte, ni son code pin. Il déclare avoir utilisé le digipass.
Ensuite le requérant est parti en vacances du vendredi 13 avril au samedi suivant, muni de son carte mais il ne l’a pas utilisée. En rentrant de vacances, il a découvert que son compte avait été utilisé pour une somme totale de 20.052,80€ à la suite de 14 opérations de virements et de paiements en son absence.
Le requérant a immédiatement porté plainte à son agence. Il semble qu’une somme de 1.003,90 € versée le 18 avril 2018 par le biais de Western Union en Autriche a été récupérée et qu’une opération Paypal de 500€ a pu être interceptée. Le préjudice réel serait donc de 19.548,90€.
Ceci étant le requérant ne comprend pas ce qui s’est produit et estime avoir fait l’objet de manœuvres frauduleuses. Il souhaite que la banque intervienne dans son préjudice.
Dans le cadre de la présente procédure de médiation et selon le résultat des recherches effectuées, il semble que le 12 avril 2018, l’interlocuteur a, lors de l’entretien téléphonique, téléchargé une application de la banque sur son appareil (gsm) à l’insu du requérant vers 19h20 mais grâce aux codes réponses que le requérant a nécessairement communiqués. Il a introduit son code personnel afin d’utiliser celle-ci directement ensuite, sans l’intervention du requérant. Dès cet instant, il était en mesure d’effectuer toutes les opérations qu’une carte bancaire permet de faire jusqu’à ce que cette application soit stoppée. C’est ce qui justifie toutes ces opérations pendant l’absence du requérant et pendant plus d’une semaine.
2. POSITION DE LA BANQUE
La banque précise que le requérant a été victime d’un cas de phishing dans le cadre de la fraude « Base » et que la fraude n’a été rendue possible que parce que le requérant a vraisemblablement suivi un lien vers un faux site de la banque, transmis des codes d’accès sans doute sur le site du fraudeur. La banque estime qu’en suivant les instructions d’un inconnu et en lui communiquant des codes personnels, le requérant a commis une négligence grave qui l’exonère de toute responsabilité.
3. AVIS DES EXPERTS
La responsabilité en cas d'opérations de paiement non autorisées qui ont été effectuées avant la transposition de la directive européenne PSD II en droit interne belge doit être évaluée sur la base des règles applicables à ce moment-là. La transposition tardive de cette directive par le législateur belge ne signifie pas que les règles de la directive PSD II peuvent déjà être appliquées aux transactions qui ont eu lieu entre le 13 janvier 2018 et le 9 août 2018. Les règles de la législation applicable doivent toutefois être interprétées conformément à la directive.
Lorsqu'une opération de paiement non autorisée est exécutée à l'aide d'une application installée par un tiers non autorisé et grâce à laquelle le tiers s’est connecté au système de paiement par Internet de la banque, celle-ci doit être considérée comme une opération de paiement non autorisée exécutée à l'aide d'un instrument de paiement (ensemble des procédures utilisées pour transférer des instructions de paiement). L'article VII.36 du Code de droit économique trouve donc à s'appliquer (et non l'article VII.35 du Code de droit économique, qui fait supporter tout le risque d'opérations de paiement non autorisées sur le prestataire de services de paiement).
Bien qu'il soit clair que le payeur a fait preuve de négligence dans la transmission de données personnalisées (codes réponses), la responsabilité dans ce cas ne peut être imputée au payeur. A cet égard, le Collège attire l'attention sur les éléments suivants qui justifient son avis :
- Le fait qu'on ne peut pas s’attendre d‘un payeur, non familiarisé avec les techniques de paiement modernes et n'utilisant pas fréquemment le système bancaire par Internet de la banque, qu’il soit conscient qu’à la suite de la communication de codes de sécurité personnalisés, qu’une application sur le smartphone d'un tiers puisse être installée, permettant de se connecter au système bancaire par Internet du payeur afin d’initier diverses opérations de paiement non autorisées, tout cela sans être expressément informé de l'installation de cette application au moment de cette installation ;
- L’article VII. 36, §1 du Code du droit économique prévoit que le payeur ne supporte aucune perte (sauf si le payeur n’a pas satisfait à ses obligations de manière frauduleuse ou intentionnelle) si, au moment de l'opération contestée, le payeur était en possession de son instrument de paiement (en l'occurrence de ses moyens d'accès (digipass et code secret) qui lui permet de se connecter au système bancaire Internet. Étant donné que cet instrument de paiement n'a pas été volé au payeur, ce dernier n'a pas pu raisonnablement détecter les opérations de paiement non autorisées au moment où elles ont eu lieu (voir également l'article VII.44 du code du droit économique après la transposition de la Directive PSD II).
Dans ce contexte, le Collège renvoie également à l'article VII.31, 3° du Code de droit économique, qui prévoit que le prestataire de services de paiement doit veiller à ce que des moyens appropriés soient disponibles à tout moment (24 heures sur 24, 7 jours sur 7) pour permettre à l'utilisateur de services de paiement de procéder à une notification. Si le prestataire de services de paiement ne remplit pas cette obligation, le payeur ne peut être tenu responsable (à moins que la fraude dans le chef du payeur ne soit prouvée ; voir l'article VII.189 du Code de droit économique). L'application de cette sanction de droit privé n'exige pas la preuve d'un lien de causalité entre le non-respect de cette obligation légale et le dommage.
4. CONCLUSION DE L’OMBUDSMAN
En conclusion, l’Ombudsman rejoint la position des experts : en l’espèce, le requérant n’a pas agi frauduleusement ni n’a manqué intentionnellement à ses obligations.
Or en application de l’article VII.36 §1er alinéa 3 2° du code, il est prévu que, dans ce cas, le payeur ne subit aucune perte si l’instrument de paiement été indûment utilisé pour autant que le payeur était, au moment de l’opération contestée, en possession de l’instrument de paiement. Tel était bien le cas en l’espèce, il revient donc au prestataire de services d’intervenir.
L’ Ombudsman invite donc la banque à intervenir à concurrence du préjudice subi, soit une somme totale de 19.548,90€.