Il y a quelques semaines, la DGCCRF a lancé une alerte nationale. L’administration s’inquiète d’une vague d’escroqueries qui ne cesse de croître : l’usurpation d’identité des institutions publiques et des agents de l’État. Derrière ces pratiques, des fraudeurs qui se font passer pour des contrôleurs, des banquiers, des policiers ou même des représentants du fisc, et qui, grâce à des techniques de plus en plus crédibles, parviennent à tromper les particuliers… mais aussi les professionnels. Les courtiers en crédit, intermédiaires d’assurance ou conseillers financiers ne sont plus épargnés.

Dans un secteur où la confiance est le nerf de la relation client, l’impact d’une telle arnaque peut être dévastateur.

Un mode opératoire qui sème le doute

La mécanique est bien rodée. Elle commence par un appel, un mail ou un SMS. Tout semble vrai : le numéro qui s’affiche est bien celui d’une administration officielle, le logo Marianne orne le document, le jargon administratif sonne familier.

« Votre carte bancaire a été identifiée dans une fraude », prévient une voix se présentant comme agent du Trésor public.
« Un paiement suspect est en cours, vous devez agir dans les 45 minutes », menace un SMS.
« Un contrôle de la DGCCRF est imminent, veuillez transmettre vos accès pour vérification », exige un courriel.

Les escrocs ont perfectionné leurs armes :

• le spoofing téléphonique, qui permet d’afficher un vrai numéro officiel sur l’écran de la victime ;
• des e-mails frauduleux, imitant à la perfection la mise en page des courriers gouvernementaux, avec logos, drapeaux et signatures copiées ;
• des SMS alarmistes, jouant sur l’urgence et la peur ;
• de faux agents convaincants, qui se font passer pour des fonctionnaires ou des banquiers inquiets de votre sécurité.
  

Le résultat est glaçant : même un professionnel averti peut douter et tomber dans le piège.

La confiance envers l’État, un levier détourné

Si ces arnaques fonctionnent si bien, c’est qu’elles exploitent un ressort psychologique puissant : la confiance dans l’État et ses institutions. Qui oserait mettre en doute un appel émanant de la DGCCRF, des impôts, de la police ou de la Sécurité sociale ? Qui irait contester une demande formulée avec autorité et sous couvert d’une « urgence » ?

C’est précisément cette confiance qui est détournée. Le citoyen, ou le professionnel, agit alors sans prendre le temps de vérifier. Et le mal est fait.

Des scénarios qui se multiplient

Le ministère de l’Économie a recensé une série d’exemples concrets qui circulent aujourd’hui :

• un faux agent de la DGCCRF appelle, affiche le vrai numéro officiel, et explique qu’une fraude est en cours sur votre compte bancaire ;
• un message enregistré prétend émaner du ministère de l’Énergie et vous pousse à signer pour l’installation de panneaux solaires financés par un mystérieux « chèque énergie solaire » ;
• de faux e-mails officiels, imitant la DGFIP, la CAF, la CPAM ou la police nationale, vous invitent à entrer vos coordonnées bancaires pour un remboursement, une contravention ou un « contrôle » ;
• un conseiller bancaire supposé appelle pour « actualiser » votre dossier et sécuriser votre compte.

Autant de mises en scène où la frontière entre le vrai et le faux devient floue.

Quand les escrocs visent directement les courtiers

Au-delà des particuliers, les IOBSP, IAS et CIF sont eux aussi exposés. Et parfois, les conséquences peuvent être dramatiques.

• Le détournement d’apports personnels : des escrocs parviennent à obtenir la liste des clients d’un courtier, ou tout au moins à identifier des dossiers en cours. Ils contactent directement les emprunteurs en se faisant passer pour le professionnel, et leur demandent de verser leur apport personnel sur un compte censé « sécuriser l’opération ». En réalité, l’argent disparaît. Le client est ruiné, et la réputation du courtier entachée.
• Les faux messages de régulateurs : de prétendus courriels de l’ORIAS ou de l’ACPR exigent le paiement urgent de frais de dossier ou de régularisation. Le professionnel, pris de court, peut céder et effectuer un virement.
• La menace de contrôle : sous couvert d’un audit imminent, des escrocs exigent la transmission rapide de documents confidentiels : fichiers clients, données bancaires, identifiants.
  

Dans chacun de ces cas, l’IOBSP devient victime autant que complice involontaire. L’escroc exploite son statut de tiers de confiance pour piéger le client final.

Les signaux d’alerte à ne jamais négliger

Quelques indices doivent mettre la puce à l’oreille :

• une demande pressante, accompagnée d’un délai très court ;
• une sollicitation inattendue par SMS ou e-mail, avec un ton alarmiste ;
• une demande de données confidentielles (codes, RIB, authentifications) par téléphone ou par mail ;
• des messages rédigés dans un français approximatif ou accompagnés de logos mal copiés.
  

Un principe simple doit être gravé en lettres capitales : aucune administration, aucune banque ne demandera jamais par téléphone ou par SMS vos codes secrets ou vos identifiants de connexion.

Les bons réflexes pour les professionnels

En cas de doute, plusieurs réflexes sont à adopter :

1. Couper court : ne pas cliquer, ne pas rappeler, ne pas transmettre d’informations.
2. Vérifier à la source : contacter directement l’organisme via son numéro officiel ou son site institutionnel.
3. Signaler :
   
   • Signal Spam pour les e-mails,
     33700 pour les SMS ou appels,
   • THÉSÉE pour les escroqueries en ligne,
   • Perceval pour fraude bancaire.
     
4. Appeler Info-Escroqueries : 0 805 805 817, un service gratuit du ministère de l’Intérieur.
5. Déposer plainte si nécessaire, via masecurite.gouv.fr.
   

Un enjeu de conformité et de réputation

Pour les IOBSP, la vigilance face à ces escroqueries n’est plus un simple réflexe citoyen : c’est un enjeu de conformité et de réputation. Une fuite de données, un client trompé, une somme détournée peuvent avoir des conséquences en cascade :

• perte de confiance des clients,
• atteinte à l’image de sérieux du cabinet,
• mise en cause éventuelle de la responsabilité professionnelle,
• sanctions potentielles en cas de manquements aux obligations de protection des données.
  

Dans un marché déjà très encadré, où les obligations LCB-FT et RGPD imposent une rigueur absolue, l’exposition à ces fraudes est un risque supplémentaire qu’il faut intégrer au quotidien.

La vigilance, une compétence professionnelle

La conclusion de la DGCCRF est claire : la lutte contre l’usurpation d’identité passera par une vigilance accrue de chacun. Mais pour les courtiers, il s’agit d’aller plus loin.

De la même façon qu’ils ont intégré la conformité, la lutte contre le blanchiment ou le respect du RGPD comme compétences indispensables, les IOBSP doivent désormais développer un réflexe d’authentification systématique.

Ne jamais transmettre de données sans vérifier, ne jamais valider une opération sans confirmation, ne jamais répondre à une demande sortant de l’ordinaire sans recoupement.

Le combat sera permanent.

Les escrocs ne manquent ni d’imagination, ni de moyens. Leurs méthodes sont de plus en plus sophistiquées, leurs messages de plus en plus crédibles. Mais la parade existe : elle repose sur la méfiance raisonnée et la vérification systématique.

Dans un monde où les communications officielles circulent autant par SMS, mail ou appel téléphonique, la frontière entre vrai et faux s’amincit. C’est donc à chacun – particulier comme professionnel – de se doter des bons réflexes.

Pour les IOBSP, la vigilance n’est pas seulement une protection personnelle. Elle devient un devoir professionnel, au service des clients comme de la réputation du métier. Car à l’heure où l’usurpation d’identité prend pour cible les institutions les plus respectées, le courtier doit rester ce qu’il a toujours été : un tiers de confiance.

Jérôme CUSANNO

Directeur de l’IEPB.