Le juge a conclu que PSG Wealth Financial Planning n’avait pas respecté sa propre politique de protection des clients contre la cybercriminalité
DOSSIER : Un juge a constaté que PSG Wealth Financial Planning n’avait pas respecté sa propre politique de protection des clients contre la cybercriminalité. Photo : NY-State-Computer-and-Cyber-Crime-Defense-Attorney.jpg
Par Tania Broughton.
Cet article est paru pour la première fois sur Ground Up.
- PSG Wealth Financial Planning a été condamné à payer à un client plus de 800 000 rands volés par des fraudeurs via la cybercriminalité par e-mail.
- Les fraudeurs avaient piraté l’e-mail d’un client et demandé par e-mail que les parts d’investissement du client et une partie de l’investissement de sa femme soient versées sur un nouveau compte bancaire.
- Le PSG a fait valoir que s’il avait le devoir de protéger l’argent du client, il ne pouvait être tenu responsable des pertes dans des circonstances où le client avait été piraté.
- Mais le juge a estimé que le PSG n’avait pas respecté sa propre politique de protection de ses clients contre la cybercriminalité.
La Haute Cour de Johannesburg a ordonné à une société de services financiers de payer à un client plus de 800 000 rands volés par des fraudeurs via la cybercriminalité par e-mail.
La juge Denise Fisher a statué en faveur de Jan Jacobus Gerber qui a poursuivi PSG Wealth pour la perte qu’il a subie en raison du transfert électronique illégal d’argent destiné à sa retraite qu’il avait investi dans l’entreprise.
Le juge Fisher a déclaré qu’il était devenu courant pour les affaires d’être menées par e-mail et qu’il était désormais courant que ces e-mails soient consultés à distance par des fraudeurs. Elle a déclaré que la compromission des e-mails professionnels (BEC) était devenue monnaie courante et que les deux parties avaient été victimes de la fraude.
« La question est de savoir qui devrait supporter les pertes », a-t-elle déclaré.
Le juge Fisher a déclaré que Gerber avait un portefeuille d’actions géré par le PSG, par l’intermédiaire de son représentant Jonathan Fisher, depuis plus d’une décennie.
Gerber avait un portefeuille d’actions et de liquidités avec des investissements totalisant 855 413 rands en septembre 2019. Cela pourrait être liquidé et payé à la demande de Gerber.
Le juge a déclaré que le contact entre Fisher et Gerber était rare. Les transactions n’impliquaient pas plus qu’un relevé mensuel, détaillant l’activité de son compte, envoyé par e-mail à Gerber.
Puis, en octobre 2019, il y a eu une « demande quelque peu inhabituelle » lorsque Fisher a reçu un e-mail, prétendument de Gerber, demandant de liquider 250 000 rands. L’e-mail a également fourni les détails d’un nouveau compte bancaire avec FNB.
Fisher a répondu par e-mail, demandant la confirmation du nouveau compte. Un e-mail a été renvoyé, contenant une lettre, apparemment de la FNB, qui semblait porter un cachet bancaire officiel et indiquait que le compte avait été ouvert en 2002.
Le juge Fisher a déclaré que les succursales du PSG étaient gérées selon un système de franchise et, dans le cadre de cet accord, avaient accès à un service client central qui pouvait vérifier les détails du compte bancaire. Les détails du compte FNB ont été envoyés pour vérification. Le rapport est revenu que l’identité attachée au compte FNB ne correspondait pas aux détails de Gerber. Il a montré que le compte n’avait en fait été ouvert que moins de trois mois auparavant, et que le numéro de téléphone et l’adresse e-mail n’étaient pas valides.
Cependant, Fisher a déclaré que ces rapports de vérification n’étaient souvent pas fiables. Son assistant personnel Jocelyn van Stavel a envoyé un e-mail à Gerber pour confirmer qu’il s’agissait de son compte.
« Sans surprise, la réponse de l’e-mail piraté a été que le paiement devait y être effectué », a déclaré le juge Fisher.
Lorsque Van Stavel a passé un appel de « courtoisie » à Gerber pour lui faire savoir que l’argent avait été payé, Gerber conduisait et a répondu « c’est bien » (« ça va ») – bien qu’il ne sache pas à quoi elle faisait référence.
Un deuxième e-mail du pirate a rapidement suivi pour demander plus d’argent, qui a été payé, anéantissant ainsi l’investissement de Gerber.
Le juge Fisher a déclaré que le pirate informatique enhardi avait été alerté par Van Stavel que la femme de Gerber avait également un compte d’investissement. Le pirate a ensuite demandé 400 000 rands sur le compte de sa femme. Mais lorsque cet e-mail est arrivé, Van Stavel a témoigné que « quelque chose n’allait pas ».
Fisher a ensuite contacté ses clients, qui ont tous deux confirmé qu’ils n’avaient demandé aucun retrait de fonds.
Une enquête ultérieure a révélé que l’e-mail de Gerber avait été piraté et que tous les e-mails vers et depuis le PSG avaient été détournés vers un fichier séparé qui n’apparaissait ni dans sa boîte de réception ni dans sa boîte d’envoi.
Le PSG a fait valoir que s’il avait le devoir de protéger l’argent de Gerber, il ne pouvait être tenu responsable des pertes dans des circonstances où son système informatique avait été piraté. Il s’agissait d’une « condition tacite » de l’accord, a-t-il déclaré.
Mais le juge Fisher a déclaré qu’importer un tel terme serait contre-intuitif. « La protection contre la fraude technologique n’aurait aucun sens si le client devait assumer l’obligation d’empêcher le piratage. Après tout, [PSG] est grassement payé pour les services fournis, y compris la protection contre la fraude », a-t-elle déclaré.
« Il n’y a aucune preuve que [Gerber] a fait quoi que ce soit ou n’a rien fait pour protéger son système contre le piratage. Il a témoigné que son système était protégé par un mot de passe et qu’il avait installé une protection antivirus efficace. Cela n’a pas été contesté. »
Le juge Fisher a déclaré que les contrats stipulaient que les instructions devaient être données par e-mail et « sans doute [PSG] a donc pris le risque d’employer ce système de communication ».
Le juge a déclaré que l’appel à Gerber avait été un « appel de courtoisie », et non un appel demandant la confirmation que les fonds devaient être versés sur un autre compte bancaire.
Le PSG n’avait pas établi qu’il avait respecté ses obligations contractuelles de protection de Gerber contre la cybercriminalité, a-t-elle précisé. Le juge Fisher a ordonné au PSG de payer à Gerber R811 488,98, plus les intérêts et les frais de la demande.
