Le Cabinet a rédigé de nombreux articles sur le spoofing, cette fraude dite « au faux conseiller bancaire ».
Mais ce n’est malheureusement pas le seul type de fraude bancaire.
Un autre fléau fait rage, au détriment des personnes morales.
L’« arnaque au président », également appelée fraude au faux ordre de virement international (FOVI), est l’une des fraudes les plus redoutables touchant les entreprises aujourd’hui.
Elle frappe toutes les structures, des PME aux grandes sociétés, et repose moins sur des failles techniques que sur la psychologie humaine et l’organisation interne des sociétés.

 

L’escroquerie consiste à manipuler un salarié, souvent du service comptabilité ou trésorerie, pour lui faire exécuter un virement important vers un compte contrôlé en réalité par un fraudeur. De façon un peu similaire au spoofing, cette manipulation repose là encore sur un scénario psychologique précis, combinant autorité, urgence et confidentialité.

Le procédé commence bien avant le premier contact.

Les fraudeurs collectent des informations publiques et parfois internes sur l’entreprise cible : organigrammes en ligne, profils LinkedIn des dirigeants, articles de presse, rapports financiers, et parfois des données obtenues via des intrusions informatiques, des campagnes de phishing ou sur le dark web.

Ces renseignements leur permettent de bâtir un discours crédible, reproduisant le ton et les habitudes des dirigeants ou partenaires externes. L’objectif est de créer un sentiment de légitimité absolue pour que le salarié exécutant le virement ne s’interroge pas sur la validité de l’ordre.

Une fois le ciblage effectué, l’escroc contacte alors le salarié via téléphone ou e-mail, parfois les deux simultanément.

L’e-mail est falsifié pour reproduire l’adresse officielle d’un dirigeant, tandis que l’appel téléphonique peut utiliser la technique du spoofing et faire afficher le numéro réel de l’entreprise.

Le discours repose toujours sur trois leviers : l’autorité, avec l’affirmation que l’ordre émane d’un haut responsable ; l’urgence, présentant l’opération comme stratégique et nécessitant une action immédiate ; et la confidentialité, pour interdire toute vérification ou discussion interne.

Sous cette pression, le salarié, même expérimenté et prudent, se retrouve dans un dilemme : obéir ou retarder une décision jugée capitale.

Dans le monde de l’entreprise, le virement ainsi exécuté peut atteindre plusieurs centaines de milliers, voire des millions d’euros. Les fonds sont rapidement transférés à l’international et dispersés via des comptes multiples, rendant toute restitution complexe.

L’entreprise ne découvre généralement la fraude que lorsque la trésorerie est affectée ou qu’un partenaire extérieur signale l’anomalie et indique ne pas avoir été à l’origine de l’envoi.

Ainsi par exemple, une PME de 15 salariés, spécialisée dans l’ingénierie, a pu transférer de la sorte 450 000 € à un compte en Hongrie, après qu’un salarié ait reçu un e-mail provenant prétendument du PDG, mais qui émanait en réalité du fraudeur. Les fonds ont été immédiatement dispersés à travers trois comptes intermédiaires, rendant le remboursement impossible.

Une autre entreprise, du secteur pharmaceutique cette fois, a reçu un appel « du directeur financier », demandant un virement urgent de 1,2 million € pour sécuriser un fournisseur particulièrement stratégique à la société. L’ordre était crédible et confidentiel, exécuté en quelques minutes. La banque a refusé de rembourser, considérant que le salarié était habilité à donner l’ordre.

Les conséquences sont multiples. La perte financière est souvent catastrophique, mais les dommages collatéraux sont tout aussi graves : climat de suspicion interne, stigmatisation du salarié manipulé, atteinte à la réputation et tensions avec partenaires financiers et assureurs, parfois licenciement du salarié trompé. La réaction des banques est par ailleurs, comme pour le spoofing, souvent source de frustration : elles estiment que l’ordre a été donné par un collaborateur habilité et rejettent la responsabilité sur l’entreprise, arguant d’un manque de procédures internes.

Analyse juridique.

Le droit offre plusieurs pistes d’action. Selon l’article L133-6 du Code monétaire et financier, une opération bancaire requiert le consentement du client. En principe, la banque exécute les ordres transmis par des personnes habilitées.

Toutefois, la jurisprudence souligne que la banque ne saurait agir comme un simple automate : lorsqu’un virement présente un caractère inhabituel, qu’il soit lié au montant, à l’urgence ou à la destination, la banque a un devoir de vigilance proportionné. Certaines décisions ont reconnu la responsabilité de l’établissement bancaire pour défaut de vigilance.

Par ailleurs, le virement frauduleux, obtenu par tromperie et manipulation, ne reflète pas la volonté réelle de l’entreprise. Il peut donc être considéré comme « non autorisé » et ouvrir la voie à des recours contre la banque et des actions de restitution.

La responsabilité interne peut également être évoquée, notamment en cas de défaut de procédure (absence de double signature ou contrôle hiérarchique), mais il faut replacer cette analyse dans le contexte de la tromperie sophistiquée subie par le salarié.

Face à cette fraude, plusieurs actions peuvent donc être envisagées et il est impératif de se faire conseiller pour faire valoir au mieux ses droits.

Virginie Audinot, Avocat
Barreau de Paris
Audinot Avocat
www.audinot-avocat.com

www.fraude-bancaire.fr