Fraude 20 000$: Banque Scotia blâme son client, médias aident

par

Un client canadien a été frappé par près de 20 000 $ en frais frauduleux sur sa carte de crédit l’an dernier, après avoir reçu un appel téléphonique falsifié sophistiqué. Malgré son insistance sur le fait qu’il n’avait pas partagé un code de sécurité crucial, la Banque Scotia l’a d’abord tenu responsable de la totalité du montant, soulignant les défis importants auxquels les clients peuvent être confrontés lorsqu’ils se battent contre les banques au sujet de la fraude et soulevant des questions sur la transparence et les normes d’enquête. Ce cas met en évidence le problème croissant de la fraude par carte de crédit et la responsabilité des institutions financières.

Contenu

L’appel falsifié et les frais suspects

Jordon Judge a reçu un appel en octobre, prétendant provenir de la Banque Scotia. L’appelant a utilisé la technologie de « falsification » (spoofing) pour faire apparaître le numéro comme étant un numéro de banque légitime. Le fraudeur a alerté M. Judge de deux frais suspects sur sa carte Visa, que M. Judge a confirmé n’avoir pas autorisés. L’appelant a prétendu qu’il bloquerait les frais.

Cependant, deux jours plus tard, M. Judge a découvert deux transactions importantes sur son relevé: une de 17 900 $ à Anglia Ruskin University au Royaume-Uni et une autre de 1 800 $ à quelqu’un nommé Paula S. Taylor.

« Ce n’étaient pas mes frais », a déclaré M. Judge à Go Public, exprimant son étonnement. Il croyait qu’il ne serait pas tenu responsable des transactions non autorisées.

La Banque insiste que le client était responsable

Malgré les affirmations de M. Judge, la Banque Scotia a d’abord insisté sur le fait qu’il était responsable des près de 20 000 $ en frais frauduleux, plus les intérêts accumulés.

Lire la suite : Lime : Trottinettes électriques au centre-ville de Vancouver

En vertu de la loi fédérale au Canada, la responsabilité du client pour les transactions par carte de crédit non autorisées est généralement limitée à 50 $, à moins que la banque ne puisse prouver que le client a fait preuve d’une négligence grave dans la protection de sa carte ou de ses informations. La position de la Banque Scotia impliquait qu’elle croyait que M. Judge était d’une manière ou d’une autre responsable au-delà de cette limite minimale.

Le rôle du code d’accès unique

Lors de l’appel falsifié initial, le fraudeur a demandé à M. Judge sa date de naissance et le nom de jeune fille de sa mère, qu’il a fournis. Surtout, le fraudeur lui a également demandé de partager un « code d’accès unique » (CAU) qui lui avait été envoyé par message texte pour autorisation.

M. Judge a déclaré avoir refusé de partager ce code parce que le message texte l’avait explicitement averti de ne pas le divulguer à qui que ce soit, y compris aux représentants de la Banque Scotia.

Message texte du code d'accès unique de la Banque Scotia avertissant le client de ne pas partager le code lors d'une transaction par carte de crédit.Message texte du code d'accès unique de la Banque Scotia avertissant le client de ne pas partager le code lors d'une transaction par carte de crédit.

Lire la suite : Google Cloud: La gestion API cause une panne majeure

Malgré le refus de M. Judge de partager le code, les examens internes de la Banque Scotia ont continué de lui imputer la responsabilité. Des lettres du Bureau de l’escalade des préoccupations des clients (ECCO) et du Bureau des appels des plaintes des clients de la banque ont cité l’utilisation d’un code d’accès unique pour les frais universitaires, affirmant que le fait que le code ait été envoyé au téléphone de M. Judge « indique » ou « suggère » qu’il a été divulgué.

Les experts remettent en question l’enquête de la Banque Scotia

Le manque de preuves claires de la banque et le fait de s’appuyer sur des inférences ont suscité des critiques de la part d’experts et de groupes de défense des droits.

Geoff White, directeur exécutif du Public Interest Advocacy Centre, a jugé « préoccupant » que la Banque Scotia ait tenu M. Judge responsable sans fournir de preuves concrètes. « Une preuve qui peut ‘suggérer’ quelque chose n’est pas une preuve d’un fait », a déclaré M. White. Il a fait valoir qu’il incombe aux institutions financières de sécuriser leurs systèmes et leurs processus, et non aux individus de prouver leur innocence.

L’expert en cybersécurité Claudiu Popa, avec 35 ans d’expérience, a examiné la correspondance de la Banque Scotia. Il a déclaré que la banque n’avait pas démontré avoir mené même une « enquête de base », qui impliquerait généralement l’examen de journaux horodatés indiquant quand un CAU a été reçu et quand il a été saisi. M. Popa a noté que de telles preuves n’ont jamais été fournies par la banque.

Lire la suite : Panne Google Cloud : La gestion des API mise en cause

Geoff White, directeur du Public Interest Advocacy Centre, commentant la responsabilité des banques dans les cas de fraude par carte de crédit.Geoff White, directeur du Public Interest Advocacy Centre, commentant la responsabilité des banques dans les cas de fraude par carte de crédit.

M. Popa a également contredit l’affirmation de la Banque Scotia selon laquelle les codes d’accès uniques sont un moyen de dissuasion éprouvé contre la fraude, expliquant que les codes envoyés par courriel ou SMS sont vulnérables à diverses compromissions, notamment les logiciels malveillants, les logiciels espions et le piratage de carte SIM, les rendant moins sécurisés que les applications d’authentification.

La vulnérabilité des codes d’accès par SMS

Le Centre antifraude du Canada (CAFC) recommande également l’utilisation d’applications d’authentification plutôt que des codes d’accès par SMS ou courriel. Jeff Horncastle, porte-parole du CAFC, a expliqué que les applications d’authentification génèrent des codes d’accès sensibles au facteur temps qui ne sont pas susceptibles à l’échange de carte SIM ou à l’interception de messages texte/courriels, ce qui peut permettre aux fraudeurs d’accéder à ces codes.

Des groupes de défense des consommateurs comme Option consommateurs au Québec font pression sur le gouvernement fédéral pour renforcer les protections des consommateurs dans le secteur bancaire. Ils proposent que la Loi sur les banques rende obligatoire la transparence dans les enquêtes bancaires et clarifie qu’il incombe à la banque de prouver lorsqu’elle allègue qu’un client a été extrêmement négligent.

Lire la suite : Panne Google Cloud : un défaut API paralyse des services

L'expert en cybersécurité Claudiu Popa parle des enquêtes sur la fraude bancaire et des exigences en matière de preuves.L'expert en cybersécurité Claudiu Popa parle des enquêtes sur la fraude bancaire et des exigences en matière de preuves.

Comment M. Judge a finalement récupéré son argent

La situation a changé après l’implication du média Go Public.

Go Public a contacté Anglia Ruskin University au sujet des frais de 17 900 $. Un représentant de l’université a confirmé que la Banque Scotia ne les avait jamais contactés concernant la transaction – un détail qui a encore plus surpris l’expert en cybersécurité, M. Popa, qui estimait que la banque avait l’obligation d’enquêter sur de telles pistes.

Suite aux demandes de renseignements de Go Public, l’université a mené sa propre enquête et a par la suite remboursé M. Judge pour les frais de 17 900 $. Ils n’ont pas fourni de détails sur leurs conclusions.

Lire la suite : Chômage étudiant record au Canada : Ottawa augmente son soutien

Go Public a également demandé à plusieurs reprises à la Banque Scotia les preuves étayant sa décision de tenir M. Judge responsable. Bien que la banque n’ait pas répondu directement à ces demandes de renseignements, elle a finalement crédité le compte de M. Judge pour les frais restants de 1 800 $ à « Paula S. Taylor » et les intérêts qui s’étaient accumulés sur les deux transactions.

M. Judge n’a reçu aucune explication de la part de la Banque Scotia pour ce revirement après des mois de lutte. Il avait précédemment refusé un « geste commercial » de 200 $ de la banque qui l’aurait obligé à retirer sa plainte. M. Judge a exprimé sa frustration que l’intervention des médias ait apparemment été nécessaire pour que la banque traite entièrement le problème.

Répercussions pour les autres clients

Bien que Jordon Judge ait finalement été entièrement indemnisé après un calvaire de huit mois, son expérience met en évidence une préoccupation majeure : la difficulté que les clients peuvent rencontrer pour contester les décisions bancaires concernant la fraude, surtout lorsque les banques manquent de transparence ou ne fournissent pas de preuves claires.

L’expert en cybersécurité Claudiu Popa craignait que de nombreuses autres personnes dans des situations similaires n’aient pas les ressources ou la capacité de faire pression sur leurs institutions financières pour obtenir transparence et résolution. Cela suggère que des individus pourraient être « victimes en silence » d’une fraude sophistiquée et de processus bancaires opaques.

Ce cas renforce l’importance de comprendre les politiques de fraude de votre banque, d’être vigilant face aux arnaques, et potentiellement d’exiger des explications détaillées et des preuves si vous devenez victime. Il ajoute également du poids aux appels à des réglementations plus strictes exigeant la transparence et plaçant la charge de la preuve sur les banques dans les cas de responsabilité en cas de fraude contestée.