Escroqueries financières : l’arnaque au président

« La plus grosse faille dans la sécurité se trouve souvent entre la chaise et le clavier d’un PC ».
Nous démarrons cette trilogie des escroqueries financières en entreprise par un article détaillé sur la fraude au président.

Avec le développement technologique, le nombre des cyberattaques a augmenté considérablement. Si les entreprises multiplient les efforts pour favoriser la sécurité de leurs systèmes informatiques, la plus grosse faille réside dans le personnel se retrouvant derrière leurs PC. L’arnaque au président est une escroquerie de grande taille visant le personnel de l’entreprise.

De plus en plus courante depuis 2010, on compte 250 millions d’euros de gains pour les arnaqueurs. Des entreprises de tailles différentes ont dû subir des pertes de quelques millions d’euros allant même jusqu’à la liquidation judiciaire.

Qu’est-ce qu’alors l’arnaque au président ?

C’est le fait qu’une personne usurpe l’identité du dirigeant de l’entreprise en demandant à un service interne à l’entreprise (notamment financier/comptable) de faire des virements vers un compte bénéficiaire généralement à l’étranger. Plusieurs scénarios ont été envisagées et une connaissance approfondie de la cible est indispensable. On cite le cas quand le dirigeant est à l’étranger par exemple, ou quand on est dans le cadre d’un groupe de société où l’usurpateur se fait passer pour le dirigeant de la société mère. L’usurpateur peut aussi se faire passer pour un responsable RH et collecter ainsi les données personnelles. Ou pour un fournisseur. Etc.

Il faut distinguer l’arnaque au président (spearphishing) du phishing/hameçonnage. En effet, ce dernier est pratiqué d’une manière massive et dépersonnalisée (un seul mail envoyé à 1000 personnes par exemple) et d’une manière moins ciblée.

L’attaque en spearphishing est plus ciblée et plus personnalisée. L’arnaqueur use de son charisme et de sa parfaite connaissance de la structure de l’entreprise, et des mouvements opérant pour autant à l’échelle interne de l’entreprise. Comme tous les arnaqueurs de la finance, ces derniers maitrisent l’art de la manipulation. Il choisit comme première cible la personne la plus fragile (maillon faible), l’isole en lui demandant d’envoyer des sommes en toute confidentialité, la mets sous la pression du temps (c’est urgent etc.). Et avec une dose de flatterie, le tour est joué.

Il ne faut pas croire qu’on est à l’abri d’une telle situation. Des groupes géants comme le Groupe Michelin et même les experts en audit et en comptabilité (le groupe KPMG) ont subi cette fraude avec des pertes respectives de 1.6 Millions d’euros et 7.6 Millions d’euros. Le promoteur immobilier Sefri Cime s’est fait escroquer 33 Millions d’euros. Les sommes sont colossales.

L’escroquerie au président d’un point de vue juridique

Sur le plan pénal

Ces faits constituent une escroquerie, au sens de l’article 313-1 du code pénal.

« L’escroquerie est le fait, soit par l’usage d’un faux nom ou d’une fausse qualité, soit par l’abus d’une qualité vraie, soit par l’emploi de manoeuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d’un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge. L’escroquerie est punie de cinq ans d’emprisonnement et de 375 000 euros d’amende. » La tentative d’escroquerie est passible des mêmes peines (article 313-3 du code pénal).

Le fait que l’escroc se fait passer pour une autre personne, c’est une usurpation d’identité telle que définie par l’article 226-4-1 du code pénal. C’est alors une infraction pénale pouvant induire son auteur en correctionnel. " Le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération ». C’est passible d’une peine d’un an d’emprisonnement et de 15 000 euros d’amende. 







Accès frauduleux à un système de traitement automatisé de données (article 323-1 du code pénal) : « le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est passible de deux ans d’emprisonnement et de 60 000 euros d’amende. » La tentative des délits prévus par les articles 323-1 à 323-3-1 est passible des mêmes peines.

Sur le plan civil

L’arnaque au président constitue une escroquerie aux faux ordres de virement. La jurisprudence retient aussi la terminologie « arnaque au président » dans ses décisions.

Nous détaillons alors dans cette deuxième partie la problématique suivante :

Qui est la partie responsable du préjudice subi par l’entreprise ?

On évoque brièvement le cas du salarié(e) pour ensuite revoir les devoirs du banquier pour un potentiel partage de responsabilité.

Qu’en est-il du salarié victime de fraude au président ?

Plusieurs arrêts de la chambre sociale ont traité le cas de la cible. Comme on l’avait vu en introduction, la cible peut être n’importe quelle personne. Le plus souvent c’est le service comptable.

En l’espèce, l’entreprise va procéder au licenciement du/de la comptable pour faute grave ou faute lourde. Elle le/la prive ainsi de toute indemnité de rupture. Cependant, le salarié lui oppose ne pas avoir été informé d’une telle arnaque. Et que l’entreprise aurait dû a minima le former pour pouvoir la détecter.
Plusieurs arrêts ont rejeté ces pourvois. La cour a statué en faveur de l’entreprise même dans le cas où cette dernière n’a pas subi de préjudice (suite à un défaut d’exécution de l’ordre par la banque). Ou même à défaut de formation, sa faute consiste dans le non-respect des procédures internes de l’entreprise (Cour d’appel, Toulouse, 4e chambre sociale, 1re section, 16 Novembre 2018 – n° 17/01345) ; Cependant le licenciement devient pour cause réelle et sérieuse.

Dans un tel cas, on a vu que la banque a été à l’origine du sauvetage de l’entreprise d’une telle arnaque.

Qu’en est-il du cas où la banque autorise le virement ?

A titre de rappel. La relation entre la banque et le client est de nature contractuelle. Le droit commun s’applique sauf disposition spéciale. Plusieurs devoirs découlent du droit commun, que ce soit au plan de la formation du contrat (devoir d’information, devoir de mise en garde mais pas de devoir de conseil), ou au plan de l’exécution du contrat (la bonne foi).

Pour engager la responsabilité de la banque, il faut alors invoquer son manquement à un de ses devoirs. Pour cela il est utile de procéder à une recherche de la faute de la banque en se basant sur le droit commun puis sur le droit spécial.

Le secret bancaire

Le secret profite au client de l’établissement de crédit à l’égard des tiers qui souhaiteraient obtenir des renseignements. Sinon engage sa responsabilité contractuelle.

Le secret profite aussi aux mandataires chargés de faire fonctionner le compte du client.

Admettons que la banque était la cible de l’arnaqueur et qu’elle avait transmis des données à l’arnaqueur, la société pourra invoquer la violation du secret bancaire.

Comment éviter la fraude au président ?

Il faut impérativement faire appel à un avocat pour faire les démarches nécessaires (Opposition dans le délai de 13 mois auprès de la banque, dépôt d’une plainte en cas d’usurpation d’identité numérique ou de vol de vos données bancaires sécurisées etc).

L’entreprise doit aussi former ses salariés quant à ce type d’arnaques, voire les aviser sur l’utilisation des réseaux sociaux. Etablir une procédure de sécurité stricte notamment si la transaction est internationale, sécurisation des emails avec des logiciels à l’instar d’Altospam, Postini ou paraspam. Il est aussi recommandé d’avoir une assurance contre les risques Cyber (Silent Cyber, etc.)

Faites-vous accompagner par notre cabinet d'avocats
Vous pouvez aussi nous écrire a l'adresse mail: [email protected]

Partager :

Rechercher
Derniers articles
Catégories
NOUS ÉCRIRE

« * » indique les champs nécessaires

Votre Nom*
Pour suivre notre actualité
Votre email

« * » indique les champs nécessaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *