Services de paiement et opérations non autorisées: l’Ombudsman reconnait la responsabilité de la banque en matière de phishing

Dans un avis publié sur son site internet (ici), l’Ombudsman a reconnu la responsabilité de la banque lorsqu’un utilisateur est la cible d’un détournement de ses moyens de paiement par des techniques frauduleuses de « hameçonnage », communément appelé « phishing » (envoi d’emails) ou « vishing » (téléphone).

Cette technique d’escroquerie est de plus en plus répandue. Le scénario peut varier mais le modus operandi est souvent le suivant: une personne convaincante appelle ou adresse un email à une victime non avertie en se faisant passer pour un employé de sa banque lui signalant qu’il procède à une vérification des comptes; sans lui demander d’office son numéro de carte bancaire ou son numéro d’utilisateur (qu’il connait souvent déjà), l’escroc demande à la victime d’introduire sa carte dans son digipass et de communiquer le numéro généré par celui-ci.

Dans les faits ayant donné lieu à l’avis de l’Ombudsman, la victime n’est pas un utilisateur régulier des services de PC banking et ne manipule pas régulièrement son digipass. Il est contacté par un employé de son opérateur téléphonique qui va lui donner plusieurs instructions auxquelles il va obtempérer, en communiquant ses codes réponses générés par le digipass. Pendant son absence à l’étranger, le compte bancaire de la victime est débité lors de 14 opérations et le préjudice subit s’élève a 19.548,90 EUR.

La banque avait estimé qu’en suivant les instructions d’un inconnu et en lui communiquant des codes personnels, le requérant a commis une négligence grave, ce qui exonérerait la banque  de toute responsabilité.

Le litige a alors été soumis à l’Ombudsman. Les experts consultés ont commencé par apporter une précision importante relative aux règles applicables. Bien que le litige se soit déroulé avant la transposition de la directive PSDII en droit belge (avant le 9 août 2018), de sorte que seules les règles en vigueur à cette époque trouvent à s’appliquer, les experts rappellent que la Belgique a tardé à transposer la directive, de sorte que ces règles antérieures peuvent déjà être lues à la lumière de la transposition de PSDII en droit belge pour les opérations ayant été effectuées entre le 13 janvier 2018 et le 9 août 2019.

Les experts confirment ensuite être en présence d’une opération non autorisée exécutée à l’aide d’un instrument de paiement. Ils poursuivent leur analyse en indiquant que bien que le l’utilisateur ait fait preuve de négligence dans la transmission de données personnalisées (code réponse), la responsabilité ne peut lui être imputée. En effet, l’utilisateur, non habitué aux services de paiement digitalisé, ne pouvait pas être conscient qu’à la suite de la communication d’un code réponse, son interlocuteur pourrait se connecter à son compte et effectuer des opérations.

Les experts achèvent leur analyse en rappelant la disposition qui trouve à s’appliquer dans le cas d’espèce: « L’article VII. 36, §1 du Code du droit économique prévoit que le payeur ne supporte aucune perte (sauf si le payeur n’a pas satisfait à ses obligations de manière frauduleuse ou intentionnelle) si, au moment de l’opération contestée, le payeur était en possession de son instrument de paiement (en l’occurrence de ses moyens d’accès (digipass et code secret) qui lui permet de se connecter au système bancaire Internet. »

L’Ombudsman, se ralliant en tous les points au raisonnement tenu par les experts interrogés, a invité la banque à intervenir à concurrence du préjudice subi, soit une somme totale de 19.548,90 EUR.