La fraude documentaire est un risque croissant dans le secteur de la gestion de patrimoine. Avec la généralisation des outils d'édition numérique et de l'IA générative, la falsification de documents devient de plus en plus sophistiquée. Pour les CGP, détecter les faux avant la souscription est à la fois une obligation réglementaire et une protection contre la complicité de blanchiment.
Statistiques de la fraude documentaire
| Indicateur | 2022 | 2024 | Source |
|---|---|---|---|
| Cout moyen/fraude | 8 500 EUR | 10 800 EUR | Obs. fraude |
| Détection sans IA | 35% | 25% | Estimations professionnelles |
| Détection avec IA | 85% | 92% | Estimations professionnelles |
L'ampleur du phénomène
Le Service central de la fraude documentaire et à l'identité (SCFDI, rattaché à la Direction centrale de la police judiciaire) estime que 15 à 20% des documents d'identité présentés dans les circuits financiers font l'objet de falsification ou de fraude à l'identité.
Dans le contexte spécifique de la souscription SCPI, les fraudes les plus fréquentes visent à :
- Masquer l'identité réelle du souscripteur (usurpation d'identité)
- Gonfler les revenus pour justifier la capacité d'investissement (avis d'imposition retouché)
- Dissimuler un changement de domicile ou de résidence fiscale
- Présenter un KBis périmé comme récent (modification de la date)
Les types de fraude documentaire les plus courants
Falsification de CNI ou de passeport
Les techniques de falsification des documents d'identité comprennent :
- Substitution de photo — La photo du titulaire est remplacée par celle du fraudeur. Sur les nouvelles cartes d'identité françaises (format carte bancaire, depuis 2021), cette technique est rendue plus difficile par le laser engraving et la puce NFC, mais les anciennes CNI (format cartonné) restent vulnérables.
- Modification des données textuelles — Nom, date de naissance, numéro modifiés numériquement. Détectable par analyse des polices de caractères et de l'alignement.
- Document entièrement contrefait — Reproduction complète d'un document d'identité. Détectable par vérification des éléments de sécurité (hologramme, filigrane, encre UV).
La vérification MRZ (Machine Readable Zone) est un premier filtre efficace : le code MRZ contient un checksum (chiffre de contrôle) calculé à partir des données du document. Si les données visuelles ont été modifiées mais pas le MRZ, l'incohérence est détectable automatiquement.
Falsification d'avis d'imposition
L'avis d'imposition est le document le plus fréquemment falsifié dans les dossiers de souscription, car :
- Il est facilement téléchargeable en PDF depuis impots.gouv.fr
- Les PDF téléchargés ne sont pas protégés contre l'édition
- Les revenus déclarés sont un critère déterminant pour l'évaluation de la capacité d'investissement
Les modifications les plus courantes :
- Augmentation du revenu fiscal de référence (RFR)
- Modification de l'adresse fiscale
- Changement du nombre de parts
- Modification de la situation familiale
Ces modifications sont détectables par l'analyse des métadonnées du PDF. Un avis d'imposition authentique, téléchargé depuis impots.gouv.fr, a des métadonnées spécifiques (producteur PDF, date de création, signature numérique). Un document modifié avec Adobe Acrobat, Photoshop ou un éditeur PDF en ligne laisse des traces dans les métadonnées.
Falsification de justificatif de domicile
Factures EDF, téléphone, quittances de loyer : ces documents sont souvent modifiés pour changer l'adresse ou la date. Les faux justificatifs de domicile servent généralement à masquer un changement de résidence fiscale ou à présenter une adresse conforme aux exigences de la SGP.
KBis retouché
La date du KBis est modifiée pour le faire paraître récent (moins de 3 mois) alors qu'il est périmé. La vérification est simple : le numéro de greffe et la date d'émission peuvent être vérifiés sur le site d'Infogreffe.
Obligations du CGP en cas de suspicion
L'article L.561-15 du CMF impose au CGP de déclarer à Tracfin les opérations dont il soupçonne qu'elles proviennent d'une infraction. La présentation d'un faux document est un délit pénal (article 441-1 du Code pénal : "un an d'emprisonnement et 15 000 euros d'amende").
Le CGP qui détecte un document suspect doit :
- Ne pas alerter le client (interdiction de tipping-off, article L.561-19 CMF)
- Documenter les éléments suspects (captures d'écran, notes d'analyse)
- Déposer une déclaration de soupçon à Tracfin dans les meilleurs délais
- Conserver les documents originaux
- Ne pas procéder à la souscription (article L.561-8 CMF : obligation de ne pas exécuter l'opération)
Détection automatique par l'IA
Ragindeed utilise plusieurs couches de vérification pour détecter les documents suspects :
- Validation MRZ — Vérification automatique du checksum MRZ de la CNI/passeport. Incohérence entre données visuelles et MRZ = alerte immédiate.
- Analyse des métadonnées PDF — Détection des logiciels d'édition (Adobe Acrobat, Photoshop, GIMP, éditeurs PDF en ligne) dans les métadonnées du fichier.
- Cohérence inter-documents — Le nom sur la CNI doit correspondre exactement à celui de l'avis d'imposition, du justificatif de domicile et du bulletin de souscription. L'adresse doit être cohérente entre les pièces.
- Vérification de format — L'avis d'imposition de l'année N doit correspondre au format officiel de cette année (la DGFiP modifie le format chaque année).
- Analyse visuelle — Détection de zones de l'image ayant une résolution différente (signe de montage photo), polices de caractères incohérentes, alignements incorrects.
Ces vérifications ne garantissent pas la détection de tous les faux (un faussaire professionnel peut contourner certaines vérifications), mais elles éliminent la grande majorité des falsifications opportunistes — qui représentent la majorité des cas.
Les nouvelles menaces : IA generative et deepfakes
Depuis 2023, les outils d IA generative (ChatGPT, Midjourney, DALL-E) permettent de produire des documents faux de plus en plus convaincants :
- Avis d imposition synthetiques : generables en quelques minutes avec le bon prompt. Format, mise en page et typographie quasi-identiques a l original.
- Faux KBis : reproductions fideles incluant le logo Infogreffe et les mentions legales.
- Photos d identite modifiees : les deepfakes permettent de substituer un visage sur une photo d identite scannee.
- Faux RIB : modification du titulaire ou de l IBAN sur un RIB bancaire authentique.
L article 441-1 du Code penal sanctionne la fabrication ou l usage de faux documents d un an d emprisonnement et 15 000 EUR d amende. L usage de faux en matiere financiere (article 441-2) est puni de cinq ans d emprisonnement et 75 000 EUR d amende.
Les couches de verification automatique
| Couche | Technique | Efficacite | Faux detectes |
|---|---|---|---|
| MRZ checksum | Verification mathematique du code MRZ | 100% si MRZ non modifie | Modifications texte sans mise a jour MRZ |
| Metadonnees PDF | Analyse du producteur PDF, dates, signatures | 85-90% | Documents modifies avec editeurs PDF |
| Coherence inter-documents | Comparaison nom, adresse, dates entre pieces | 75-80% | Documents de personnes differentes |
| Analyse visuelle IA | Detection zones de resolution differente, polices | 70-80% | Montages photo, substitutions |
| Verification format officiel | Comparaison avec le format de l annee | 90% | Avis d imposition d un format different |
| Verification externe | Infogreffe (KBis), impots.gouv.fr (QR code) | 95-100% | Tous les faux non issus de la source officielle |
L approche multicouche de Ragindeed combine ces 6 niveaux de verification pour atteindre un taux de detection global superieur a 92%, contre environ 25% pour une verification purement visuelle humaine.
Procedure en cas de detection de faux
Le CGP qui detecte un document suspect doit suivre une procedure stricte, dictee par les articles L.561-15 et L.561-19 du CMF :
- Ne pas alerter le client (interdiction de tipping-off, article L.561-19 CMF, puni de 22 500 EUR d amende)
- Documenter les elements suspects : captures d ecran, notes d analyse, comparaisons avec documents authentiques
- Deposer une declaration de soupcon a Tracfin dans les meilleurs delais via la plateforme ERMES
- Conserver les documents originaux dans un dossier securise
- Ne pas proceder a la souscription (article L.561-8 CMF)
- Informer le responsable conformite (ou le declarant Tracfin designe)
Le delai de depot de la declaration de soupcon n est pas fixe par la loi, mais Tracfin recommande un depot dans les 48 heures suivant la detection. La non-déclaration est sanctionnée par le CMF.
Exemple concret : detection d un avis d imposition falsifie
Un CGP recoit un dossier de souscription SCPI pour 200 000 EUR. L avis d imposition presente un revenu fiscal de reference de 180 000 EUR. L analyse automatique detecte :
- Le producteur PDF est Adobe Acrobat Pro (un avis telecharge depuis impots.gouv.fr a comme producteur iText ou PDFCreator)
- La date de creation du PDF est posterieure de 3 mois a la date d emission de l avis
- La police de caracteres du montant du RFR est legerement differente du reste du document
- Le QR code de verification (present depuis 2020) est absent
Score de suspicion : 0.85/1.0 (eleve). Le CGP est alerte et procede a une verification manuelle : il demande au client de fournir un avis telecharge directement depuis son espace impots.gouv.fr en sa presence. Le nouveau document revele un RFR de 45 000 EUR (4 fois inferieur au montant falsifie).
Consequence : declaration de soupcon a Tracfin et refus de la souscription. Le client avait falsifie son avis d imposition pour justifier une capacite d investissement qu il n avait pas, possiblement pour blanchir des fonds d origine illicite.
Verification des documents d identite : les elements de securite
La nouvelle carte nationale d identite francaise (format carte bancaire, depuis aout 2021) integre de nombreux elements de securite :
| Element | Description | Verifiable par IA |
|---|---|---|
| Puce NFC | Contient les donnees biometriques et la photo | Oui (lecture NFC mobile) |
| Hologramme | Symboles holographiques changeant selon l angle | Partiellement (analyse visuelle) |
| MRZ | Machine Readable Zone avec checksum | Oui (verification automatique) |
| Micro-impression | Texte microscopique invisible a l oeil nu | Non (necessite loupe/scan haute resolution) |
| Encre UV | Elements visibles sous lumiere ultraviolette | Non (necessite equipement physique) |
| Photo gravee laser | Photo gravee dans le polycarbonate | Partiellement |
| QR code | Code de verification 2D-Doc | Oui (verification en ligne) |
L ancienne CNI (format cartonne, encore valide jusqu en 2034 pour les cartes emises entre 2004 et 2013) offre beaucoup moins d elements de securite, ce qui la rend plus vulnerable a la falsification.
Bonnes pratiques de verification manuelle
Meme avec des outils automatiques, le CGP doit maintenir des reflexes de verification manuelle :
- Verifier la photo : le visage correspond-il a la personne en face de vous (ou en visio) ?
- Verifier la date de validite : la piece est-elle encore valide ?
- Verifier la coherence des informations : nom, date de naissance, adresse sont-ils coherents entre les pieces ?
- Verifier le QR code 2D-Doc (si present) via le site officiel
- En cas de doute : demander une deuxieme piece d identite (passeport si la CNI est suspecte, et vice versa)
Responsabilite du CGP en cas de fraude non detectee
Le CGP qui valide un dossier contenant un faux document s expose a plusieurs risques :
| Risque | Base legale | Sanction |
|---|---|---|
| Complicite de blanchiment | Art. L.561-15 CMF | 5 ans prison + 375 000 EUR amende |
| Manquement obligation vigilance | Art. L.561-5 CMF | Sanction AMF (variable) |
| Non-déclaration de soupçon | CMF | Amende |
| Responsabilite civile | Art. 1240 Code civil | Dommages-interets a la SGP/investisseur |
| Defaut de conseil | Jurisprudence | Indemnisation du prejudice client |
La jurisprudence considere que le CGP est un professionnel averti qui doit appliquer un niveau de vigilance superieur a celui d un non-professionnel. L argument je n ai pas vu que c etait un faux n est pas recevable si des outils de detection etaient disponibles et non utilises.
Vous souhaitez voir Ragindeed en action sur vos documents ?
Demandez une démonstration personnalisée avec vos propres baux, dossiers KYC ou documents métier.
Demandez une démo