Comment un groupe a volé des dizaines de millions grùce à une faille du systÚme SPEA
Il y a quelques jours, jâĂ©voquais lâaffaire Sfam Ă lâoccasion de la liquidation de cette entreprise, principale filiale dâIndexia. Dâailleurs, le groupe semble aujourdâhui condamnĂ© Ă sâĂ©teindre dans la douleur, en attendant le sort rĂ©servĂ© Ă son patron, qui se qualifie de âplus jeune milliardaire de Franceâ.
Mais au cĆur de lâaffaire se pose un sĂ©rieux problĂšme sur lequel les rĂ©gulateurs ferme les yeux : celui du SEPA.
Le Single Euro Payments Area (SEPA) est une association de pays de la zone euro, de lâUE et un peu au-delĂ qui se sont mis dâaccord pour harmoniser leurs paiements. Câest Ă©videmment une consĂ©quence directe de lâeuro, mais plus largement une maniĂšre de faire en sorte que les Ă©changes financiers en Europe soient simples et sĂ©curisĂ©s.
La norme permet la mise en place de 2 nouveaux instruments communs de paiement :
- Le virement (SCT, SEPA Credit Transfer)
- Le prélÚvement (SDD, SEPA Direct Debit)
Globalement, ça existait déjà dans la plupart des pays, mais ça facilite les échanges entre les pays.
Câest (pas) sorcier
Contrairement au SCT, le SDD a Ă©tĂ© trĂšs long Ă mettre en place. Il est dâailleurs arrivĂ© en 2010, soit deux ans aprĂšs le SCT. Le grand changement, câest que SEPA dĂ©centralise les opĂ©rations et les autorisations, ce qui permet donc dâĂ©changer plus facilement.
- Chaque créancier, celui qui prélÚve, se voit attribuer un ICS (Identifiant Créancier SEPA) :
- Chaque mandat, lâautorisation de prĂ©lever, se voit attribuer un RUM (rĂ©fĂ©rence unique de mandat).
De fait la banque ne dĂ©tient plus le mandat, et câest donc au crĂ©ancier quâil faut demander lâarrĂȘt des prĂ©lĂšvements.
Par contre, les rĂ©clamations doivent avoir lieu beaucoup plus rapidement. CâĂ©tait 2 Ă 5 ans auparavant (les dĂ©lais de prescription dâune dette), et cela passe Ă 8 semaines peu important le motif, sauf si le prĂ©lĂšvement est fait sans mandat (13 mois).
En Ă©change, les banques doivent rembourser sans rien demander.
Sauf que⊠yâa toujours des petits malins.
Houston, we have an escrow
La premiĂšre fois que jâavais entendu dâun problĂšme SEPA, câĂ©tait en 2018. Je travaillais alors pour un labo, en charge du marketing et notamment de lâe-commerce. Parmi les moyens de paiement, nous proposions les habituels CB ou PayPal, mais Ă©galement le chĂšque (la clientĂšle Ă©tait parfois ĂągĂ©e) et le virement.
Jusquâau jour oĂč la directrice financiĂšre me parle dâun prĂ©lĂšvement. Je nâai plus le nom exact, mais, de loin, çâaurait pu ĂȘtre une dĂ©pense marketing. Il a fallu des semaines pour remonter le fil avant de sâapercevoir que⊠câĂ©tait un particulier qui avait utilisĂ© les coordonnĂ©es bancaires de lâentreprise pour payer un abonnement.
En cherchant le nom, jâai remarquĂ© que cette dame Ă©tait cliente, et quâelle avait demandĂ© un paiement par virement, finalement jamais effectuĂ©. La commande avait donc Ă©tĂ© annulĂ©e, mais elle avait reçu le RIB.
Avec les numéros, elle avait tout simplement rempli un SEPA⊠Que la banque avait validé.
Minable & Cortex
Câest exactement le cĆur de lâescroquerie gĂ©nĂ©ralisĂ©e de SFAM. Ă de TRĂS nombreuses reprises, Indexia et ses filiales ont utilisĂ© des coordonnĂ©es bancaires afin de prĂ©lĂšvement illĂ©galement sur le compte dâex-client, ou de personnes simplement dĂ©marchĂ©es.
Soit en continuant de prélever des contrats résiliés.
Soit en signant Ă la place des clients des mandats SEPA.
Soit en ressortant les coordonnées bancaires des clients parfois 5, 6 voire 7 ans aprÚs le dernier prélÚvement.
Aucune banque nâa jamais proactivement agi.
Pire. Alors mĂȘme que lâentreprise est liquidĂ©e depuis le 24 avril, jâai reçu 19 tĂ©moignages de particuliers qui ont Ă©tĂ© prĂ©levĂ©s depuis.
Oui : SFAM continue de ponctionner ses clients alors que lâactivitĂ© est morte, et quâun administrateur judiciaire est nommĂ©. Et plusieurs filiales dâIndexia Ă©galement.
Call me by your RIB
Il existe des recours.
Comme je le disais au-dessus, nâimporte quel prĂ©lĂšvement peut ĂȘtre contestĂ©. Sâil provient dâun SEPA autorisĂ©, le dĂ©lai est de 8 semaines. 13 mois sâil nâĂ©tait pas autorisĂ©, sauf si le prĂ©levant est hors UE, auquel cas le dĂ©lai est de 70 jours.
Dans le premier cas, le remboursement doit avoir lieu sous 10 jours ouvrables. Dans le 2e, cela doit ĂȘtre fait au plus tard Ă la fin du 1er jour ouvrable, et le compte doit ĂȘtre remis dans lâĂ©tat quâil Ă©tait. Câest-Ă -dire que les Ă©ventuels frais ou agios doivent ĂȘtre restituĂ©s.
Aucun justificatif ou justification nâest nĂ©cessaire. La banque nâa aucun jugement Ă donner. Par contre, en cas de prĂ©lĂšvement dĂ», ça nâannule Ă©videmment pas la dette.
Certaines banques le permettent facilement. Chez Boursorama, il est possible de le faire directement, en ligne, de maniĂšre automatique.
Chez tous les acteurs traditionnels, cela relĂšve de lâexploit dây aller. Aucun de ceux que jâai testĂ©s, ou des tĂ©moignages reçus ne permettent une contestation en ligne. Dans la plupart des cas, une formalisation e-mail suffisait. Mais parfois, le conseiller demande lâenvoi dâun courrier ou dâun courrier recommandĂ©. Une dĂ©marche superflue que la loi nâimpose pas.
Rares sont les victimes qui ont rĂ©ussi Ă se faire rembourser les frais, parfois trĂšs Ă©levĂ©s, notamment chez les personnes les plus prĂ©caires qui se sont vu parfois ponctionner plusieurs milliers dâeuros par SFAM.
Faillite Club
DĂšs lors, devant le nombre de plaintes et de procĂ©dures engagĂ©es (des dizaines de condamnations aux tribunaux judiciaires et commerciaux, amendes CNIL, amendes DGCCRF, suspension ACPR, etc.) comment expliquer lâincapacitĂ© des rĂ©gulateurs Ă rĂ©agir ?
Certes lâACPR interdit en avril 2023 la souscription de tout contrat. Mais cette interdiction va pousser SFAM, au bord du gouffre, Ă accĂ©lĂ©rer les prĂ©lĂšvements indus.
Comment le régulateur a-t-il pu passer à cÎté du problÚme ?
Comment toutes les autorités ont-elles pu laisser faire ?
Sfam a été condamné à au moins 14 reprises pour prélÚvements illégaux, et au moins 12 fois pour des mandats faux ou inexistants.
Pourquoi aucune mesure nâa Ă©tĂ© prise pour arrĂȘter ces pratiques, visiblement systĂ©miques ?
Sâil est vraiment que les mĂ©thodes de vente du groupe Ă©taient plus que discutables, câest bien le systĂšme SEPA qui Ă©tait au cĆur de la fraude, et lâACPR ne pouvait lâignorer. Et le tribunal de commerce a bien insistĂ© sur la lourdeur du dossier.
La responsabilitĂ© des banques pose forcĂ©ment question. Quel intĂ©rĂȘt dâavoir un mandat, dont la signature est obligatoire, si personne ne vĂ©rifie quâil est signĂ© ou si la signature est valide ?
Pourquoi des prélÚvements ont lieu, alors que le mandat avait été révoqué plusieurs années avant ?
LâACPR, et plus largement la Banque de France et SEPA doivent remettre sur la table les failles dâun systĂšme qui permet Ă nâimporte qui de prĂ©lever nâimporte quoi.
Into the wild
Si on peut comprendre quâil est impossible dâarrĂȘter les fraudes vu les millions de prĂ©lĂšvements qui passent, le fait que ça puisse devenir systĂ©mique pose question sur la fiabilitĂ© du systĂšme.
Mais des pistes doivent ĂȘtre envisagĂ©es.
- Mise en place dâun whitelisting dâentreprises autorisĂ©es Ă prĂ©lever ;
- Et Ă lâinverse, blacklister les ICS dĂšs quâun nombre significatif de plaintes avĂ©rĂ©es sont signalĂ©es ;
- Validation de la véracité des mandats par une signature électrique ou des SMS OTP
Le systĂšme a connu la mĂȘme chose il y a quelques annĂ©es sur la fraude au CB en ligne. Elle est aujourdâhui marginale grĂące Ă des mesures fortes et une sensibilisation des usagers.
Il me parait urgent de faire pareil sur les virements SEPA.