2023.3133
THEME
Paiements et comptes de paiements, Opérations à distance, Virements par PC, Phishing
AVIS
Présents
Monsieur R. Steennot, Président
Messieurs, A. Guigui, P D’Haen, J. Vannerom, P. François, Erik Van den Haute membres;
Date : 19 septembre 2023
1. LA PLAINTE
Le lundi 3/10/2022, le plaignant a été victime d’une fraude sur ses comptes bancaires et ceux de sa fille mineure pour un montant total de près de 25.000 EUR. Il a entamé la procédure de plainte interne mais malheureusement cette procédure n’a mené à rien. En effet, malgré plusieurs échanges écrits, la banque refuse de lui rembourser la somme détournée et justifie ce refus par l’existence d’une négligence grave dans son chef qui l’exonère de toute intervention.
La somme détournée a d’abord été retirée du compte épargne de sa fille mineure, transité via son compte à vue avant d’être virée sur différents comptes belges de tiers ouverts chez la banque.
Il détaille les faits comme suit :
Le 3/10, il a voulu acheter un aspirateur Dyson d’un montant de 250 EUR sur le site de Marketplace et il a proposé, de sa propre initiative, au vendeur de payer la somme de 50 EUR pour bloquer la vente en sa faveur. Le vendeur lui a envoyé un lien qui l’a dirigé vers un « site de paiement » de la banque pour valider le paiement de 50 EUR. Il a introduit sa carte bancaire dans son lecteur de carte, introduit le code pin sur le lecteur et validé un paiement de 50 EUR en introduisant le code généré sur le digipass sur le site de paiement.
Le 3/10, il reçoit 3 SMS de la banque l’avisant de l’installation d’une application de la banque, mentionnant un code d’activation valide pendant 10 minutes et lui avisant que son IPhone a été supprimé de la liste des appareils ayant accès à l’application de la banque. Il ne prend connaissance de ces sms qu’après 10 minutes et en lisant le dernier sms, il comprend qu’il s’agit d’une arnaque. Il appelle immédiatement Card Stop et la banque mais les fraudeurs ont pu entretemps effectuer plusieurs transferts (une dizaine au total allant de 3.000 EUR à 15.000 EUR) entre les comptes-épargne et à vue précités afin de pouvoir les transférer directement vers des comptes belges de tiers ouverts chez la banque. Il rapporte la preuve qu’il a effectivement appelé les deux numéros indiqués dans le sms envoyé par la banque.
En cours de médiation, il a rapporté la preuve qu’il avait appelé la banque le 3/10/2023 à 21h26 au numéro indiqué dans le sms pour faire stopper la carte et faire bloquer vos comptes.
La banque a investigué à ce sujet et confirme ce qui suit : les virements « out » ont eu lieu à 21h18, 21h22 et 21h30. Le 02/222.82.50 est le numéro de le banque Connect. Lorsqu’un client appelle ce numéro, afin qu’il puisse être orienté correctement, il doit faire un choix parmi les différentes possibilités qui lui sont proposées. Si des actions doivent être effectuées, il est invité à s’identifier au moyen des 12 chiffres qui composent son numéro de compte.
L’analyse minutieuse de ses appels démontre :
- Pour l’appel de 21h26 : il ne s’est pas identifié et a raccroché avant la fin du processus
- Pour l’appel de 21h28 : il ‘est identifié. Il a abandonné le processus après avoir entendu que le blocage s’appliquerait à tous les appareils mobiles alors qu’une confirmation lui était demandée. Il n’a donc pas, suivant les données techniques, finalisé sa demande de blocage.
Les appels à Cardstop ont lieu après que les virements « out » sont effectués.
Le 4/10 matin, il a déposé plainte et pris rendez-vous en son agence mais il n’a pas obtenu de réponse immédiatement. Ensuite, la banque lui a avisé qu’ils avaient récupéré la somme de 5.000 EUR et lui a adressé une quittance de subrogation qu’il a refusé de signer car, en la signant, il renonçait ainsi à tous se droits de poursuite.
Il souhaite récupérer l’intégralité des sommes détournées et, à tout le moins, la somme de 5.000 EUR qui l’appartient sans conditions et que la banque retient sans raisons depuis des mois.
2 POSITION DE LA BANQUE
Selon la banque, le requérant conteste les opérations effectuées le 03/10/2022 sur 3 comptes :
Ces opérations sont précédées d’une installation de l’application Mobile le 03/10 à 20h26. Cette installation est effectuée sur son profil client.
L’installation de cette application est protégée par la technologie 3D-Secure. Pour l’installer, il faut disposer des 3 éléments suivants :
• Être en possession physique de la carte de débit ;
• Disposer du code secret, dont seul le titulaire de la carte a connaissance ;
• Disposer du code-autorisation provenant du lecteur de carte (après y avoir introduit la carte et le code secret).
Dans le procès-verbal, il confirme avoir dû utiliser le digipass et il indique dans ses correspondances: « La seule action effectuée a été d’introduire la carte dans le lecteur de carte. ».
Introduire la carte dans le digipass sans effectuer d’autre action est sans effet. Cependant, l’introduction de la carte et du code PIN dans le digipass génère un code, seulement visible par la personne qui a le digipass en main. Si ce code secret est ensuite introduit dans un environnement non sécurisé ou transmis à un tiers, ceci constitue, selon la banque, une négligence grave.
Pendant cette installation, la banque a envoyé 2 SMS, sur le numéro de téléphone. Il s’agit du numéro de téléphone du requérant connu dans la base de données de la banque depuis 2017 :
- «Info banque. Vous venez d'installer l'app! Ce n'est pas vous? Bloquez vite vos cartes via Card Stop au 078 170 170 et appelez-nous au 02 xxx xx 50. »
- «Info banque. Vous venez d'installer l'app. Votre code d'activation est xxxx., valide pendant 10 minutes. Ne le partagez avec personne!”.
Il a donc été clairement informé par la banque des actions qu’il était en train d’entreprendre.
Après avoir effectué l’installation au moyen du numéro de carte et d’un code généré par le digipass, l’activation finale de l’application ne peut se faire qu’au moyen de ce code confidentiel qui est personnellement envoyé par SMS. Ce code est indispensable à l’activation de l’application.
Une fois l’application installée, toutes ses fonctionnalités sont accessibles. Tous les comptes sur lesquels le client joue un rôle bancaire sont également accessibles, en ce compris les comptes mandataires.
Dans la réponse de la banque, le 28 février 2023, cette dernière a procédé à l’analyse de chaque opération afin de voir de quelle manière elles ont été validées. Ces opérations ont été validées non pas par digipass mais via la banque Mobile, installé avant les opérations, avec les éléments techniques nécessaires, comme expliqué précédemment.
Certaines opérations ont également été validées via Itsme.
La banque a communiqué la chronologie des installations comme suit :
La chronologie 03/10/2022 :
20h26 - 08 : register Mobile
20h26 : SMS 1 - prévient de l’installation de l’app
20h26 : SMS 2 – code d’activation
20h26-51 : Mobile activé
20h29 : installation Itsme
21H16 à 21H35 : opérations contestées
21h24 SMS 3- suppression du GSM
21h39 : blocage carte
Pour clarifier, la banque a communiqué le détail de chaque opération sur base des informations techniques internes à sa disposition.
Conformément à l'article VII.32 du Code de droit économique, une opération de paiement est réputée permise si le payeur a donné son accord à l'exécution de l'ordre de paiement. Selon le même article, la procédure d'octroi du consentement est convenue entre le payeur et le prestataire de services de paiement concerné.
Cette procédure d’octroi du consentement est décrite dans le Règlement Général des Opérations de la banque :
« Article x. Consentement quant aux ordres. Une opération de paiement n’est réputée autorisée que si le Client (Payeur) a donné son consentement à l'exécution de l'ordre de paiement. Ce consentement peut intervenir avant ou après l’exécution de l’opération de paiement. En l'absence d'un tel consentement, l'opération de paiement est réputée non autorisée. Le Client (Payeur) est réputé avoir donné son consentement à l’exécution d’une opération de paiement quand (…):
– pour les virements (…): initiés par voie électronique (p. ex. guichets automatiques, Internet Banking) : par l’introduction du code PIN et/ou l’application correcte de procédures d’authentification déterminées (p. ex. lecteur de carte, mot de passe, service itsme), destinées à confirmer la transaction introduite via le canal électronique. ».
Les opérations contestées ont été effectuées via l'environnement numérique sécurisé de la banque. Des opérations ont aussi été validées via Itsme. Cela signifie que les opérations ont été correctement authentifiées, enregistrées et comptabilisées après l'exécution de la méthode d'authentification prévue par la réglementation contractuelle de la banque. Elles sont donc considérées, selon la banque, comme valides et légitimes.
La loi sur les instruments de paiement (code de droit économique) définit les droits et obligations du détenteur d’un moyen de paiement. L’article x mentionne « le payeur ne supporte aucune perte si la perte, le vol ou le détournement d’un instrument de paiement n’a pu être détecté par le payeur avant qu’un paiement ne soit effectué (…) ».
Ce caractère détectable s’apprécie suivant les circonstances de faits. La banque estime qu’il existait ici de nombreux indices qui auraient pu attirer son attention :
- Il a été actif sur Marketplace ;
- Lors d’un premier contact la vendeuse dit être de Bilzen ;
- La fois suivante elle dit être de Genk ;
- Il voulait payer 50 EUR pour réserver l’aspirateur- alors qu’il pouvait faire un simple virement, la prétendue vendeuse l’envoie un lien, qui ne fonctionne pas, et elle envoie un autre lien, qui ne fonctionne pas ; Il lui demande son numéro de compte, elle ne veut pas le donner, il demande via quel système, le paiement doit se faire, elle répond -via Payconiq ;
- Il lui dit que le lien ne fonctionne pas, l’envoie un autre lien de soi-disant Payconiq et pourtant il doit utiliser son digipass– ‘ik dien via mijn bank-kastje mijn bankkaart in te voeren – ik geef al mijn gegevens door via het bank-kastje – ik dien ook mijn code in te voeren – dit verliep zoals eender welke betaling;
- Il doit cliquer sur un lien, envoyé par un tiers inconnu, pour faire un paiement via Payconiq ;
- Il doit utiliser son digipass ;
- Bien qu’il affirme que ce paiement digipass se soit passé comme un paiement « normal », la banque a expliqué ci-avant les conséquences de cette utilisation : installation Mobile, envoi de SMS de la banque au client ; code d’activation nécessaire ;
- Les SMS envoyés par la banque était suffisamment clairs pour vous informer de ce qu’il était occupé à faire ;
- La banque a également démontré des actions via Itsme.
Il précise que le compte épargne de sa fille mineure devait être en principe bloqué et qu’aucune transaction n’aurait pu être effectuée sans la signature de deux parents. La banque a communiqué le document d’ouverture de ce compte (14/04/2021) ainsi qu’un document de modification (20/04/2021).
Pour la banque, ces instructions n’incluent pas de demande de blocage, il est juste précisé que le compte est géré par les parents. Pour la banque, le fait que le compte soit géré par les deux parents ne signifie pas nécessairement qu'ils doivent signer conjointement chaque transaction.
L’article 376 du Code Civil stipule en effet que ‘’Lorsque les père et mère exercent conjointement l'autorité sur la personne de l'enfant, ils administrent ensemble ses biens et le représentent ensemble. A l'égard des tiers de bonne foi, chacun des père et mère est réputé agir avec l'accord de l'autre quand il accomplit seul un acte de l'administration des biens de l'enfant, sous réserve des exceptions prévues par la loi.’’.
Par conséquent, l’administration conjointe ne signifie pas que les parents doivent toujours signer conjointement.
En ce qui concerne les actes d’administration, chaque parent peut agir seul et les tiers peuvent supposer de bonne foi que le parent qui agit seul à l'accord de l'autre parent (article 376 CC). Pour certains actes spécifiques, les parents doivent demander l'autorisation du juge de paix avant de pouvoir les accomplir (378 et 410 CC).
Les actes juridiques qui ne figurent pas dans la liste d'actes soumis à autorisation (art. 410 CC) peuvent donc être pris par chaque parent individuellement tant que la présomption de consentement n'est pas contredite et que l'intérêt de l'enfant n'est pas compromis (S. Timmermans, Minderjarigen en hun vermogen, Intersentia, 2021, 18).
Les retraits et transferts ne constituent pas une aliénation et aucune autorisation n'est donc nécessaire à cet effet (Vred. (tweede kanton) Sint-Niklaas 22 mei 2002, T. Vred. 2002, 424.). Ces opérations e/ntrent donc dans le champ d'application de l'article 376 CC.
Si le plaignant désire modifier la gestion de ce compte dans le futur, il lui appartient de prendre rendez-vous avec son agence afin d’y signer les documents nécessaires.
Il indique également que le service Customer Transaction Services lui a adressé un courrier indiquant que 5.000,10 EUR ont pu être interceptés. Le service a ajouté une subrogation qu’il n’a pas voulu signer. Actuellement, la banque relève qu’elle ne peut pas procéder au remboursement de ce montant étant donné le document adressé par le parquet à la banque le 4/10/2022 en application des articles 28 bis et 46 quater §1 du code d’instruction criminelle.
Au vu des éléments qui précèdent, la banque estime que la fraude était détectable et qu’il y a négligence grave dans son chef qui exonère la banque de toute intervention. Par ailleurs, la banque estime qu’elle ne peut lui restituer la somme de 5.000,10 EUR récupérée et ce, en application d’une décision du parquet.
3 POSITION DU COLLEGE
Le collège d’experts s’est prononcé en rappelant brièvement les éléments factuels comme suit:
Le 3 octobre 2022, le plaignant a été victime d’une fraude de type « marketplace ». Après une transaction sur une plateforme, il a reçu du vendeur un lien contenant une demande de paiement. En réalité, le lien donnait accès à un site web accessible au fraudeur. Ce site web était une copie presque identique du site web de la banque du plaignant. Le plaignant a communiqué via ce site web les codes nécessaires à l’installation de l’application de la banque par le fraudeur. L’application a été installée le 3 octobre 2022 à 20h26.
D’une part, le fraudeur a utilisé l’application de la banque installée sur son appareil pour transférer de l’argent du compte d’épargne de la fille mineure du plaignant vers le compte du plaignant (en quelques minutes, il s’agit de 37.000 EUR sur un solde de 39.000 EUR), d’autre part, le fraudeur a utilisé la même application pour transférer les sommes à partir du compte du plaignant. La fraude a été notifiée par le plaignant.
À 21h39, les comptes ont été bloqués par Cardstop.
Pendant la procédure d’installation et l’activation de l’application de paiement de la banque, le plaignant a entré les codes générés par son digipass sur le faux site internet. Durant cette procédure, il a reçu différents SMS :
- À 20h26 : un SMS indiquant que l’application a été installée (avec un avertissement de contacter Cardstop s’il n’avait pas installé l’application lui-même)
- À 20h26 : un SMS communicant un code pour l’activation de l’application, valable pendant 10 minutes
À 21h24 : le plaignant a reçu un SMS lui indiquant que son smartphone a été supprimé de la liste des appareils donnant accès à l’application de sa banque. Cela a alarmé le plaignant qui a immédiatement essayé d’appeler sa banque. Il a, par deux fois, contacté sa banque (21h26 et 21h28). La première fois, il a mis fin à la communication avant de s’identifier. La deuxième fois, il a mis fin à la communication avant de confirmer qu’il voulait bloquer ses instruments de paiement. À 21h32 et 21h39, le plaignant a appelé Cardstop. L’instrument de paiement a été bloqué par Cardstop à 21h39.
Les opérations non-autorisées du compte du plaignant vers les comptes des tiers ont eu lieu à 21h18, 21h22 et 21h30.
Une somme de 5.000 EUR a été récupérée par la banque. La banque refuse, toutefois, de libérer cette somme en faveur du plaignant. Dans un premier temps elle a invoqué que le plaignant n’avait pas signé et retourné une quittance subrogatoire. Dans un second temps, dans le cadre de la procédure de médiation, elle a invoqué que le Parquet a entamé une demande d’information vers la banque.
Les questions de l’ombudsman
L’Ombudsman demande l’avis du collège sur trois questions résumées de la manière suivante :
- Est-ce que les opérations du compte de la fille mineure vers le compte du père sont de simples actes d’administration ? Est-ce que la banque doit mettre en place un système qui permet d’éviter de vider le compte d’épargne d’un mineur vers le compte d’un parent pour respecter l’intérêt de l’enfant ?
- Quand est-ce que la notification (au sens de l’article VII. 38 CDE) de la fraude a eu lieu exactement ?
- Est que la banque a le droit de conditionner la restitution de la somme de 5.000 EUR à la signature d’une quittance de subrogation et de bloquer cette somme en application d’une demande d’information communiquée par le Parquet ?
Avis du collège
Quant à la deuxième question, le collège est d’avis que les opérations effectuées par le fraudeur à 21h18, 21h22 et 21h30, ont eu lieu avant la notification de la fraude au sens de l’article VII.38,2° CDE.
Il y a uniquement une notification, au sens de la loi, quand l’utilisateur de services de paiement a clairement informé la banque de la fraude et a demandé de bloquer l’instrument de paiement. Quand le plaignant a appelé la banque (21h26 et 21h28), il n’y a pas eu, à ce moment-là, une demande confirmée de bloquer l’instrument de paiement.
Bien que l’Ombudsman n’ait pas posé de questions concernant la négligence grave, le collège en a débattu. Le collège est d’avis que la seule communication des codes sur un site web frauduleux qui donnent la possibilité au fraudeur d’installer l’application de la banque, ne constitue pas en soi une négligence grave.
Dans le cas examiné, le plaignant a toutefois reçu, non seulement un SMS l’informant de l’installation, mais aussi un SMS avec un code d’activation personnel, valable pendant 10 minutes. Dans la mesure où l’utilisateur des services de paiement a communiqué un code personnel après avoir été clairement informé de l’installation de l’application sur un autre appareil, il y a une négligence grave du plaignant.
Bien que la négligence grave implique que le payeur est responsable sans aucune limitation (art. VII.44 §1, al.4 CDE), le collège est d’avis que la banque a commis une faute qui entraîne sa responsabilité pour les sommes qui étaient sur le compte du mineur.
Bien qu’en principe, les transferts de l’argent d’un compte d’épargne d’un mineur vers le compte d’un parent soient des actes d’administration qui ne requièrent pas l’autorisation du juge de paix, ni la signature des deux parents (art. 376 et 410 CC), les faits de l’espèce requerraient que la banque soit extrêmement vigilante, dans l’intérêt du mineur.
A une époque où les fraudes sont nombreuses, il résulte de l’obligation de prudence générale que la banque mette en place des systèmes qui évitent que, en quelques minutes, les sommes épargnées sur un compte d’un mineur puissent être transférées vers des comptes de tiers (fût-ce via le compte d’un parent).
Plus généralement, l'intérêt du mineur donne lieu à un devoir général de prudence. Cela signifie, qu'avant de transférer des sommes importantes sur le compte d'un parent, la banque devrait appliquer des mesures de vigilance renforcées, telles que par exemple l’obtention d’une confirmation téléphonique de l’instruction de virement (procédure de call back).
En ce qui concerne la troisième question, le collège est d’avis que la banque peut conditionner la restitution d’une somme récupérée dans un cas de fraude, à la signature d’une quittance subrogatoire. Toutefois, elle ne peut pas refuser la restitution au seul motif que le Parquet ait demandé de l’information en application des articles 28bis et 46quater §1 du code d’instruction criminelle. La situation serait évidemment différente en cas de saisie en bonne et due forme.
4. CONCLUSION DE L’OMBUDSMAN
L’Ombudsman fait sienne les conclusions du collège d’expert.
Il tient toutefois à préciser qu’en matière d’appréciation de la négligence grave, il y a lieu de prendre en considération l’ensemble des circonstances de fait et de contextualiser cette négligence grave, conformément à sa position développée notamment dans son dernier rapport annuel. Ceci signifie que le seul fait pour un utilisateur de services de paiement de recevoir deux SMS, soit un SMS informant de l’installation d‘une application et un SMS transmettant un code d’activation pour activer cette application, ce code étant utilisé pour ladite activation, ne suffit pas toujours, à lui seul, pour conclure à l’existence d’une négligence grave. Il doit aussi être tenu compte du mode de communication du code, du contexte général, des circonstances particulières de la cause pour apprécier l’existence d’une telle négligence dans le chef de l’utilisateur de services qui exonère la banque de toute intervention. L’Ombudsman se réserve sur ce point, toute faculté d‘appréciation dans les futurs dossiers qui lui seront soumis.
Ombudsfin rappelle par ailleurs l’analyse du Collège qui précise : « (…) l'intérêt du mineur donne lieu à un devoir général de prudence. Cela signifie, qu'avant de transférer des sommes importantes sur le compte d'un parent, la banque devrait appliquer des mesures de vigilance renforcées, telles que par exemple l’obtention d’une confirmation téléphonique de l’instruction de virement (procédure de call back). » et invite, à titre de recommandation, la banque à mettre en place ces mesures de vigilance renforcées. La banque dispose d’un délai de 30 jours pour nous répondre sur ce point.
Enfin, en ce qui concerne la récupération de la somme de 5.000,10 EUR, et comme l’indique le Collège, si la banque peut conditionner la restitution d’une somme récupérée dans un cas de fraude, à la signature d’une quittance subrogatoire, elle ne peut, en revanche, pas refuser la restitution au seul motif que le Parquet ait demandé de l’information en application des articles 28bis et 46quater §1 du code d’instruction criminelle. Ombudsfin attend donc de la banque qu’elle mette rapidement cette somme à sa disposition et relève que la quittance subrogatoire qui serait signée dans ce cadre doit être limitée à la somme de 5.000,10 EUR et ne peut porter sur l’intégralité du dommage subi dans le cadre de cette fraude.
Sur ce point aussi, la banque dispose de 30 jours pour faire part de son point de vue, que Ombudsfin fera évidemment suivre.
Après avoir recueilli l’avis du Collège repris ci-dessus, Ombudsfin se rallie à celui-ci et conclut donc au caractère non-fondé de sa plainte.
L’institution financière dispose d’un délai de 30 jours à compter de l’envoi du présent avis pour informer Ombudsfin de la suite qu’elle réservera à la recommandation reprise ci-dessus.
L’institution financière a fait part de sa volonté de tenir compte de la recommandation qui lui a été faite.