Fraude via Apple Pay chez ING : les clients ne décolèrent pas

Carte bancaire ING

Après la publication d’un article concernant une arnaque dont fût victime une petite dizaine de clients d’ING, nous avons eu plusieurs questions et échanges avec différents interlocuteurs.

Les arguments avancés par les victimes de la fraude

Argument n°1 : “ING est responsable, car le numéro présenté est le leur !”

La banque n’a aucune responsabilité dans cette situation. Elle ne peut pas empêcher un tiers d’afficher son numéro de téléphone. Au même titre que lors d’une campagne de phishing, certains escrocs font afficher l’email de l’établissement bancaire, ce dernier ne peut interdire ou stopper cette pratique.
L’ARCEP confirme que, sur ce mécanisme d’usurpation d’un numéro ou d’un email, c’est à l’opérateur qui va présenter l’information de réaliser un filtrage. En clair, c’est donc l’opérateur utilisé par l’escroc qui doit empêcher ce type de comportement. Si l’opérateur effectuait ce type de protection, l’escroc n’aurait pu faire ce montage élaboré.

Argument n°2 : “Un employé d’ING a communiqué les coordonnées des clients !”

Au sein de tous les établissements financiers en France, il y a une politique de traçabilité. Celle-ci impose qu’on puisse savoir quel employé a accédé ou consulté un compte / profil client. Si un employé s’adonnait à de telles pratiques, ING aurait rapidement identifié ce dernier et pris des mesures tout en remboursant les clients.
Non seulement il est compliqué de choisir au hasard des « bonnes » victimes, mais en plus, un employé aurait beaucoup à perdre. En étant rapidement identifié, la banque se retournerait contre lui afin de lui faire supporter ses actes. Partant du principe qu’il n’y a rien à gagner, il parait certain qu’un employé n’est pas à l’origine de cette fraude.

Argument n°3 : “ING se soumet au dictat des États-Unis pour Apple Pay !”

À aucun moment les émetteurs comme ING ne se soumettent à un quelconque dictat des États-Unis ou de Visa & Mastercard pour le fonctionnement d’Apple Pay. Le fonctionnement est décidé par des autorités de tutelle comme l’EBA (l’autorité bancaire en Europe) sur les zones du globe où elles ont autorité.
Lorsque l’EBA décide d’une règle ou d’une procédure c’est même l’inverse, ce sont les réseaux qui doivent s’y soumettre. On trouve d’ailleurs dans les règles des réseaux beaucoup de règles en provenance de l’EBA, ainsi que des annexes qui précisent que cela ne concerne que le marché « Européen ».

Argument n°4 : “ING devait faire une authentification forte pour chaque paiement Apple Pay !”

Les éléments que nous avons en notre possession font état de paiements en lieu de vente, par exemple dans des hypermarchés ou auprès de spécialistes de l’électronique & électroménager. Dans ces situations, il n’y a pas de nouvelle authentification à effectuer, car elle s’est déjà opérée en amont lors de l’ajout de la carte dans Apple Pay.
Très encadré, le paiement mobile est considéré comme à risque et par conséquent, le « offline » lui est formellement interdit. Jamais Visa, Mastercard ou Amex ne toléreront le moindre dérapage sur les règles de sécurité. Les commerçants qui dérogent à ces mesures auront des sanctions, et Mastercard est le réseau qui tape le plus au portefeuille les commerçants qui ne rentrent pas dans le droit chemin.

Argument n°5 : “ING doit rembourser immédiatement, c’est la loi !”

Pour toutes les opérations antérieures à l’opposition auprès d’ING, la banque n’est soumise à aucune obligation de remboursement. Le Code Monétaire et Financier prévoit que si la banque a des éléments prouvant la fraude ou la négligence grave commise par son client, elle n’est pas tenue de rembourser les transactions contestées.
Le 1er juillet 2020, la Cour de cassation (arrêté 18-21487) confirmait que le fait de répondre à une correspondance douteuse était considérée comme une négligence du client. Par conséquent, la banque n’a pas à rembourser le client. Dans la mesure où ING a des preuves de l’activation d’Apple Pay par négligence de son client, la position d’ING semble légitime et compréhensible.

Argument n°6 : “ING aurait dû désactiver la carte ajoutée frauduleusement dans Apple Pay !”

On peut voir une part de responsabilité du client dans la mise en œuvre de la fraude. Il y a eu négligence en communiquant un code reçu par SMS pour activer Apple Pay.
Pour autant ING a sa part de responsabilité. Il est certain que lorsque le client enregistre formellement l’opposition avec ING, ce dernier n’est plus responsable des opérations frauduleuses qui seront autorisées après cette date.
ING aurait donc dû désactiver la carte dans Wallet qui reste administrativement corrélée à la carte physique. Donc en opposant la carte physique pour fraude, la virtuelle aurait dû être désactivée par ING, ce qui visiblement n’a pas été le cas vu qu’ils ont actualisé le jeton dans Apple Pay. Pour ces transactions autorisées postérieurement à l’opposition, ING n’aura pas de marge de manœuvre pour se soustraire au remboursement.

Argument n°7 “ING demande sur son serveur vocal notre identifiant et code !”

L’authentification chez ING, comme chez d’autres banques, requiert de s’authentifier sur un serveur vocal avec son identifiant de compte et son mot de passe. Ce mécanisme permet ainsi à l’employé qui va traiter votre appel d’être plus efficace en partant du principe qu’il échange avec le client. En cas de doute, il soumettra plusieurs questions afin de confirmer que l’appelant est bien le client.
Toutefois, ING ne demande pas de fournir oralement ces informations, mais demande la saisie en utilisant les touches de votre téléphone. Dans les témoignages recueillis, les victimes confient avoir donné à l’oral, après un « bip » les informations. Autre point, ING ne vous demande pas de divulguer à l’oral un code reçu par SMS pour activer un service.
La démarche des banques qui pratiquent ce mécanisme d’authentification, est donc très différente de celle entreprise par l’escroc. Il faut donc éviter de mélanger toutes les situations, au risque de créer une cacophonie.

Argument n°8 : “Je vais saisir le médiateur pour faire plier ING et me rembourser !”

Le médiateur est là pour donner un avis sur une difficulté commerciale entre un client et un prestataire. ING peut parfaitement ignorer la décision du médiateur et considérer que la position de ce dernier n’est pas conforme au droit. Dans une telle situation, ou si le médiateur ne va pas dans votre sens, vous devrez saisir le Tribunal d’Instance si votre préjudice est inférieur à 10 000€, ce qui est le cas dans les différents dossiers qui ressortent.
L’un des nombreux rôles du médiateur, et qui est le plus connu, c’est d’arbitrer des litiges. En règle générale, les organismes ont tendance à aller dans le sens du médiateur, mais il arrive qu’ils soient opposés et préfèrent donc laisser la décision entre les mains de la justice. Si l’affaire prend un tel tournant, la procédure peut s’avérer longue, d’autant que les voies de recours existent après une décision.

Argument n°9 “La presse parle de l’affaire, ING va plier pour éteindre l’incendie !”

Sur la globalité des chiffres, certaines sommes avancées tutoient les 50 000€ pour une dizaine de clients qui seraient concernés. Nous prenons ce montant avec précaution, car il semble un peu décorrélé du nombre de victimes et des plafonds par défaut pour les cartes ING. Toutefois, on va partir sur cette base pour le montant global de l’escroquerie, car ramené aux attaques de phishing, ce montant est insignifiant.
Alors oui, des articles de presse font état de la fraude, mais associent l’escroquerie au comportement d’une attaque de phishing ou d’un paiement frauduleux par internet. Les fraudes portent sur des transactions dites CDCVM, c’est-à-dire via un équipement mobile authentifié par le client via plusieurs dispositifs. Chez ING, il s’agit des données d’accès au compte bancaire, mais également d’un code temporaire à usage unique envoyé par SMS.
Nous sommes très loin d’un fonctionnement de fraude avec des paiements par internet ou de falsification / détournement / contrefaçon de la carte bancaire, comme le skimming. Dans ces 2 derniers cas, il est relativement simple d’obtenir le remboursement par sa banque, car celle-ci pourra se retourner contre le commerçant. Chose impossible dans le cas d’une transaction Apple Pay au sein d’un commerce physique.

Les questions des victimes

“ING refuse de me rembourser, que dois-je faire ?”

La première chose qu’on vous recommande, c’est d’obtenir de la part d’ING l’ensemble des éléments sur votre dossier. Notamment de vous détailler l’ensemble des transactions que vous contestez, en obtenant ainsi les dates et heures des opérations et le détail sur la manière dont s’est réalisé le paiement, ainsi que le lieu.
Fort de ces éléments, vous devez déjà intimer à ING de vous rembourser toutes les transactions frauduleuses postérieures à l’opposition. Une fois que vous avez formé cette opposition, c’est donc à la banque de prendre toutes les mesures afin que les nouvelles autorisations échouent.
Concernant les transactions antérieures à l’opposition, il vous faudra identifier le canal de la transaction. Si celle-ci est faite un point de vente physique, il n’y a pas d’opposition possible. Si des transactions sont effectuées à distance via le paiement Apple Pay par internet, vous pouvez effectuer un « chargeback » auprès d’ING. La banque devra donc diligenter la procédure, si vous initiez cette dernière dans un délai de 13 mois pour les paiements au sein de l’Union Européenne & Espace Économique Européen. Si la transaction est faite au profit d’un commerçant hors de cette zone, vous devez initier le chargeback dans les 70 jours, à compter de la délivrance du relevé de compte.

“On doit la fermer et dire merci à ING pour cette escroquerie ?”

Nous ne prônons absolument pas cette direction, toutefois, nous pensons qu’il faut respecter le stade des procédures. Dans un premier temps, formez une réclamation et demandez les éléments. Après cette première étape, si ING refuse d’accéder à votre demande, il faudra saisir le médiateur compétent pour ING.
Dans cet intervalle, il nous semble opportun de vous rapprocher également de votre protection juridique, généralement associée à un contrat d’habitation. Selon votre narration des faits, la décision de votre protection juridique sera orientée, c’est pourquoi, nous vous conseillons d’être totalement transparent avec eux et de bien détailler les faits. Évitez de verser des théories ou de vouloir expliquer que la ligne d’ING a été piratée, restez factuel !
Si vous contestez les décisions, rapprochez vous d’un avocat spécialisé, et voyez si votre protection juridique peut couvrir les frais mais gardez à l’esprit que la justice peut aller dans le sens d’ING. Si tel est le cas, vous serez probablement amené à indemniser ING, ce qui peut rajouter des frais à votre préjudice, surtout si vous faites appel de la décision.

“Je dois faire quoi alors pour espérer récupérer mon argent  ?”

Notre recommandation, est celle précédemment citée. Rappelez à ING que le Code Monétaire et Financier vous dégage de toutes responsabilité pour les transactions autorisées par ING postérieurement à l’opposition. Rappelez également à ING qu’il relève de leur responsabilité de ne pas substituer le « token » frauduleux par un autre dans Apple Pay, et que sur cette action, seul l’émetteur de la carte, donc ING, a la main.

Notifiez votre préjudice auprès des autorités en passant par la plateforme PERCEVAL en transmettant une copie à ING. Si vous le désirez, vous pouvez également porter les faits à la connaissance du Procureur de la République, dans la mesure où vous subissez un préjudice.

Si vous avez une protection juridique, soyez transparent avec eux, et n’hésitez pas à vous faire accompagner par leurs équipes, même si les premières dispositions qu’ils prendront vous sembleront un peu « bateau ».

Patientez le délai de réponse du service réclamation d’ING et leurs éventuelles observations. Si ING ne donne pas suite à votre réponse, et que certaines transactions se sont déroulées à distance, répondez à ING en sollicitant une procédure de « chargeback » pour toutes les transactions non autorisées. Sur ce point, le Code Monétaire et Financier sera de votre côté, car les paiements Apple Pay par internet ne sont pas considérés comme une « authentification forte », par conséquent, vous pouvez vous opposer à ces derniers dans les délais prévus. ING pourra toutefois vous laisser jusqu’à 50€ à votre charge pour les paiements Apple Pay par internet, à ne pas confondre avec ceux effectués en point de vente physique.
Après les différents retours, sollicitez le médiateur en expliquant votre situation, votre préjudice et transmettez en copie les éléments comme les réponses d’ING. La réponse du médiateur peut se compter en mois, il faut donc s’armer de patience et inutile de relancer le service, le dossier sera instruit.
Si après ces étapes, l’échec est le seul résultat que vous obtenez, il ne restera que la voie judiciaire. Il vous faudra donc évaluer votre préjudice, estimer les coûts d’une procédure si vous êtes débouté, y compris les frais que pourrait requérir ING à votre encontre. Une fois cette estimation en votre possession, seul vous pourrez peser le pour et le contre d’aller en justice.

Conclusion

A la lumière des différents éléments que nous avons eus, et les témoignages croisés, il nous paraît évident que le concours du client ING a joué un rôle majeur dans la mise en œuvre de cette fraude. Dans l’équipe, nous considérons que pour les paiements antérieurs à l’opposition, ING est dans les limites du droit. Le fait que le client communique un code à usage unique pour activer Apple Pay est assimilable à une négligence grave de ce dernier.
Sur les transactions postérieures à l’opposition effective, c’est-à-dire enregistrée par ING, c’est le client qui est dans son droit. ING n’aurait pas dû accepter les nouvelles autorisations, d’autant que le client d’ING n’a pas la main pour filtrer la provenance des autorisations, par conséquent, seul ING pouvait révoquer la carte déclarée dans Apple Pay.
Les cas de fraudes sont très divers, certains proviennent de phishing, d’autres de bases de données dérobées à diverses sociétés, d’autres tout simplement de fichiers achetés et listant des données personnelles… d’autres seront le fruit d’un détournement d’un site web qui permettra de capter les données de paiements saisies sur le site. Il y a énormément de sources pour les fraudes, et il devient difficile de déjouer toutes les situations hypothétiquement à risque. Il faut donc être extrêmement vigilant à toutes les communications entrantes, c’est-à-dire la réception d’un appel, un SMS, un mail et parfois même un courrier ou une visite à domicile.
Il n’est pas exclu que les victimes ici bénéficient d’un geste de la part d’ING ou du médiateur sur les transactions antérieures à l’opposition de leur outil de paiement. Selon les comportements, la banque peut tout de même prendre tout ou partie de la fraude à sa charge, considérant que son client est de bonne foi. Ce sera donc un geste, un effort commercial de la banque envers son client.