Cette faille dans la sécurité des CFF et de leur partenaire Cembrapay est comme un cadeau de Noël prématuré pour les escrocs. Reto Pfammatter* en a fait les frais. Il a été victime d'une arnaque perfide révélée mercredi par Blick.
Des criminels ont créé un compte CFF uniquement avec son nom et son adresse – toutes les autres données étaient falsifiées. Grâce à la méthode de paiement Cembrapay, ils ont pu acheter des billets de train à crédit. La facture de 450 francs est arrivée peu après chez Reto Pfammatter, qui ne se doutait de rien. «Je suis encore abasourdi par ce qui m'est arrivé», confie-t-il à Blick.
Connaissance du problème
«Pour un service nouvellement lancé comme Cembra – depuis 2023 – une telle chose ne doit tout simplement pas se produire», déclare Sara Stalder, directrice de l'association de protection des consommateurs. Ce qui la dérange particulièrement, c'est que «Cembrapay était parfaitement conscient de cette problématique». En effet, l'entreprise zurichoise écrit dans ses conditions générales de vente (CGV): «En outre, Cembrapay n'assume aucune responsabilité pour les dommages résultant d'une utilisation abusive des données.»
«Voilà que ce géant de la finance reporte – de manière irresponsable – la responsabilité sur la clientèle. Cembrapay serait dans l'obligation de proposer une solution sûre», assène la directrice de l'association. Le fait que l'entreprise se défausse de sa responsabilité montre également à quel point elle est intouchable. «Ils peuvent se le permettre, car ils ont une position dominante sur le marché.»
Un expert juridique donne des conseils
L'avocat bâlois Moritz Gall est, lui aussi, certain que Cembrapay et les CFF ont connaissance depuis longtemps de la faille de sécurité. «C'est sciemment accepté par Cembrapay et, dans ce cas, par les CFF. Ils savent que le système n'est pas sûr et qu'il y aura des abus.» Comme de nombreuses personnes concernées finissent par payer malgré tout, le compte est bon, finalement. «On peut considérer des risques entrepreneuriaux, mais certainement pas au détriment des consommateurs», estime Moritz Gall.
D'un point de vue juridique, la situation est différente de celle que Cembrapay fait miroiter aux victimes. Dans le cas de Reto Pfammatter, les choses se sont passées ainsi. Récapitulons. «Cembrapay m'a indirectement menacé au téléphone. Je devais soit porter plainte auprès de la police, soit payer moi-même la facture. Bien que je sois la victime, je me retrouve soudain dans l'obligation de fournir des preuves. Que je me retrouve dans une telle situation à cause d'une erreur dans leur système est indécent.»
L'expert juridique Moritz Gall est indigné. «L'obligation de preuve incombe au service de facturation – donc dans ce cas à Cembrapay – et non à la personne concernée.» Les victimes ne doivent pas s'engager dans de longues discussions, martèle-t-il. «Si Cembrapay n'apporte pas la preuve, les victimes n'obtiendront pas gain de cause devant le tribunal avec leur demande d'argent. Mais l'entreprise le sait et ne laissera pas les choses s'envenimer à ce point», estime Moritz Gall.
Que font les CFF?
Une chose est sûre, les CFF essaient maintenant de combler la faille de sécurité. Ils sont en contact avec Cembrapay afin que «des mesures soient prises le plus rapidement possible», a déclaré jeudi un porte-parole interrogé par Blick. Comment se présentent-elles concrètement? Les CFF restent discrets sur ce point. Ils communiqueront lorsque les mesures seront définies.
Pour les Chemins de fer fédéraux, une fin de collaboration avec Cembrapay n'est pas encore une option, car ils sont juridiquement liés. Le porte-parole le confirme: «Les CFF ont un contrat en cours avec Cembrapay.»
* Nom modifié par la rédaction
