Les fraudeurs exploitent les techniques de manipulation sociale pour duper les employés et les inciter à faire des transferts bancaires en leur nom. La plus haute instance judiciaire estime que les institutions bancaires ont également une certaine part de responsabilité dans ces fraudes.
L’Observatoire de la Sécurité des moyens de paiements, sous la direction de la Banque de France, révèle que presque la moitié des virements frauduleux (48 %) résultent de l’usurpation d’identité d’un fournisseur exigeant le règlement d’une facture fictive ou à cause de ce que l’on désigne comme la « fraude au président ». Cette dernière consiste à contacter un employé en prétendant être un dirigeant de son entreprise pour lui donner l’ordre d’effectuer un paiement.
Les escroqueries de ce genre sont souvent préparées grâce aux informations disponibles librement sur les sites web des entreprises et sur les réseaux sociaux. On utilise le terme ingénierie sociale pour qualifier cette méthode de collecte d’informations, qui permet aux escrocs de rendre leur discours convaincant.
En général, les institutions bancaires considèrent qu’il appartient aux entreprises de développer leurs propres systèmes de vérification pour confirmer l’identité des destinataires de leurs fonds. Toutefois, cette approche est quelque peu nuancée par la Cour de Cassation, qui est la juridiction suprême de l’ordre judiciaire en France.
En effet, dans une décision de la Chambre commerciale, financière et économique datée du 2 octobre 2024, les juges ont jugé que la banque avait failli à son devoir de vigilance et ont ordonné qu’elle rembourse les sommes transférées.
La banque doit assurer une vigilance accrue
Dans cette affaire, la comptable d’une entreprise a réalisé des transferts d’un montant total de 2,1 millions d’euros vers une entité basée à Hong Kong.
Elle avait émis ces paiements suite à des instructions reçues par e-mail d’un imposteur ayant usurpé l’identité de son supérieur. Après coup, la banque s’est retranchée derrière son devoir de non-ingérence dans les affaires de ses clients. En d’autres termes, elle argua que chacun est libre de disposer de ses finances comme bon lui semble. Les juges, cependant, ont estimé que le banquier n’avait pas assuré la surveillance nécessaire.
Cela d’autant plus que l’entreprise n’avait pratiquement jamais réalisé de transferts excédant 100.000 euros, sauf à sa société mère. De plus, elle n’avait aucune liaison commerciale en Asie et n’avait jamais effectué de transactions avec les deux entreprises bénéficiaires de ces fonds.
Nécessité de vérifications auprès de la direction
Il est impératif de procéder à des vérifications auprès du dirigeant pour confirmer l’authenticité et la réalité de ces opérations, en raison de l’aspect inhabituel des montants et des circonstances des transactions. Cette précaution s’impose face aux techniques sophistiquées de fraude informationnelle actuellement utilisées par les pirates pour piéger leurs cibles en entreprise.
Ces mécanismes militent pour la diffusion de messages éducatifs au sein des sociétés, accompagnée d’une structuration des processus internes de validation. Ainsi que la mise en place de procédures à appliquer en cas de requêtes étranges, évitant ainsi de succomber à la précipitation ou à l’affolement face à des demandes inattendues.
La plateforme Cybermalveillance.gouv.fr précise les démarches à suivre si l’on se retrouve victime d’une fraude au faux ordre de virement.
