»UOKiK est en guerre avec les banques. Parce qu’ils ignorent les clients arnaqués en ligne – Niebezpiecznik.pl –

En Pologne, nous avons une loi qui oblige les banques à restituer l’argent aux clients volés (article 46 de la loi sur les services de paiement). Mais – quelle surprise ! – les banques en Pologne hésitent depuis des années à se conformer à ces réglementations 😉 Pourquoi les ignorent-elles ? Parce qu’ils le peuvent et que cela leur rapporte. Parfois, ils perdent un procès, mais il vaut mieux perdre un client têtu que de rembourser des centaines de personnes qui ont été escroquées par des cybercriminels. UOKiK a décidé de faire quelque chose et les banques ne vont probablement pas aimer ça…

Mieux vaut maintenant que jamais

Dans l’affaire Niebezpiecnik, nous avons attiré l’attention sur le fait que les banques polonaises interprètent les dispositions de la loi sur transactions non autoriséesen d’autres termes, voler l’argent des comptes d’utilisateurs. Que dit la loi?

Si quelqu’un effectue un virement depuis votre compte à votre insu, une telle transaction est illégale et la banque est tenue de restituer l’argent à la personne volée dans un délai d’un jour ouvrable.

Avant de crier, mais ça ne sert à rien, car les victimes sont souvent terriblement naïves (ou pire, ça « ces idiots qui attrapent le phishing sont de leur faute et doivent être traités« ), Notez qu’une telle construction de la loi a du sens. Cela oblige les banques à appliquer le principe de la « sécurité d’abord ».

Car, au regard de la loi, la banque est un acteur professionnel du marché des services bancaires et c’est lui qui doit en assurer la sécurité.

  • Si la banque abuse du marketing (par exemple, apprend aux gens à cliquer sur des liens étranges dans les e-mails) ou facilite trop les procédures d’accès à l’argent (cf. Ils ont volé un client mBank via une application mobile parce qu’ils connaissaient son numéro PESEL et celui de sa mère nom de jeune fille), il se le doit et doit le payer.
  • Si la banque ne surveille pas les transactions à la recherche d’anomalies et ne peut pas détecter les transferts de fonds suspects, elle devrait assumer la responsabilité des pertes ainsi subies par les clients.
  • Actuellement, de nombreuses banques obligent même leurs clients à utiliser leurs systèmes, qui sont compliqués. Sans s’assurer que le client comprend vraiment ce qui se passe et quelles peuvent être les conséquences de certaines actions. Si la banque n’éduque pas ses clients, ne prévient pas de nouveaux types d’attaques, ne sensibilise pas aux comportements incorrects, elle ne peut reprocher à ses clients de l’avoir contactée.

Voilà pour la théorie. Dans la pratique, la loi sur les services de paiement traite d’un autre problème. Et c’est exactement ce sur quoi les banques fondent leur refus de porter plainte au nom de clients spoliés par des cybercriminels.

« La négligence grave » – ​​l’arme secrète des banques

Bien que, comme nous le savons déjà, la banque soit en principe responsable du vol d’argent sur le compte, la situation est différente si le client a effectué ce que l’on appelle négligence grave. Ainsi, les banques allèguent presque toujours une négligence grave.

Le client a-t-il été infecté par un logiciel malveillant ? Peu importe qu’il ait un antivirus et qu’il utilise un ordinateur séparé pour un compte auquel personne n’a accès. Une fois qu’il a attrapé le logiciel malveillant, il a été négligent ! (cette histoire est vraie et est tirée de l’une des affaires judiciaires que la banque a perdues).

UOKiK tire un coup de fouet

Cependant, UOKiK a souligné que la simple référence à une négligence grave ne devrait faire aucune différence. Pourquoi? Parce que même si la soi-disant négligence extrême se produisait de la part du client, la banque devrait d’abord restituer l’argent au client, puis seulement exiger sa restitution, en alléguant une négligence grave et éventuellement en poursuivant le client.

Les banques, cependant, choisissent une interprétation différente – elles ne rendent pas du tout l’argent. Bien sûr, la victime d’un crime peut aller en justice dans cette situation, mais tout le monde n’a pas la force et l’argent pour lutter contre un différend à long terme avec la banque (voir : La banque doit rembourser 107 000 PLN à la victime de phishing. Ils ont volé de l’argent sur mon compte et ensuite ? Leur loi et leurs banques.)

Dans un autre cas que nous avons décrit, la banque a affirmé en réponse à la plainte que … les dispositions de la loi sur les services de paiement ne s’appliquent pas à ces questions (voir Comment ils ont volé de l’argent sur mon compte et ce que ma banque a dit).

Nous savons que la loi peut être discutée et interprétée de diverses manières, que les clients ne sont parfois pas des saints et qu’ils ont les oreilles derrière eux, mais il faut objectivement admettre que certaines des réponses des banques aux clients étaient vraiment de bas niveau.

UOKiK est du côté des victimes

Dans son annonce, UOKiK cite l’histoire d’un retraité qui a tranquillement épargné pendant 30 ans, puis s’est soudainement connecté à un compte et a ordonné un transfert rapide d’argent à l’étranger. Oui, les gens font des choses étranges avec de l’argent, mais nous convenons tous qu’un tel comportement s’écarte de la « norme », donc la banque dans cette situation aurait pu soumettre la transaction à une vérification supplémentaire, ce qui est souvent le cas. La banque appelle alors le client, l’authentifie (parfois de manière très naïve, mais c’est le sujet d’un autre article) et demande si le client a vraiment commandé la transaction anormale.

L’UOKiK a annoncé avoir déjà recueilli des preuves permettant d’accuser cinq banques d’avoir violé les intérêts collectifs des consommateurs.

  • Banque Millenium,
  • BNP Paribas Bank Pologne,
  • Crédit Agricole Bank Polska,
  • mBank,
  • Banque Santander Polska.

Selon Tomasz Chróstny, président de l’UOKiK :

Les accusations portées contre les 5 premières banques concernent, entre autres, le non-restitution de l’argent aux consommateurs provenant de transactions non autorisées dans le délai légal, bien qu’aucune circonstance ne se soit produite qui libérerait la banque de cette obligation.

En plus de la négligence grave susmentionnée, les circonstances dont les banques peuvent profiter et qui, selon l’UOKiK, ne se sont pas produites, sont le rapport du client trop tard (plus tard après 13 mois) ou le soupçon fondé de fraude par le présumé. client lésé, et la banque doit informer la police ou le parquet.

Médiateur financier : les banques paient rarement

D’ailleurs, il convient de rappeler que le Médiateur financier (qui pendant des années a été la seule institution qui a essayé de rendre public le problème de la « grosse négligence ») a publié des analyses intéressantes. Ils montrent que certaines banques n’ont réussi que dans quelques cas à restituer de l’argent pour plusieurs centaines de transactions non autorisées signalées.

Nous ajouterons que, oui, nous avons entendu parler de cas de restitution, même si la plupart du temps il s’agissait de personnes ayant des économies plus importantes à la banque, si le vol ne concernait qu’une partie des fonds. Ou ceux qui, en train de se plaindre à la banque, ont ajouté l’adresse de notre salle de rédaction au message, et en réponse (uniquement au client, pas à nous), la banque a proposé de restituer les fonds volés, mais à la condition que le client signe un accord de confidentialité et autorise la publication de la description de ce vol (et remboursement) dans la presse 🙂

Qu’est-ce qu’une « négligence grave » ?

Cette malheureuse « grosse négligence » semble être au coeur du litige entre banques et clients arnaqués.

Selon les décisions de justice, pour flagrant la négligence peut être considérée comme une action qui a été ignorer sciemment, imprudemment et explicitement les règles de sécurité. Par conséquent, il ne peut pas s’agir d’une violation « évidente » si vous tombez dans le piège du phishing (car ce n’est pas un acte intentionnel) ou si vous êtes victime d’un malware. Les tribunaux ont jugé à plusieurs reprises que si des centaines de personnes sont escroquées dans une campagne par des criminels, il est difficile de considérer qu’un seul cas de vol est clairement différent de quelque chose qui se produit tout simplement.

Les banques ont une vision différente de la négligence grave. Et cela ne surprendra probablement personne… Heureusement, toutes les banques n’embauchent pas uniquement des personnes qui ne veulent pas du tout aider les victimes de cybercriminels… Beaucoup le font, mais pas toujours un client sans faille. Cela aide souvent beaucoup les criminels.

Dans de nombreux cas, par exemple les attaques populaires contre OLX / Vinted, les utilisateurs copient les codes du SMS sur les pages remplacées, comme pour confirmer la transaction, bien que le texte du SMS indique clairement que le code est pour autre chose entièrement (par exemple activation d’une application mobile ou d’un destinataire dit défini).

Bien qu’il soit compréhensible que quelqu’un ne remarque pas la transition vers une page de phishing, la banque devrait-elle fermer les yeux sur le fait que quelqu’un n’a pas lu le contenu du SMS dans son intégralité, mais en a seulement copié le code ? Un contenu qui vous permet simplement de savoir que quelque chose ne va pas ?

Certaines banques se concentrent sur l’éducation

Dans certaines banques – et même dans les succursales de celles que l’UOKiK a stigmatisées dans l’annonce d’hier -, il y a des gens qui savent que pour limiter efficacement les pertes financières des clients, non seulement la banque doit disposer de systèmes de sécurité appropriés, mais aussi le client doit être éduqué.

Ces dernières années, certaines banques ont fini par sortir la tête du sable. Les services de relations publiques ont cessé de prétendre qu’il n’y a pas de problèmes et que personne ne vole leurs clients sur Internet.

La campagne à la télévision a été réalisée par mBank afin d’être prudent lors des opérations bancaires en ligne. ING et BNP Paribas forment également régulièrement leurs clients dans le domaine de la sécurité bancaire. On se souvient aussi de la campagne interactive d’Alior sur Internet. Les clients de probablement toutes les banques sont bombardés d’avertissements sur les pages de connexion (même s’il faut avouer que certains d’entre eux sont tellement mal écrits qu’on n’a aucune idée de quoi ils parlent, encore moins un client régulier…)

Mais cette formation est facultative. Pour les bénévoles. Peut-être est-il temps d’introduire non seulement un meilleur suivi des transactions en termes d’anomalies et de fraudes dans les banques, mais aussi la nécessité de former le client ?

D’autant plus que les attaques récentes portent de plus en plus sur le client, trompé par l’ingénierie sociale, il se fait cambrioler. En raison du problème de contrefaçon toujours non résolu en Pologne, il pense être appelé par un responsable de banque.

Dans ces cas, toutes les transactions sont effectuées à partir de l’appareil du client, de son adresse IP et sont dûment autorisées. C’est là que l’analyse des anomalies peut tout simplement échouer… Juste la sensibilisation des clients est capable de le protéger. Cependant, ce sont les banques qui devraient être responsables de cette prise de conscience, et non le client lui-même.

Est-ce la fin du problème du consommateur ?

Bien que nous soyons très satisfaits de l’intervention de l’UOKiK, car nous nous attendons à ce qu’elle implique des budgets plus importants pour les services anti-fraude des banques, nous ne nous faisons pas d’illusions sur le fait que la situation des victimes s’améliorera rapidement. Ceux qui ont déjà été volés doivent encore poursuivre les banques (bien que la publication du sujet et l’intervention de l’UOKiK puissent être un argument en justice).

Par conséquent, cela vaut non seulement la défense de vos droits, mais cela vaut également la peine de prendre soin de vous afin de ne pas vous faire voler. Le moyen le plus simple est de simplement vous inscrire à nos CYBERALERTS – des alertes gratuites sur la façon dont les cybercriminels tentent actuellement de voler des Polonais, ainsi que des descriptions des méthodes et des éléments à surveiller pour ne pas perdre d’argent en ligne.

Ne vous inquiétez pas, nous ne partagerons vos informations avec personne. De temps à autre, en plus des avertissements sur les attaques en cours, vous pouvez recevoir de notre part d’autres informations relatives à la sécurité (par exemple, une invitation à un webinaire sur la sécurité Internet). Si vous aimez lire sur le RGPD, cliquez ici.

Nous vous invitons également à regarder notre chaîne YouTube, où nous expliquons en quoi consistent certaines des attaques contre les clients des banques. Ça vaut la peine de la regarder et de l’envoyer à tous les amis, surtout cette vidéo – car cette arnaque fait chaque jour plusieurs dizaines de victimes depuis 2 ans…

Lire aussi :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.