Fraude documentaire en souscription SCPI : comment l'IA détecte les faux

CNI falsifiées, avis d'imposition modifiés : les techniques de fraude et la détection automatique
9 min de lecture

La fraude documentaire est un risque croissant dans le secteur de la gestion de patrimoine. Avec la généralisation des outils d'édition numérique et de l'IA générative, la falsification de documents devient de plus en plus sophistiquée. Pour les CGP, détecter les faux avant la souscription est à la fois une obligation réglementaire et une protection contre la complicité de blanchiment.

Statistiques de la fraude documentaire

Indicateur20222024Source
Cout moyen/fraude8 500 EUR10 800 EURObs. fraude
Détection sans IA35%25%Estimations professionnelles
Détection avec IA85%92%Estimations professionnelles

L'ampleur du phénomène

Le Service central de la fraude documentaire et à l'identité (SCFDI, rattaché à la Direction centrale de la police judiciaire) estime que 15 à 20% des documents d'identité présentés dans les circuits financiers font l'objet de falsification ou de fraude à l'identité.

Dans le contexte spécifique de la souscription SCPI, les fraudes les plus fréquentes visent à :

  • Masquer l'identité réelle du souscripteur (usurpation d'identité)
  • Gonfler les revenus pour justifier la capacité d'investissement (avis d'imposition retouché)
  • Dissimuler un changement de domicile ou de résidence fiscale
  • Présenter un KBis périmé comme récent (modification de la date)

Les types de fraude documentaire les plus courants

Falsification de CNI ou de passeport

Les techniques de falsification des documents d'identité comprennent :

  • Substitution de photo — La photo du titulaire est remplacée par celle du fraudeur. Sur les nouvelles cartes d'identité françaises (format carte bancaire, depuis 2021), cette technique est rendue plus difficile par le laser engraving et la puce NFC, mais les anciennes CNI (format cartonné) restent vulnérables.
  • Modification des données textuelles — Nom, date de naissance, numéro modifiés numériquement. Détectable par analyse des polices de caractères et de l'alignement.
  • Document entièrement contrefait — Reproduction complète d'un document d'identité. Détectable par vérification des éléments de sécurité (hologramme, filigrane, encre UV).

La vérification MRZ (Machine Readable Zone) est un premier filtre efficace : le code MRZ contient un checksum (chiffre de contrôle) calculé à partir des données du document. Si les données visuelles ont été modifiées mais pas le MRZ, l'incohérence est détectable automatiquement.

Falsification d'avis d'imposition

L'avis d'imposition est le document le plus fréquemment falsifié dans les dossiers de souscription, car :

  • Il est facilement téléchargeable en PDF depuis impots.gouv.fr
  • Les PDF téléchargés ne sont pas protégés contre l'édition
  • Les revenus déclarés sont un critère déterminant pour l'évaluation de la capacité d'investissement

Les modifications les plus courantes :

  • Augmentation du revenu fiscal de référence (RFR)
  • Modification de l'adresse fiscale
  • Changement du nombre de parts
  • Modification de la situation familiale

Ces modifications sont détectables par l'analyse des métadonnées du PDF. Un avis d'imposition authentique, téléchargé depuis impots.gouv.fr, a des métadonnées spécifiques (producteur PDF, date de création, signature numérique). Un document modifié avec Adobe Acrobat, Photoshop ou un éditeur PDF en ligne laisse des traces dans les métadonnées.

Falsification de justificatif de domicile

Factures EDF, téléphone, quittances de loyer : ces documents sont souvent modifiés pour changer l'adresse ou la date. Les faux justificatifs de domicile servent généralement à masquer un changement de résidence fiscale ou à présenter une adresse conforme aux exigences de la SGP.

KBis retouché

La date du KBis est modifiée pour le faire paraître récent (moins de 3 mois) alors qu'il est périmé. La vérification est simple : le numéro de greffe et la date d'émission peuvent être vérifiés sur le site d'Infogreffe.

Obligations du CGP en cas de suspicion

L'article L.561-15 du CMF impose au CGP de déclarer à Tracfin les opérations dont il soupçonne qu'elles proviennent d'une infraction. La présentation d'un faux document est un délit pénal (article 441-1 du Code pénal : "un an d'emprisonnement et 15 000 euros d'amende").

Le CGP qui détecte un document suspect doit :

  1. Ne pas alerter le client (interdiction de tipping-off, article L.561-19 CMF)
  2. Documenter les éléments suspects (captures d'écran, notes d'analyse)
  3. Déposer une déclaration de soupçon à Tracfin dans les meilleurs délais
  4. Conserver les documents originaux
  5. Ne pas procéder à la souscription (article L.561-8 CMF : obligation de ne pas exécuter l'opération)

Détection automatique par l'IA

Ragindeed utilise plusieurs couches de vérification pour détecter les documents suspects :

  • Validation MRZ — Vérification automatique du checksum MRZ de la CNI/passeport. Incohérence entre données visuelles et MRZ = alerte immédiate.
  • Analyse des métadonnées PDF — Détection des logiciels d'édition (Adobe Acrobat, Photoshop, GIMP, éditeurs PDF en ligne) dans les métadonnées du fichier.
  • Cohérence inter-documents — Le nom sur la CNI doit correspondre exactement à celui de l'avis d'imposition, du justificatif de domicile et du bulletin de souscription. L'adresse doit être cohérente entre les pièces.
  • Vérification de format — L'avis d'imposition de l'année N doit correspondre au format officiel de cette année (la DGFiP modifie le format chaque année).
  • Analyse visuelle — Détection de zones de l'image ayant une résolution différente (signe de montage photo), polices de caractères incohérentes, alignements incorrects.

Ces vérifications ne garantissent pas la détection de tous les faux (un faussaire professionnel peut contourner certaines vérifications), mais elles éliminent la grande majorité des falsifications opportunistes — qui représentent la majorité des cas.

Les nouvelles menaces : IA generative et deepfakes

Depuis 2023, les outils d IA generative (ChatGPT, Midjourney, DALL-E) permettent de produire des documents faux de plus en plus convaincants :

  • Avis d imposition synthetiques : generables en quelques minutes avec le bon prompt. Format, mise en page et typographie quasi-identiques a l original.
  • Faux KBis : reproductions fideles incluant le logo Infogreffe et les mentions legales.
  • Photos d identite modifiees : les deepfakes permettent de substituer un visage sur une photo d identite scannee.
  • Faux RIB : modification du titulaire ou de l IBAN sur un RIB bancaire authentique.

L article 441-1 du Code penal sanctionne la fabrication ou l usage de faux documents d un an d emprisonnement et 15 000 EUR d amende. L usage de faux en matiere financiere (article 441-2) est puni de cinq ans d emprisonnement et 75 000 EUR d amende.

Les couches de verification automatique

CoucheTechniqueEfficaciteFaux detectes
MRZ checksumVerification mathematique du code MRZ100% si MRZ non modifieModifications texte sans mise a jour MRZ
Metadonnees PDFAnalyse du producteur PDF, dates, signatures85-90%Documents modifies avec editeurs PDF
Coherence inter-documentsComparaison nom, adresse, dates entre pieces75-80%Documents de personnes differentes
Analyse visuelle IADetection zones de resolution differente, polices70-80%Montages photo, substitutions
Verification format officielComparaison avec le format de l annee90%Avis d imposition d un format different
Verification externeInfogreffe (KBis), impots.gouv.fr (QR code)95-100%Tous les faux non issus de la source officielle

L approche multicouche de Ragindeed combine ces 6 niveaux de verification pour atteindre un taux de detection global superieur a 92%, contre environ 25% pour une verification purement visuelle humaine.

Procedure en cas de detection de faux

Le CGP qui detecte un document suspect doit suivre une procedure stricte, dictee par les articles L.561-15 et L.561-19 du CMF :

  1. Ne pas alerter le client (interdiction de tipping-off, article L.561-19 CMF, puni de 22 500 EUR d amende)
  2. Documenter les elements suspects : captures d ecran, notes d analyse, comparaisons avec documents authentiques
  3. Deposer une declaration de soupcon a Tracfin dans les meilleurs delais via la plateforme ERMES
  4. Conserver les documents originaux dans un dossier securise
  5. Ne pas proceder a la souscription (article L.561-8 CMF)
  6. Informer le responsable conformite (ou le declarant Tracfin designe)

Le delai de depot de la declaration de soupcon n est pas fixe par la loi, mais Tracfin recommande un depot dans les 48 heures suivant la detection. La non-déclaration est sanctionnée par le CMF.

Exemple concret : detection d un avis d imposition falsifie

Un CGP recoit un dossier de souscription SCPI pour 200 000 EUR. L avis d imposition presente un revenu fiscal de reference de 180 000 EUR. L analyse automatique detecte :

  1. Le producteur PDF est Adobe Acrobat Pro (un avis telecharge depuis impots.gouv.fr a comme producteur iText ou PDFCreator)
  2. La date de creation du PDF est posterieure de 3 mois a la date d emission de l avis
  3. La police de caracteres du montant du RFR est legerement differente du reste du document
  4. Le QR code de verification (present depuis 2020) est absent

Score de suspicion : 0.85/1.0 (eleve). Le CGP est alerte et procede a une verification manuelle : il demande au client de fournir un avis telecharge directement depuis son espace impots.gouv.fr en sa presence. Le nouveau document revele un RFR de 45 000 EUR (4 fois inferieur au montant falsifie).

Consequence : declaration de soupcon a Tracfin et refus de la souscription. Le client avait falsifie son avis d imposition pour justifier une capacite d investissement qu il n avait pas, possiblement pour blanchir des fonds d origine illicite.

Verification des documents d identite : les elements de securite

La nouvelle carte nationale d identite francaise (format carte bancaire, depuis aout 2021) integre de nombreux elements de securite :

ElementDescriptionVerifiable par IA
Puce NFCContient les donnees biometriques et la photoOui (lecture NFC mobile)
HologrammeSymboles holographiques changeant selon l anglePartiellement (analyse visuelle)
MRZMachine Readable Zone avec checksumOui (verification automatique)
Micro-impressionTexte microscopique invisible a l oeil nuNon (necessite loupe/scan haute resolution)
Encre UVElements visibles sous lumiere ultravioletteNon (necessite equipement physique)
Photo gravee laserPhoto gravee dans le polycarbonatePartiellement
QR codeCode de verification 2D-DocOui (verification en ligne)

L ancienne CNI (format cartonne, encore valide jusqu en 2034 pour les cartes emises entre 2004 et 2013) offre beaucoup moins d elements de securite, ce qui la rend plus vulnerable a la falsification.

Bonnes pratiques de verification manuelle

Meme avec des outils automatiques, le CGP doit maintenir des reflexes de verification manuelle :

  • Verifier la photo : le visage correspond-il a la personne en face de vous (ou en visio) ?
  • Verifier la date de validite : la piece est-elle encore valide ?
  • Verifier la coherence des informations : nom, date de naissance, adresse sont-ils coherents entre les pieces ?
  • Verifier le QR code 2D-Doc (si present) via le site officiel
  • En cas de doute : demander une deuxieme piece d identite (passeport si la CNI est suspecte, et vice versa)

Responsabilite du CGP en cas de fraude non detectee

Le CGP qui valide un dossier contenant un faux document s expose a plusieurs risques :

RisqueBase legaleSanction
Complicite de blanchimentArt. L.561-15 CMF5 ans prison + 375 000 EUR amende
Manquement obligation vigilanceArt. L.561-5 CMFSanction AMF (variable)
Non-déclaration de soupçonCMFAmende
Responsabilite civileArt. 1240 Code civilDommages-interets a la SGP/investisseur
Defaut de conseilJurisprudenceIndemnisation du prejudice client

La jurisprudence considere que le CGP est un professionnel averti qui doit appliquer un niveau de vigilance superieur a celui d un non-professionnel. L argument je n ai pas vu que c etait un faux n est pas recevable si des outils de detection etaient disponibles et non utilises.

Détection de fraude documentaire intégrée au Pack AMLR. Découvrir le Pack AMLR →

Vous souhaitez voir Ragindeed en action sur vos documents ?

Demandez une démonstration personnalisée avec vos propres baux, dossiers KYC ou documents métier.

Demandez une démo
Partager cet article
Étiquettes
Obligation de vigilance continue : le refresh KYC des CGP expliqué
Comment organiser la mise à jour périodique des dossiers clients existants