Fraudes sur Internet. Les moyens légaux de protection dans la perspective pénale et civile

Business email compromise

Détail d'une actualité Un message e-mail semble innocent - comme tout autre dont les dizaines sont reçus chaque jour par les départements en charge de la réalisation des virements bancaires au sein de nos entreprises. Les coordonnées de l’expéditeur sont correctes, ainsi que le contexte du message et le langage utilisé ne prêtent pas aux doutes. D’habitude, seulement après un laps de temps il s’avère que le message a été envoyé par les fraudeurs. Voil? , la quintessence du cyber-crime désigné comme Business Email Compromise (BEC) ou Email Account Compromise (EAC).

Il consiste en la dissimulation d’une vraie correspondance afin d’extorquer des fonds financiers. Les fraudeurs créent des adresses de messagerie électronique trompeusement ressemblant aux méls appartenant aux véritables acteurs des relations commerciales. Au niveau visible au destinataire l’adresse e-mail du faux expéditeur peut même être identique ?  celui de l’expéditeur réel. Seulement une analyse approfondie de l’adresse permet d’identifier les différences.

L’attaque a pour objectif d’amener le destinateur du message ?  croire qu’il échange la correspondance avec la personne qu’il connaît, d’habitude un cocontractant ou un cadre (un supérieur hiérarchique, souvent – le gérant, le président de la société). Les rapports de la FBI (Federal Bureau of Investigation) révèle qu’après 2010 une augmentation radicale des infractions commises en application des schèmes BEC et EAC a été observée. En 2015, la FBI a même considéré les infractions visées comme l’un des plus flagrants problèmes du cyberespace. En juin 2016, la FBI a estimé la somme totale des dommages causés jusque-l?  en conséquence de ces infractions ?  la hauteur de plus de trois milliards de dollars. Il est ?  souligner que les statistiques de la FBI couvrent seulement les infractions BEC et EAC.

Dans le schéma frauduleux, les cyber-fraudeurs, en usurpant  l’identité d’une personne connue du destinataire d’un e-mail, demandent ?  un moment donné que des fonds financiers d’un montant déterminé soient virés sur un compte bancaire indiqué dans le courriel. En cas d’usurpation d’identité d’un cocontractant, il s’agît le plus souvent de l’information que le numéro du compte bancaire de règlement habituel a changé. En cas de message prétendument provenant d’un supérieur hiérarchique, il peut s’agir entre autres de l’information de la nécessité d’effectuer un virement dans le cadre de la mise en œuvre d’un projet confidentiel.

Dans certains cas auxquels nous faisions face dans notre pratique, on a pu observer que la cyber-attaque a été minutieusement préparée. Le plus probablement, avant l’attaque, les fraudeurs observaient la correspondance entre les victimes pendant un certain temps. Ainsi, lors de l’attaque, ont-ils pu s’immiscer parfaitement dans le contexte de la correspondance antérieure, choisir un moment approprié et utiliser le même langage, en conséquence de quoi ils ont abouti ?  atténuer la prudence des victimes.

Les informations contenues dans les messages sont souvent rendues véridiques par l’indication des numéros de téléphone des personnes tierces de prétendue confiance (par exemple – des juristes) qui confirment les données relatives ?  la transaction figurant dans les faux messages.

L’ampleur des conséquences des infractions visées est très variée. Dans la majorité des cas, les fraudeurs aboutissent ?  persuader les victimes d’effectuer les virements bancaires ?  la hauteur de quelques centaines de milliers de dollars. Cependant, les virements des montants de quelques millions de dollars sont réalisés aussi.

Les fonds prélevés suite ?  un message frauduleux sont encaissés le plus souvent sur un compte bancaire ouvert par un homme-de-paille, agissant en tant que personne physique ou au nom d’une personne morale et ayant plus ou moins conscience de sa coopération avec les fraudeurs. A partir de ce moment, une course contre le temps commence.

Comment préserver les fonds extorqués  ?

Le principe est la rapidité de l’action. Si les fonds sont encaissés sur un compte bancaire d’une société ou d’un individu en lien avec les fraudeurs, ils n’y resteront pas longtemps. Le plus souvent, ils sont transférés au moyen des virements électroniques vers les pays connus comme peu coopératifs au niveau international, et où la trace des fonds s’évanouît ou où ils sont retirés en liquide des distributeurs de billets.

Le blocage des fonds immédiatement après leur encaissement sur un compte bancaire polonais est possible suite ?  une décision du procureur. Le problème repose néanmoins dans les limites temporaires du blocage dont la durée maximale avant que quiconque soit mis en examen ne peut excéder trois mois. En même temps, nous avons observé ?  quelques reprises dans notre pratique que la coopération avec les banques était ardue ?  tel point que la victime n’était en mesure de faire valoir ses prétentions aux fonds qu’après le découlement de la période susvisée. Même si la victime aboutit ?  connaître par ses propres moyens les données du compte bancaire sur lequel ses fonds ont été transférés, le risque existe qu’après 90 jours le blocage tombe et les fraudeurs, en usant une lacune juridique, réussissent ?  s’emparer de l’argent.

Un remède ?  un tel risque peut consister en une mesure conservatoire qui peut être sollicitée et accordée dans le cadre de la procédure civile. La victime en tant qu’ayant droit ?  disposer des fonds ?  la créance en remboursement ?  l’encontre du titulaire du compte bancaire sur lequel les fonds ont été versés. Le fondement d’une demande en remboursement peut être soit un délit (responsabilité civile) soit un enrichissement sans cause. Cette créance est de nature patrimoniale et peut être conservée au moyen de la saisie d’une créance sur un compte bancaire ou d’une autre créance du débiteur, y compris par exemple une créance que le titulaire du compte bancaire peut avoir ?  l’encontre de la banque ou du ministère public en paiement des fonds après l’expiration du blocage. La saisie conservatoire est impartie sur la requête du demandeur formulée dans l’assignation ou même avant que l’assignation soit déposée au tribunal.

Cette dernière possibilité est particulièrement intéressante en raison d’un droit de greffe (frais de l’acte) relativement bas ?  payer et de la rapidité de l’action judiciaire, cruciale en l’occurrence, car la juridiction saisie doit se prononcer sur la requête immédiatement au plus tard dans un délai de deux semaines ?  compter de la date du dépôt de la requête. Si la juridiction décide du bien-fondé de la requête, ce qui a lieu lors d’une séance tenue ?  huis clos alors sans que le défendeur en ait connaissance, la mesure conservatoire peut être immédiatement exécutée par un huissier de justice. En conséquence, la banque ou le parquet aura non seulement le droit, mais l’obligation de transférer les fonds de la créance conservée sur le compte dépositaire de l’huissier de justice. L’argent pourrait y être déposé jusqu’?  la décision finale de la juridiction civile ou du procureur décidant de leur prélèvement sur le compte bancaire de leur propriétaire légitime.

Et comment les récupérer  ?

Toutes les victimes dans de tels dossiers sont généralement unis pas une motivation  : ils veulent surtout récupérer les fonds. Il est plutôt rare qu’ils soient intéressés de déterminer les auteurs de la fraude et leurs complices.

Les représentants du parquet et de la police sont aussi animés par le pragmatisme dans de tels espèces. Etant conscients de leur caractère transnational, ils se focalisent surtout sur ce qui est possible et réel ?  achever dans les limites de leur territoire national. Le fait que les évènements constitutifs de BEC (correspondance électronique, transferts financiers) se matérialisent dans les juridictions étrangères souvent lointaines l’une de l’autre, fait que les éléments de BEC peuvent être séparément qualifiées par exemple comme fraude ou blanchiment de capitaux provenant de l’infraction. La qualification légale de l’infraction détermine l’étendue et la direction des actions entreprises par les autorités des poursuites.

Puisque c’est le procureur qui dispose des fonds bloqués sur un compte bancaire en vertu de la décision de blocage rendu par le parquet, il lui appartient aussi la décision sur la levée du blocage et le remboursement des fonds ?  la victime.

En pratique, un défi majeur dans une telle situation est le rassemblement d’un nombre suffisant de preuves qui permettront au procureur de s’assurer qu’il rembourse les fonds ?  celui qui en a été privé en conséquence de la fraude. Dans la procédure pénale qui est formalisée, ceci implique souvent la nécessité de rechercher et collecter des preuves dans le cadre de l’entraide internationale, ce qui engendre de multiples difficultés.

Il arrive néanmoins aussi que le titulaire du compte bancaire sur lequel les fonds ont été encaissés, entreprend des actions légales destinées ?  ce que les fonds bloqués lui soient remis. A ceci s’ajoutent parfois aussi les actions des autorités fiscales qui par application des pouvoirs dont elles sont munies, peuvent entreprendre des actions concurrentielles ?  celles du parquet et de la police. Ce qui peut être indispensable dans un tel cas sera d’entamer ou continuer une procédure civile ?  l’issue de laquelle la juridiction saisie décidera de l’obligation de verser la somme extorquée par le titulaire du compte bancaire ?  la victime. Contrairement aux apparences, une telle procédure ne doit pas être facile car c’est au demandeur de démontrer irréfutablement son droit aux fonds se trouvant sur le compte bancaire, et conséquemment – le corolaire de son droit ?  savoir – l’obligation du titulaire du compte bancaire de rembourser les fonds nonobstant le fait que les fonds se trouvant sur le compte ne doivent pas forcement provenir des sources illégales.

En résumant, en les espèces qui sembleraient ?  première vue faciles concernant le remboursement des fonds, il est nécessaire néanmoins de faire recours aux instruments offerts par les différents régimes légaux et dans les cadres des procédures distinctes.

Le droit reste en arrière

L’augmentation radicale des cyber-crimes commis au moyen des schémas BEC a évidemment pour cause aussi le fait que la lutte contre cette forme de criminalité donne ?  peine de résultats. L’une des raisons de telle situation est l’inadaptation du système légal en vigueur. Nous avons présenté ci-dessus les exemples de ladite inadaptation des dispositions légales ?  la nature des cyber-infractions. Mais il y en a beaucoup plus. Les dispositions légales relatives au secret bancaire perturbent efficacement la possibilité pour les victimes d’obtenir des informations basiques sur le sort des fonds extorqués. Font défaut aussi les instruments internationaux efficaces qui auraient permis une collecte effective des informations indispensables pour la poursuite des fraudeurs (par exemple des numéros IP et d’autres données téléinformatiques). Le droit pénal traditionnel reste un domaine juridique le moins harmonisé ce qui rend impossible une lutte efficace contre les cyber-infractions commises dans le cadre du commerce international.

Face aux difficultés ?  la mise en œuvre de la justice par l’application des mesures traditionnelles, l’attention des victimes commence ?  se concentrer sur les solutions moins évidentes. Elles tentent désormais ?  demander des dommages intérêts aux institutions financières qui ont participé ?  la réalisation des virements bancaires, et en particulier aux institutions qui ont ouvert et tenu les comptes bancaires pour les hommes de paille. Il est ?  s’attendre que très prochainement le nombre des prétentions et des recours formulés contre les institutions financières va augmenter. Pour de nombreuses victimes, il s’agira d’un unique moyen possible permettant d’obtenir un dédommagement pour le préjudice subi.

Paweł Mazur, adwokat, associé, pratique du contentieux et de l’arbitrage

Janusz Tomczak, adwokat, partenaire, en charge de la pratique du droit pénal

Krzysztof Wojdyło, adwokat, associé, en charge de la pratique des nouvelles technologies