Comment un groupe a volé des dizaines de millions grâce à une faille du système SPEA

Il y a quelques jours, j’évoquais l’affaire Sfam à l’occasion de la liquidation de cette entreprise, principale filiale d’Indexia. D’ailleurs, le groupe semble aujourd’hui condamné à s’éteindre dans la douleur, en attendant le sort réservé à son patron, qui se qualifie de “plus jeune milliardaire de France”.

Mais au cœur de l’affaire se pose un sérieux problème sur lequel les régulateurs ferme les yeux : celui du SEPA.

Le Single Euro Payments Area (SEPA) est une association de pays de la zone euro, de l’UE et un peu au-delà qui se sont mis d’accord pour harmoniser leurs paiements. C’est évidemment une conséquence directe de l’euro, mais plus largement une manière de faire en sorte que les échanges financiers en Europe soient simples et sécurisés.

La norme permet la mise en place de 2 nouveaux instruments communs de paiement :

• Le virement (SCT, SEPA Credit Transfer)
• Le prélèvement (SDD, SEPA Direct Debit)

Globalement, ça existait déjà dans la plupart des pays, mais ça facilite les échanges entre les pays.

C’est (pas) sorcier

Contrairement au SCT, le SDD a été très long à mettre en place. Il est d’ailleurs arrivé en 2010, soit deux ans après le SCT. Le grand changement, c’est que SEPA décentralise les opérations et les autorisations, ce qui permet donc d’échanger plus facilement.

• Chaque créancier, celui qui prélève, se voit attribuer un ICS (Identifiant Créancier SEPA) :
• Chaque mandat, l’autorisation de prélever, se voit attribuer un RUM (référence unique de mandat).

De fait la banque ne détient plus le mandat, et c’est donc au créancier qu’il faut demander l’arrêt des prélèvements.

Par contre, les réclamations doivent avoir lieu beaucoup plus rapidement. C’était 2 à 5 ans auparavant (les délais de prescription d’une dette), et cela passe à 8 semaines peu important le motif, sauf si le prélèvement est fait sans mandat (13 mois).

En échange, les banques doivent rembourser sans rien demander.

Sauf que… y’a toujours des petits malins.

Houston, we have an escrow

La première fois que j’avais entendu d’un problème SEPA, c’était en 2018. Je travaillais alors pour un labo, en charge du marketing et notamment de l’e-commerce. Parmi les moyens de paiement, nous proposions les habituels CB ou PayPal, mais également le chèque (la clientèle était parfois âgée) et le virement.

Jusqu’au jour où la directrice financière me parle d’un prélèvement. Je n’ai plus le nom exact, mais, de loin, ç’aurait pu être une dépense marketing. Il a fallu des semaines pour remonter le fil avant de s’apercevoir que… c’était un particulier qui avait utilisé les coordonnées bancaires de l’entreprise pour payer un abonnement.

En cherchant le nom, j’ai remarqué que cette dame était cliente, et qu’elle avait demandé un paiement par virement, finalement jamais effectué. La commande avait donc été annulée, mais elle avait reçu le RIB.

Avec les numéros, elle avait tout simplement rempli un SEPA… Que la banque avait validé.

Minable & Cortex

C’est exactement le cœur de l’escroquerie généralisée de SFAM. À de TRÈS nombreuses reprises, Indexia et ses filiales ont utilisé des coordonnées bancaires afin de prélèvement illégalement sur le compte d’ex-client, ou de personnes simplement démarchées.

Soit en continuant de prélever des contrats résiliés.
Soit en signant à la place des clients des mandats SEPA.
Soit en ressortant les coordonnées bancaires des clients parfois 5, 6 voire 7 ans après le dernier prélèvement.

Aucune banque n’a jamais proactivement agi.

Pire. Alors même que l’entreprise est liquidée depuis le 24 avril, j’ai reçu 19 témoignages de particuliers qui ont été prélevés depuis.

Oui : SFAM continue de ponctionner ses clients alors que l’activité est morte, et qu’un administrateur judiciaire est nommé. Et plusieurs filiales d’Indexia également.

Call me by your RIB

Il existe des recours.

Comme je le disais au-dessus, n’importe quel prélèvement peut être contesté. S’il provient d’un SEPA autorisé, le délai est de 8 semaines. 13 mois s’il n’était pas autorisé, sauf si le prélevant est hors UE, auquel cas le délai est de 70 jours.

Dans le premier cas, le remboursement doit avoir lieu sous 10 jours ouvrables. Dans le 2e, cela doit être fait au plus tard à la fin du 1er jour ouvrable, et le compte doit être remis dans l’état qu’il était. C’est-à-dire que les éventuels frais ou agios doivent être restitués.

Aucun justificatif ou justification n’est nécessaire. La banque n’a aucun jugement à donner. Par contre, en cas de prélèvement dû, ça n’annule évidemment pas la dette.

Certaines banques le permettent facilement. Chez Boursorama, il est possible de le faire directement, en ligne, de manière automatique.

Chez tous les acteurs traditionnels, cela relève de l’exploit d’y aller. Aucun de ceux que j’ai testés, ou des témoignages reçus ne permettent une contestation en ligne. Dans la plupart des cas, une formalisation e-mail suffisait. Mais parfois, le conseiller demande l’envoi d’un courrier ou d’un courrier recommandé. Une démarche superflue que la loi n’impose pas.

Rares sont les victimes qui ont réussi à se faire rembourser les frais, parfois très élevés, notamment chez les personnes les plus précaires qui se sont vu parfois ponctionner plusieurs milliers d’euros par SFAM.

Faillite Club

Dès lors, devant le nombre de plaintes et de procédures engagées (des dizaines de condamnations aux tribunaux judiciaires et commerciaux, amendes CNIL, amendes DGCCRF, suspension ACPR, etc.) comment expliquer l’incapacité des régulateurs à réagir ?

Certes l’ACPR interdit en avril 2023 la souscription de tout contrat. Mais cette interdiction va pousser SFAM, au bord du gouffre, à accélérer les prélèvements indus.

Comment le régulateur a-t-il pu passer à côté du problème ?

Comment toutes les autorités ont-elles pu laisser faire ?

Sfam a été condamné à au moins 14 reprises pour prélèvements illégaux, et au moins 12 fois pour des mandats faux ou inexistants.

Pourquoi aucune mesure n’a été prise pour arrêter ces pratiques, visiblement systémiques ?

S’il est vraiment que les méthodes de vente du groupe étaient plus que discutables, c’est bien le système SEPA qui était au cœur de la fraude, et l’ACPR ne pouvait l’ignorer. Et le tribunal de commerce a bien insisté sur la lourdeur du dossier.

La responsabilité des banques pose forcément question. Quel intérêt d’avoir un mandat, dont la signature est obligatoire, si personne ne vérifie qu’il est signé ou si la signature est valide ?

Pourquoi des prélèvements ont lieu, alors que le mandat avait été révoqué plusieurs années avant ?

L’ACPR, et plus largement la Banque de France et SEPA doivent remettre sur la table les failles d’un système qui permet à n’importe qui de prélever n’importe quoi.

Into the wild

Si on peut comprendre qu’il est impossible d’arrêter les fraudes vu les millions de prélèvements qui passent, le fait que ça puisse devenir systémique pose question sur la fiabilité du système.

Mais des pistes doivent être envisagées.

• Mise en place d’un whitelisting d’entreprises autorisées à prélever ;
• Et à l’inverse, blacklister les ICS dès qu’un nombre significatif de plaintes avérées sont signalées ;
• Validation de la véracité des mandats par une signature électrique ou des SMS OTP

Le système a connu la même chose il y a quelques années sur la fraude au CB en ligne. Elle est aujourd’hui marginale grâce à des mesures fortes et une sensibilisation des usagers.

Il me parait urgent de faire pareil sur les virements SEPA.