L’argent destiné à la formation de certains salariés est détourné par des escrocs. Certains se sont fait voler des milliers d’euros sur leur compte personnel de formation.

C’est une arnaque colossale qui a été mise à jour. Des escrocs arrivent à détourner l’argent des salariés déposés sur leur compte personnel de formation (CPF). Chaque année, le CPF, qui a remplacé le Droit Individuel à la Formation (DIF), permet d’acquérir des droits à la formation utilisables tout au long de sa vie professionnelle. Ces droits, depuis le 1er janvier 2019, sont crédités automatiquement en euros, et non plus en heures, sur le compte des salariés par les employeurs, dans la limite d’un plafond de 5 000 euros.

« Le but des escrocs est d’arriver à accéder au compte CPF de la victime [puis] de l’inciter à s’inscrire, ou bien de l’inscrire sans son consentement, ou encore à son insu, à une formation factice ou frauduleuse qui sera débitée des droits à la formation de la victime. Les préjudices pour les victimes peuvent alors aller de quelques centaines à plusieurs milliers d’euros », explique le site cybermalveillance.gouv.fr qui émet régulièrement des alertes à ce sujet.

Escroquerie, mode d'emploi

Concrètement, cette arnaque au CPF démarre souvent par un appel téléphonique d’une personne prétendant appartenir à la plateforme « Mon Compte Formation », à un organisme de formation ou bien encore à un organisme public comme le groupe Caisse des dépôts, le ministère du Travail, de l’Emploi et de l’Insertion ou Pôle Emploi. L’escroc fait valoir à la victime ses possibilités de droits à la formation et la pousse à s’inscrire à une formation.

« Attention, tout coup de fil concernant le CPF est suspect »

« Parfois, l’escroc informe la victime de son droit à transférer les heures de DIF acquises jusqu’en 2014 vers son compte CPF. Il précise que ces heures seront perdues si cette action n’est pas réalisée avant la fin de l’année et demande alors d’anciens bulletins de salaire ou justificatifs de l’employeur de l’époque nécessaires à ce transfert. Cet argument crédibilise la démarche de l’escroc puisqu’il s’agit là d’une possibilité offerte aux détenteurs de compte CPF, ce qui lui fournit un prétexte pour contacter la victime qu’il met ainsi en confiance. Cela permet également d’augmenter le crédit disponible sur le compte, et donc, d’augmenter le montant des sommes que l’escroc pourra dérober », détaille cybermalveillance.gouv.fr.

« Attention, tout coup de fil concernant le CPF est suspect », avertit Michel Yahiel, le directeur des retraites et de la solidarité à la Caisse des dépôts, l'organisme qui en assure la gestion, interrogé ce lundi par Le Parisien. Pour éviter d’être hameçonné, ne donnez jamais vos identifiants et vos mots de passe. « Nous ne contactons pas en première intention et ne demandons jamais ces données. Ne vous précipitez pas sur les formations. Mieux vaut prévoir un délai qui permet de se désister au cas où », explique Michel Yahiel.

Plus de 10 millions d'euros volés

Selon lui, 12 millions d'euros ont été volés, 82 organismes de formation exclus et 26 plaintes déposées devant la justice. Une victime contactée par Le Parisien révèle avoir perdu 1 600 euros sur son CPF. En recherche d’emploi, elle cherche à se former. Bonne nouvelle quand même, « l’impact est neutre pour les utilisateurs qui sont victimes de ces arnaques, car on rétablit les droits, quelle que soit la situation », indique Michel Yahiel auprès de Capital.

Si ces attaques ont déjà touchées plus de 10 000 comptes d'utilisateurs sur les 38 millions crédités, « on estime que ce sont 33 000 personnes qui ont été approchées par des gens qui ont essayé de les avoir », précise Jean-Jacques Latour, responsable de l'expertise en cybersécurité pour cybermalveillance.gouv.fr. Mais malgré le préjudice, les plaintes sont peu nombreuses « car ces euros ne sont pas des espèces sonnantes et trébuchantes. Parfois, les victimes reçoivent un pauvre PDF et ne comprennent même pas que la formation était bidon », poursuit Jean-Jacques Latour.

D'après le parquet de Paris, une enquête a récemment été ouverte pour « atteinte à des systèmes de traitement informatique », « extractions frauduleuses de données » et « escroquerie en bande organisée ». Les voleurs risquent 375 000 euros d'amende et 10 ans d'emprisonnement.