Ils imitent la voix de votre conseiller, connaissent vos dernières dépenses et manipulent vos réflexes comme des prestidigitateurs. En Belgique comme ailleurs, l’arnaque bancaire explose. Analyse, décryptage et conseils pour se protéger.
Il pensait avoir le réflexe du doute chevillé au corps. L’instinct du méfiant. Le flair du journaliste. Et pourtant, Thibaut Martinez-Delcayrou s’est fait piéger comme les autres. «C’est exact. Ça m’est arrivé fin décembre 2023. J’étais en reportage. Le numéro de ma banque s’affiche. Il s’agit du service des fraudes. On m’informe qu’il y a deux virements frauduleux sur mon compte. Je leur réponds que je n’ai pas le temps de m’en occuper. La banque me dit qu’elle bloque tout ça et me rappelle le lendemain.» Un discours bien rodé, un ton rassurant et surtout une maîtrise troublante de ses données personnelles. De quoi désarmer même les plus vigilants. «Je suis méfiant. Je me renseigne sur la personne au bout du fil. Le conseiller me donne alors toutes mes informations les plus confidentielles: nom, prénom, date de naissance, derniers achats, encours, nom et prénom des parents, adresse personnelle. Tout. Après ça, il me dit que je vais recevoir un code confidentiel par SMS, ce qui est le cas, pour mettre fin au virement frauduleux. En fait, ce code permettait de vider mon compte courant.»
L’affaire aurait pu s’arrêter là: un épisode amer dans la vie d’un jeune journaliste. Mais Thibaut Martinez-Delcayrou a décidé de mener l’enquête. Des mois d’investigation, des centaines d’heures passées à remonter les pistes, à parler aux arnaqueurs, à interroger les victimes. Résultat: un livre aussi troublant que documenté, Les Caméléons. Enquête sur l’arnaque aux faux conseillers bancaires.
Ces escrocs, il les a rencontrés. Longuement. «Bien sûr! En plus d’avoir possession de toutes nos informations confidentielles, les escrocs ont la science parfaite du système bancaire. Certains ont été formés, d’autres sont vraiment d’anciens conseillers bancaires. » Ils savent quoi dire, comment le dire et, surtout : à qui.
Jadis cantonnées à des cas isolés et artisanaux, les arnaques bancaires prennent aujourd’hui une tout autre ampleur. Et la Belgique n’est pas épargnée. En janvier dernier, la fédération du secteur financier belge (Febelfin) a lancé un cri d’alarme: le nombre d’escroqueries ne cesse d’augmenter, malgré les dispositifs de sécurité renforcés et les campagnes de prévention. Le phishing –ou hameçonnage– reste la technique reine, utilisée dans la majorité des cas. Il permet aux fraudeurs de récupérer les données personnelles et bancaires des victimes en se faisant passer pour leur banque, leur opérateur ou même les autorités.
Selon Febelfin, les pertes liées aux campagnes de phishing se sont élevées à plus de 40 millions d’euros en 2023 en Belgique, malgré le fait que 75% des virements frauduleux ont pu être bloqués ou récupérés à temps. Mais derrière ces chiffres se cache une violence invisible, souvent mal comprise. L’arnaque ne frappe pas que le portefeuille: elle blesse la confiance, fragilise la sécurité psychologique et peut entraîner de lourdes conséquences sociales.
Près d’un tiers du montant total des fraudes est aujourd’hui lié à des scénarios manipulatoires reposant sur la psychologie des victimes.
Un autre indicateur illustre la multiplication des cas: l’Autorité belge des services et marchés financiers (FSMA) a reçu 2.170 signalements de fraudes financières en 2023, dont 933 concernaient des plateformes de trading frauduleuses, lesquelles sont souvent déguisées en start-up financières ou en placements «verts». Les pertes s’élèvent à plus de 15,4 millions d’euros, avec une perte moyenne de près de 15. 900 euros par victime .
La France suit une trajectoire parallèle. Entre 2016 et 2023, le nombre de plaintes pour escroquerie y a bondi de 64%, passant de 250. 900 à 411. 700. En ligne de mire, les fraudes dites par «manipulation» –où l’escroc se fait passer pour un conseiller, un avocat ou un policier. L’Observatoire de la sécurité des moyens de paiement l’atteste: près d’un tiers du montant total des fraudes est aujourd’hui lié à de l’ingénierie sociale, autrement dit à des scénarios manipulatoires reposant sur la psychologie des victimes. Et les montants détournés donnent le vertige: 197 millions d’euros au second semestre 2023, contre 179 millions au premier semestre 2024.
A l’échelle européenne, le constat est tout aussi préoccupant. Le phishing reste le vecteur d’attaque principal, utilisé comme point d’entrée pour une multitude de scénarios plus complexes: arnaques au virement, fausses demandes d’investissements, escroqueries sentimentales ou fraudes au président (où l’escroc se fait passer pour un supérieur hiérarchique). Un rapport paneuropéen réalisé en 2024 met en lumière une hausse de 43% des tentatives de fraude, avec une explosion de 156% des arnaques par manipulation directe et de 77% pour les campagnes de phishing.
Ce glissement structurel, du délit artisanal au crime algorithmique, s’inscrit dans un contexte plus large encore: celui de la déshumanisation croissante de la relation bancaire. La Belgique, souvent pionnière en matière de bancarisation numérique, en paie aujourd’hui le prix fort. «Il y a certainement un impact lié à la numérisation des opérations bancaires et la disparition du contact en agence, ce qui est lié à la disparition des agences. Il n’y a plus réellement d’interlocuteur bancaire clairement identifié, donc les victimes trouvent « normal » d’être contactées par un interlocuteur inconnu», éclaire Isabelle Marchal, assistante criminologue au département de criminologie de l’ULiège. Cette perte de repères ouvre un boulevard aux escrocs. Car, poursuit-elle, «les applications bancaires et autres plateformes Internet recèlent des zones d’ombre de fonctionnement dans lesquelles les criminels peuvent s’engouffrer».
En somme, la disparition progressive des agences physiques, la dématérialisation intégrale des relations client-conseiller et la complexité croissante des outils numériques laissent un vide. Dans lequel s’engouffrent les fraudeurs. Un vide où, parfois, les victimes les mieux préparées perdent pied.
Jeunes, adultes, seniors: personne n’est à l’abri
Qui tombe dans le piège des faux conseillers bancaires? En surface, la réponse semble évidente. On pense aux seniors isolés, aux personnes peu familiarisées avec les outils numériques, à celles qui paniquent devant un code SMS suspect. Et pourtant. Ce portrait-robot vole en éclats dès qu’on creuse. Les données récentes, comme les informations et les témoignages recueillis par Thibaut Martinez-Delcayrou, révèlent une réalité plus déroutante: personne n’est véritablement à l’abri. «Ceux qui pensaient ne jamais se faire avoir, ceux qui se disaient que ça ne pourrait pas leur arriver se retrouvent face à des arnaques indétectables à l’œil nu. Parce qu’on est actuellement en train de vivre un tournant de l’histoire de l’arnaque. Jamais les escrocs n’ont possédé autant de données confidentielles.» Ce constat interpelle. Car même les plus vigilants peuvent tomber dans le panneau. «Oui, les jeunes sont plus touchés pour plusieurs raisons: ils pensent que ça ne leur arrivera jamais et ils sont tous certains de pouvoir détecter une arnaque aujourd’hui; alors que même des policiers, des banquiers et des juges tombent dedans et c’est normal, puisque les escrocs ont trois coups d’avance sur les autorités. Or, les moins de 35 ans sont les plus représentés dans les victimes d’arnaques: en France, 72% ont été victimes d’une tentative d’arnaque en 2024 (contre une moyenne de 57% pour la population française).» Un paradoxe apparent: ceux que l’on croit les plus «connectés» sont aussi les plus vulnérables. Cela s’explique sans doute par des pratiques numériques jugées à risque: 63% des jeunes adultes admettent consulter ou transférer des messages suspects, contre 44% pour l’ensemble des Français, et plus d’un jeune sur deux (53%) enregistre ses coordonnées bancaires sur des sites marchands, contre environ un tiers pour les autres tranches d’âge.
En Belgique, les fausses plateformes d’investissement ciblent majoritairement des hommes francophones de plus de 50 ans.
Pourquoi cet excès de confiance? Sans doute parce que les jeunes maîtrisent les codes, mais pas toujours les failles. Leur culture numérique ne les prépare pas à l’ingénierie sociale hyperpersonnalisée à laquelle ils sont confrontés. Ils se croient armés pour repérer une tentative frauduleuse, alors qu’en réalité, les escrocs les ciblent justement parce qu’ils se pensent inaccessibles. «Les escrocs ont trois coups d’avance», répète Thibaut, presque en boucle.
A cette palette de victimes s’ajoutent les clients dits «matures»: actifs, parfois aisés, souvent masculins. En Belgique, les fausses plateformes d’investissement ciblent majoritairement des hommes francophones de plus de 50 ans, comme l’a rappelé la FSMA dans son dernier rapport. En France aussi, la fraude touche en priorité les 25-54 ans, c’est-à-dire ceux qui travaillent, investissent, épargnent –et qui, parfois, ont un peu trop confiance dans leurs capacités à «voir venir». En somme, il n’existe pas de victime type. Seulement des techniques adaptées à chaque profil. Aux jeunes, les SMS et les apps. Aux seniors, le téléphone et l’appel à l’urgence. Aux professionnels, le vernis de légitimité. Les arnaqueurs, eux, s’adaptent. Et deviennent les véritables «caméléons» d’une société bancaire dématérialisée.
Un phénomène d’ampleur
Pendant que les banques peaufinent leurs systèmes de détection, les escrocs, eux, peaufinent leurs algorithmes. Derrière les airs policés des «caméléons», parfois infiltrés dans les réseaux bancaires, une nouvelle génération de fraudeurs se dessine –technophile, internationale, inventive, parfois plus agile que les institutions censées les freiner.
Les experts sont unanimes: les années à venir seront marquées par une montée en puissance des fraudes, dopées par l’intelligence artificielle. Voix imitées à la perfection, visios truquées, phishing ciblé jusqu’au prénom du chien et au dernier achat effectué: le futur, c’est déjà maintenant. «On prévoit que d’ici à 2027, ce genre d’arnaques augmentera de 300 à 400% avec l’intelligence artificielle, confirme l’auteur de Caméléons. Au cours de mon enquête, les policiers, magistrats et hackers que j’ai rencontrés m’ont montré à quel point ça évoluait vite et à quel point les escrocs maîtrisaient de mieux en mieux ces outils. Vous imaginez que cette technologie, couplée aux fuites de données, offre un nouveau boulevard aux escrocs. Ça devient une forme de criminalité plus rémunératrice et moins risquée que le narcotrafic.»
Lire aussi | Le phishing a causé deux fois plus de dommages financiers l’année dernière qu’en 2023
Le parallèle avec le trafic de drogue est éclairant. Moins risqué, plus rentable et d’une certaine manière, plus difficile à tracer. D’autant que les outils à la disposition des cybercriminels sont en libre accès: IA générative, modélisation vocale, clones vidéo… Ce qui relevait autrefois de la science-fiction est aujourd’hui accessible à tout groupe suffisamment structuré.
Des institutions comme Europol ou Enisa (agence européenne pour la cybersécurité) tirent la sonnette d’alarme: les arnaques s’industrialisent. Les deepfakes vocaux permettent d’appeler une victime avec la voix exacte d’un proche ou d’un conseiller bancaire réel. Les arnaques dites «augmentées» –comme la fausse offre d’investissement ou la fraude au CEO– gagnent en crédibilité grâce à l’IA. Un appel, une voix, un visage apparaissant sur WhatsApp ou Zoom: tout semble authentique, jusqu’au piège.
Les autorités observent aussi un tournant stratégique. Les escrocs ne ciblent plus au hasard. Exit les spams massifs et mal orthographiés: place au phishing ciblé. Les messages sont personnalisés selon les habitudes de consommation, les données sociales, les abonnements. Un lien cliqué un jour, un numéro laissé sur un site anodin, et la machine est en marche.
Cette guerre technologique est un perpétuel jeu de rattrapage: chaque avancée des uns est contournée par les autres.
De leur côté, les banques aussi s’équipent. Avec les fintechs, elles investissent massivement dans l’IA défensive. Certaines plateformes analysent désormais plusieurs millions de transactions en temps réel, avec des algorithmes capables de détecter en quelques millisecondes des comportements suspects, tout en réduisant drastiquement les faux positifs. Mais cette guerre technologique est un perpétuel jeu de rattrapage. Chaque avancée des uns est contournée par les autres. Plus encore, les marges de manœuvre sont limitées par les opérateurs eux-mêmes.
Car les failles, comme le rappelle Thibaut Martinez-Delcayrou, ne sont pas uniquement techniques. «Les failles du système bancaire sont techniques et humaines. Beaucoup de banques n’arrivent pas à détecter des virements frauduleux aujourd’hui, ce qui joue le jeu des escrocs. Au niveau humain, on parle de vrais infiltrés au sein des banques qui vendent des informations confidentielles à des escrocs très en place. Enfin, chez les opérateurs téléphoniques, on retrouve un problème fondamental: ils sont incapables, techniquement, en 2025, d’empêcher les escrocs d’usurper un numéro de téléphone. C’est un point essentiel de l’enquête. Ce mélange fait que les escrocs n’ont jamais été aussi puissants.»
Le constat est clair: les cybercriminels se réorganisent plus vite que les autorités. A l’horizon 2030, les experts prédisent que les arnaques bancaires via l’IA seront l’un des premiers vecteurs de délinquance numérique dans le monde. Pour Thibaut Martinez-Delcayrou, l’urgence est double: former, mais surtout informer. Car la méfiance est désormais une vertu de survie.
Les bons réflexes à adopter
Face à l’ampleur de la menace, une question revient sans cesse: que faire? Et surtout, que faire de plus que ce qui est déjà tenté –campagnes de sensibilisation, dispositifs d’alerte, filtres antispam, sécurisation des applications? Pour les deux experts interrogés, la clé est claire: la riposte est d’abord mentale. Avant d’être technique, elle est cognitive. Et culturelle.
«Il y a deux solutions essentielles pour lutter contre les fraudeurs, propose Thibaut Martinez-Delcayrou. Les conseils que je vais vous donner ne sont pas les miens, ce sont ceux des meilleurs enquêteurs et des meilleurs juges sur ces cas. La première, c’est d’accepter d’être parano, et de ne pas avoir honte de le devenir. La deuxième, c’est de s’informer, plus que jamais, sur les méthodes des escrocs. Vos données confidentielles sont déjà dans la nature. Ils vont les exploiter, ce soir, demain, dans une semaine ou dans un an.» De son côté, Isabelle Marchal (ULiège) complète en rappelant que «l’action est principalement préventive. Elle passe d’abord par une sensibilisation aux risques inhérents à ces pratiques. » Et d’ajouter: «On constate que les banques alertent désormais sur les arnaques détectées. Subsiste la question de savoir qui lit ces alertes et qui en tient réellement compte.»
Au-delà des messages ponctuels, il s’agit surtout d’installer dans les esprits un nouveau rapport à la sécurité. Isabelle Marchal en précise les contours: « En amont, il y a aussi le volet d’une prévention plus générale de l’intégrité des systèmes et des données. Les gens doivent savoir qu’une banque n’agira jamais comme dans les fraudes au conseiller. Mais il faut une sensibilisation plus large aux bonnes pratiques: on n’ouvre pas de pièce jointe à un email d’un expéditeur inconnu, on est vigilant par rapport aux sites sur lesquels on navigue et où l’on est amené à introduire des données sensibles.»
La vigilance ne suffirait pas. Il faut aussi cultiver une certaine humilité numérique. Accepter que l’on peut être trompé, même en étant attentif. Même en pensant être au-dessus de ça. Même si l’on travaille dans la cybersécurité ou la finance. Cette dimension psychologique est au cœur de l’arnaque. Elle repose sur la peur, sur l’urgence fabriquée. Et cela, les escrocs l’ont compris mieux que quiconque.
