«Je suis encore abasourdi par ce qui m'est arrivé», confie Reto Pfammatter* à Blick. Ce Suisse a été victime d'une escroquerie qui lui a complètement gâché la période de l'Avent. Des criminels ont utilisé un stratagème perfide pour obtenir un crédit à son nom auprès de la banque suisse de crédit à la consommation CembraPay. Ils ont ainsi voyagé en train avec les CFF à ses frais… jusqu'à Paris.
Les escrocs n'avaient besoin que du nom et de l'adresse de Reto Pfammatter. Après avoir mené l'enquête, c'est bien à cause d'une faille de sécurité chez CFF et CembraPay que le Suisse s'est fait avoir. Et n'importe qui pourrait l'exploiter. Mais reprenons depuis le début.
Nous sommes fin novembre lorsque Reto Pfammatter trouve dans sa boîte aux lettres un rappel de CembraPay. Il doit payer 457,50 francs pour un achat qu'il aurait effectué récemment auprès des CFF. Blick a pu voir la lettre. «J'ai tout de suite eu des doutes», raconte Reto Pfammatter. «Je n'ai jamais utilisé CembraPay, et je ne prends pas le train dans une mesure qui justifierait un tel montant.»
«C'est indécent!»
Il fait donc une réclamation. D'abord auprès de CembraPay, puis auprès des CFF. Et tombe immédiatement sur des oreilles attentives. «Chez CembraPay, on m'a dit au bout de dix secondes que j'avais probablement été escroqué. Aucune autre question n'a été posée et le service clientèle n'a pas douté une seconde de mon histoire», se souvient Reto Pfammatter. Interrogé, le service clientèle de CembraPay, puis celui des CFF, ont confirmé que ce problème était connu et qu'il se produisait de temps en temps.
Mais l'affaire n'était pas réglée pour autant. «CembraPay m'a indirectement menacé au téléphone. Je devais soit porter plainte auprès de la police, soit payer moi-même la facture.» Reto Pfammatter est irrité. «Bien que je sois la victime, je me retrouve soudain dans l'obligation de fournir des preuves. Que je me retrouve dans une telle situation à cause d'une erreur dans leur système, c'est indécent.»
Comment fonctionne l'arnaque?
Mais comment a-t-il été impliqué dans cette affaire? Selon notre enquête, les escrocs ont créé un compte CFF au nom et à l'adresse de Reto Pfammatter. Toutes les autres données, telles que la date de naissance, le numéro de téléphone et l'adresse e-mail, étaient falsifiées et ne correspondaient donc pas à la réalité.
Avec ce compte, les criminels ont acheté des billets de train pour Paris au nom du Suisse. Et ils ont payé directement sur le site en ligne des CFF avec la méthode de paiement CembraPay. C'est ainsi que les frais se sont élevés à 457,50 francs. «Je n'arrivais pas à croire que des escrocs puissent monter une telle arnaque en utilisant uniquement le nom et l'adresse. Et cela avec les CFF!», s'insurge Reto Pfammatter.
Les chemins de fer fédéraux sont partenaires de CembraPay et permettent à leurs clients de régler leurs factures avec un crédit et quelques clics. Reto Pfammatter est tellement choqué par l'arnaque qu'il se renseigne à plusieurs reprises auprès de la banque zurichoise de crédit à la consommation, et finit même par envoyer une lettre recommandée.
«J'ai été repoussé à plusieurs reprises. Mais en début de semaine, j'ai enfin reçu une réponse», dit-il, soulagé. Blick a pu consulter la lettre. CembraPay y admet que les criminels n'ont utilisé que le nom et l'adresse corrects de Reto Pfammatter. «Aucun document n'a été déposé et n'est nécessaire», écrit CembraPay. Un «contrôle de solvabilité» est effectué avec le nom et l'adresse. De plus, lors de l'enregistrement, un code est envoyé sur le numéro de téléphone portable enregistré.
Les CFF veulent combler la faille de sécurité
Blick a confronté les CFF et CembraPay à ces révélations. Les chemins de fer fédéraux se montrent compréhensifs. Ils ont connaissance de «quelques cas isolés». Mais il pourrait exister bien plus de cas non déclarés. «Nous n'avons pas encore assez de recul, l'ensemble du traitement des factures et la prise en charge des créances passent par CembraPay», déclare la porte-parole Fabienne Thommen.
Les CFF reconnaissent cette faille de sécurité. Ils promettent une amélioration auprès de Blick. «Des mesures visant à améliorer la sécurité de cette transaction sont actuellement en cours d'élaboration.»
La communication de CembraPay se montre moins ouverte. L'entreprise est restée floue dans ses réponses à nos questions. «Ce comportement constitue un délit qui peut être sanctionné par une peine d'emprisonnement allant jusqu'à cinq ans, voire dix ans en cas de professionnalisme», fait savoir la porte-parole Ornella D'Andrea. Les cas de fraude par usurpation d'identité sont «très rares». Mais le montant est alors «naturellement annulé».
«L'arnaque est simple»
Une moquerie, selon Reto Pfammatter. CembraPay a maintenu l'obligation de déposer une plainte pénale contre X auprès de la police. Reto Pfammatter l'a fait et a envoyé la copie à la société de crédit. Et n'a pas eu de nouvelles pendant des semaines. Trois heures après que Blick a confronté CembraPay à l'affaire, Reto Pfammatter a reçu un e-mail dont Blick a eu connaissance. «Les créances à votre nom ont été annulées», peut-on y lire.
L'affaire ne laisse pourtant pas Reto Pfammatter en paix. «L'arnaque est simple… tout le monde peut en être victime. Ce sont surtout les personnes âgées ou inexpérimentées qui paient une telle facture. Si ma situation financière était meilleure, j'aurais depuis longtemps fait appel à un avocat pour faire examiner les faits en détail. La pensée du nombre d'autres personnes potentiellement lésées par cette faille de sécurité me met vraiment en colère.»
*Nom modifié par la rédaction
