Les fraudes aux virements bancaires se multiplient

Au cours des dernières années, plusieurs centaines d'entreprises ont fait l'objet de tentatives de ce genre d'escroquerie ou en ont été victimes. Si les escrocs opèrent depuis l'étranger en utilisant de fausses adresses email et IP ou des numéros de téléphone apparemment locaux mais issus de plateformes délocalisées, la France apparaît particulièrement visée.

Pour les seules fraudes déclarées, le montant préjudice de ces escroqueries oscille entre 300 et 450 millions d'euros, la réalité étant certainement plus conséquente car toutes les entreprises victimes n'en font pas état. Il est surtout remarquable de constater que les entreprises ciblées par les escrocs sont de toutes tailles, allant du grand groupe implanté dans une métropole régionale jusqu'à la petite entreprise. Les conséquences financières sont très préjudiciables, dans la mesure où la récupération des fonds s'avère difficile sinon impossible, et ont conduit plusieurs entreprises, de moyenne ou petite taille, dont la trésorerie avait ainsi disparu, au dépôt de bilan.

Les fraudes au virement sont effectuées sur la base de scenarios et de stratagèmes dont la connaissance peut permettre aux entreprises de se protéger efficacement ou de limiter les risques. Parmi les types d'escroquerie figurent essentiellement le faux ordre de virement sur support papier adressé à la banque de la victime et la fraude dite « au président ». Cette dernière est la plus fréquente et la plus préjudiciable. Le procédé est systématiquement le suivant : une personne se présentant comme le président ou le gérant d'une société contacte un membre de l'entreprise via une fausse adresse email ou un faux numéro local et lui demande d'effectuer en urgence un ou plusieurs virements bancaires correspondant à une transaction commerciale. L'escroc use alors d'une pression psychologique en exigeant la confidentialité absolue de l'opération enfermant ainsi son interlocuteur dans l'isolement. Il s'appuie sur des éléments bien réels, des documents apparemment authentiques mais en réalité faux à base de logos, de tampons ou de signatures glanées sur internet et scannés. Intervient alors un complice se présentant comme un expert-comptable ou un avocat dont le contact a été préalablement annoncé par le faux gérant. Rassuré par tous ces éléments et conditionné, l'employé effectue le virement électronique ou demande à la banque d'y procéder via fax ou email. Récemment, sont apparus d'autres procédés tendant au même but : un prétendu fournisseur ou partenaire de l'entreprise (bailleur par exemple) communique de nouvelles coordonnées bancaires pour le paiement de factures bien réelles. Les escrocs peuvent aussi prétendre procéder à des tests de paiements fictifs sous forma SEPA mais le virement est bien réel. Dans ces deux cas, comme la fraude au président, l'entreprise ne réalise que trop tard s'être fait tromper.

Considérant que le DDT est établi afin que l'acquéreur puisse contracter en toute connaissance de l'état du bien, certaines juridictions retenaient que le préjudice subi par l'acquéreur été constitué par une perte de chance de ne pas acquérir le bien ou de l'acquérir à un prix moindre. D'autres retenaient que le coût des travaux que l'acquéreur a été contraint de réaliser constituait le seul préjudice matériel certain indemnisable. Majoritairement, la jurisprudence retenait la notion de perte de chance pour caractériser le préjudice subi par l'acquéreur et considérait que la faute du diagnostiqueur entraînait des travaux qui n'auraient pas été supportés par l'acquéreur si le DDT avait été fiable. En pratique, si l'acquéreur avait eu connaissance de l'état réel de l'immeuble, il aurait peut-être renoncé à l'acquisition ou aurait proposé un prix moindre à proportion des travaux à réaliser.

Connaître le scenario des fraudes constitue le premier moyen d'être en alerte et de procéder aux vérifications nécessaires. La prévention suppose ainsi de sensibiliser les membres de l'entreprise particulièrement exposés à ce risque (comptable ou directeur financier) et d'instaurer une procédure d'alerte interne les rassurant. Le deuxième moyen consiste dans la mise en place de modes de paiements sécurisés avec la banque et des protocoles (plafond de virement, exclusion de l'ordre par mail ou fax, contre appel de vérification par la banque etc.). Les escrocs n'opèrent pas de manipulations informatiques mais cherchent à contourner les paiements sécurisés mis en place. Enfin, la maîtrise de la diffusion par l'entreprise des informations sur son organisation interne est fondamentale puisque les escrocs utilisent l'ingénierie sociale pour récolter sur internet et les réseaux sociaux le maximum d'éléments réels pour crédibiliser leur discours en phase opérationnelle. Il convient par exemple de ne pas révéler l'organigramme de l'entreprise ou de ne pas ébruiter les absences des membres clés puisque les fraudes ont souvent lieu en période de congé ou la veille de long week-end ou de jours fériés.

Un audit des risques par un Conseil extérieur pour remédier aux failles de sécurité s'avère très souvent efficace.