Le consommateur est victime d’une fraude, mais la banque n’est pas responsable de la perte
M. E possédait un compte de chèques et d’épargne personnel auprès de la Banque Y. Il aimait la commodité d’utiliser les services bancaires en ligne sur son ordinateur portable et sur son téléphone cellulaire, et accédait souvent à ses comptes bancaires au moyen de l’application mobile de la Banque Y. Il recevait des notifications par courriel concernant les opérations effectuées sur son compte et aimait le fait qu’il pouvait confirmer le solde de ses comptes en ligne. M. E était client de la Banque Y depuis plus de 40 ans.
Un jour, M. E a reçu une notification l’informant que le solde de son compte de chèques était faible. Il s’est connecté à son compte pour vérifier la situation, et tout lui semblait normal. Peu de temps après, M. E a reçu une autre notification qui confirmait la réussite des virements électroniques envoyés à partir du compte. Ne reconnaissant pas les opérations dont il était question, M. E s’est inquiété d’avoir été victime d’une fraude.
M. E a utilisé les services bancaires en ligne pour accéder de nouveau à son compte. Selon les opérations effectuées sur son compte, 10 000 $ avaient été virés de son compte d’épargne vers son compte de chèques et deux virements électroniques équivalant à 3 000 $ avaient été envoyés. M. E a immédiatement avisé la Banque Y qu’elle devait signaler les opérations, et la banque a suspendu l’accès à ses comptes. La banque a également conseillé à M. E de se rendre à sa succursale.
En succursale, M. E a contesté les opérations. La succursale a transmis ses préoccupations au service des fraudes interne pour qu’il mène une enquête approfondie. Le service des fraudes a ensuite découvert que le numéro de carte de débit de M. E et le bon mot de passe avaient été utilisés pour effectuer le virement entre ses comptes. Les éléments de preuve indiquaient en outre que la Banque Y avait rempli son obligation de protéger M. E contre la fraude en lui envoyant un code à usage unique qui avait été saisi avec succès à partir de son téléphone cellulaire et avait permis de l’authentifier. En conséquence, la Banque Y a refusé de rembourser à M. E le montant de ses pertes financières.
M. E était d’avis que la Banque Y avait échoué à le protéger contre la fraude et que, en raison de sa fidélité, elle devait lui rembourser les fonds perdus.
Frustré par la situation, M. E s’est adressé à l’OBSI pour obtenir de l’aide.
Plainte rejetée
Au cours de notre enquête, nous avons examiné les détails de l’enquête menée par la Banque Y et avons interrogé M. E. Ce dernier a déclaré que ses appareils étaient protégés par un mot de passe, que tous ses mots de passe restaient confidentiels et qu’il était le seul à avoir accès à ses comptes bancaires. Il nous a déclaré qu’il n’avait reçu aucun courriel, appel téléphonique, ni message texte suspect au moment des opérations faisant l’objet de la plainte et qu’il n’avait pas reçu de code à usage unique sur son téléphone cellulaire.
La Banque Y nous a dit qu’elle avait fourni des protections contre la fraude : en plus d’un mot de passe protégeant les comptes de M. E, elle avait envoyé un code à usage unique sur son téléphone cellulaire et avait exigé la validation de son identité par l’authentification. La Banque Y nous a fourni des dossiers détaillés des opérations effectuées sur le compte de M. E. Ceux-ci montraient que le bon code à usage unique avait été saisi et que, par conséquent, les opérations avaient été dûment autorisées.
Nous avons conclu que si M. E n’avait pas autorisé les virements électroniques, une autre personne avait accédé aux renseignements relatifs à son compte et à son code à usage unique. De ce fait, M. E avait contribué aux opérations non autorisées en ne protégeant pas adéquatement ses comptes : une obligation importante décrite dans ses conventions de compte. Compte tenu des preuves, nous n’avions aucune raison de recommander une indemnisation.