Skip to content

Tribunal pénal fédéral 16.04.2025 SK.2024.24

16 avril 2025·Français·CH·pénal fédéral·PDF·16,594 mots·~1h 23min·4
Voir l'original sur entscheidsuche.ch

Résumé

Soustraction de données (art. 143 CP), accès indu à un système informatique (art. 143bis CP), utilisation frauduleuse d'un ordinateur par métier (art. 147 al. 1 et 2 CP);;Soustraction de données (art. 143 CP), accès indu à un système informatique (art. 143bis CP), utilisation frauduleuse d'un ordinateur par métier (art. 147 al. 1 et 2 CP);;Soustraction de données (art. 143 CP), accès indu à un système informatique (art. 143bis CP), utilisation frauduleuse d'un ordinateur par métier (art. 147 al. 1 et 2 CP);;Soustraction de données (art. 143 CP), accès indu à un système informatique (art. 143bis CP), utilisation frauduleuse d'un ordinateur par métier (art. 147 al. 1 et 2 CP)

Texte intégral

Jugement du 16 avril 2025 Cour des affaires pénales Composition Les juges pénaux fédéraux Stephan Zenger, juge président, Stefan Heimgartner et Maric Demont la greffière Alexandra Mraz

Parties MINISTÈRE PUBLIC DE LA CONFÉDÉRATION, représenté par le Procureur fédéral Yves Nicolet et le Procureur fédéral a.i. Jean-Philippe Peissard

et les parties plaignantes :

1. B., représentée par Me Sébastien Fanti,

2. C., représentée par Me Serge Fasel,

3. D., représentée par Me Benjamin Borsodi et Me Charles Goumaz,

4. E.,

5. F., représentée par Me Benjamin Borsodi et Me Charles Goumaz,

6. G., représentée par Me Christophe de Kalbermatten,

7. H., représentée par Me Cédric Page,

Bundesstrafgericht Tribunal pénal fédéral Tribunale penale federale Tribunal penal federal

Numéro du dossier: SK.2024.24

- 2 - SK.2024.24 8. I.,

9. J.,

10. K.,

11. L.,

12. M.,

13. N.,

14. O.,

15. P.,

16. Q.,

17. R.,

contre

A., de nationalité française et israélienne, défendu par Me Marc Bonnant Objet Soustraction de données (art. 143 CP), accès indu à un système informatique (art. 143bis CP), utilisation frauduleuse d'un ordinateur par métier (art. 147 al. 1 et 2 CP)

- 3 - SK.2024.24 Procédure A. Devant le Ministère public de la Confédération A.1 En date du 10 mars 2021, le Ministère public de la Confédération (ci-après : le MPC) a étendu à A. son instruction n° SV.17.0837 diligentée contre inconnu pour des cas de social engineering du type « arnaque au faux technicien bancaire », commis au préjudice de nombreuses sociétés suisses, entre la fin de l’année 2016 et l’été 2018 (MPC 01-01-0021). L’instruction n° SV.17.0837 a plus précisément porté sur des soupçons de soustraction de données (art. 143 CP), accès indu à un système informatique (art. 143bis CP), utilisation frauduleuse d’un ordinateur par métier (art. 147 al. 2 CP), éventuellement escroquerie et tentative d’escroquerie (art. 146 et 146 CP en lien avec l’art. 22 CP) et blanchiment d’argent qualifié (art. 305bis al. 1 et 2 lit. a et c CP ; MPC 01-01-0021 et 01-01- 0024). A.2 Il ressortait en effet de mesures d’instruction effectuées en Israël, par voie d’entraide, que A. (ci-après également : le prévenu) était l’utilisateur du raccordement +1, sur lequel étaient déviés tous les appels entrants sur les numéros +2 et +3, au moyen desquels les auteurs des fraudes avaient effectué de nombreux appels aux sociétés suisses lésées, ceci depuis Israël (MPC 01- 01-0021). Ainsi, à teneur de la réponse des autorités israéliennes à la commission rogatoire du MPC (MPC 18-02-0057 ss), A. était le titulaire du raccordement israélien en question (MPC 18-02-0058). De plus il ressortait des mesures d’investigation israéliennes que l’appareil utilisé pour le raccordement +1 avait pu être géolocalisé à plusieurs reprises au même endroit qu’un autre appareil également attribué à A., à savoir celui utilisé avec le raccordement +4 (MPC 18-02-0058 et 18-02-0069). Enfin, les autorités israéliennes avaient procédé à une surveillance active des numéros +1 et +4 (MPC 18-02-0058), ainsi qu’à une comparaison de voix des utilisateurs desdits raccordements, arrivant à la conclusion qu’il s’agissait d’une seule et même personne (MPC 18-02-0058, 18-02-0064 et 18-02-0071). A.3 Par ordonnance du 28 février 2022, le Tribunal des mesures de contrainte du canton de Vaud (ci-après : Tmc VD) a autorisé l’exploitation, à l’encontre de A., des données issues de surveillances rétroactives des raccordements 5 (autorisation originale référencée Tmc PC17.025361-CPB ; MPC 09-01-0009), 6 (autorisation originale référencée Tmc PC17.025361-CPB ; MPC 09-021-0009), 6 (autorisation originale référencée Tmc PC18.014789-CPB ; MPC 09-02-0016), 7 (autorisation originale référencée Tmc PC18.009815-SDE ; MPC 09-03-0010) et 8 (autorisation originale référencée Tmc PC19.002329-PHK ; MPC 09-07- 0041) ainsi que de surveillances actives des raccordements 3 (autorisation originale référencée Tmc PC18.010610-SDE ; MPC 09-04-0022), 9 (autorisation originale référencée Tmc PC18.011602-CPB; MPC 09-05-0018), 2 (autorisation originale référencée Tmc PC18.012896-CPB ; MPC 09-06-0018) et 8

- 4 - SK.2024.24 (autorisation originale référencée Tmc PC18.020801-CPB ; MPC 09-07-0009), toutes effectuées antérieurement à l’extension de l’instruction à A. (MPC 09-08- 0020 ss). A.4 Suite à son signalement international et son arrestation aux Etats-Unis dans la nuit du 31 janvier 2022, A. a été extradé vers la Suisse le 20 avril 2022 et placé en détention provisoire, pour une période initiale de 3 mois, au motif d’un risque de fuite notamment (MPC 06-01-0014, 06-01-0197, 06-01-0116, 06-01-0119 et 06-01-0209 ss). Prolongée par deux fois, la détention provisoire a, par ordonnance du 12 décembre 2022, fait l’objet de mesures de substitution (MPC 06-01-0282 ss, 06-01-0316 ss et 06-01-346 ss). A. s’est ainsi engagé à fournir des sûretés par CHF 250'000.-, ainsi qu’à rester à la disposition des autorités pénales suisses et élire un domicile de notification en l’étude de son conseil principal de l’époque, Me Laurent Moreillon (MPC 06-01-0349). Il a été libéré de détention le 14 décembre 2022, à 11h55 (MPC 06-01-0350 et 06-01- 0360). A.5 Au cours de sa détention provisoire, A. a été entendu à plusieurs reprises, soit les 21 avril 2022 (MPC 13-01-0001 ss), 29 avril 2022 (MPC 13-01-0012 ss), 6 mai 2022 (MPC 13-01-0039 ss), 22 juin 2022 (MPC 13-01-0057 ss), 29 juin 2022 (MPC 13-01-0084 ss), 15 juillet 2022 (MPC 13-01-0168 ss), 11 octobre 2022 (MPC 13-01-0184 ss), 28 octobre 2022 (MPC 13-01-0235 ss), 10 novembre 2022 (MPC 13-01-0253 ss), 30 novembre 2022 (MPC 13-01-0291 ss) et 7 décembre 2022 (MPC 13-01-0320 ss), ceci à chaque fois assisté d’un ou plusieurs défenseurs. Lors de ces auditions, le prévenu a notamment été confronté à différents moyens de preuve qui, pour partie, avaient été administrés préalablement à l’ouverture d’instruction à son égard, ainsi qu’à son extradition vers la Suisse. En tant que besoin, il sera revenu ci-après sur les déclarations du prévenu et les moyens de preuve qui lui ont été présentés. A.6 Parallèlement, le MPC a procédé à des investigations complémentaires par voie d’entraide internationale avec Israël notamment (MPC rubrique 18), dont la perquisition du domicile du prévenu (MPC 18-02-0072 ss) et mandaté la société 1 pour effectuer une expertise technique de la voix de A. par mandat du 31 mai 2022 (MPC rubrique 11). A.7 Il sied en outre de préciser que de nombreux autres moyens de preuves ont été administrés, dans le contexte de la procédure préliminaire, préalablement à l’identification de A. et l’extension de l’instruction à sa personne. A.8 Ainsi, en particulier, il a été procédé, entre 2017 et 2020, à des commissions rogatoires internationales près les autorités judiciaires d’Allemagne (MPC 05-12- 0068 ss, 05-12-0101 ss et 05-12-0068-0172 ss ; rubriques 18.01, 18.17 à 18.19), d’Israël (MPC rubrique 18.02), de France (MPC rubrique 18.03), des Etats-Unis (MPC rubrique 18.04), de Belgique (MPC rubrique 18.06), de Tchéquie

- 5 - SK.2024.24 (MPC rubrique 18.07), des Pays-Bas (MPC 05-12-0101 ss ; rubrique 18.08), du Luxembourg (MPC rubrique 18.09), de la République populaire de Chine (MPC 05-02-0069 ss ; rubrique 18.10), d’Estonie (MPC rubrique 18.12), de Bulgarie (MPC rubrique 18.13), de Hongrie (MPC rubrique 18.14), du Royaume- Uni (MPC rubrique 18.15), de Pologne (MPC rubrique 18.16) et d’Autriche (MPC rubrique 18.20). En outre, des demandes de productions et de renseignements ont été effectuées, auprès de plusieurs établissements bancaires suisses (MPC 05-00-0073 ss, 05- 00-0096, rubriques 07.02 et 07.04 s.) ainsi qu’auprès d’autres sociétés (MPC rubrique 07.06 ss). Le MPC a également procédé à des perquisitions (MPC rubrique 08) ainsi qu’à l’audition de parties plaignantes et de témoins (MPC rubrique 12). A.9 L’enquête a aussi permis d’obtenir le blocage d’une partie des fonds délictueux en vue de leur rapatriement en faveur des sociétés lésées. Elle a ainsi notamment permis de séquestrer une partie du produit du crime au préjudice de B. sur la relation de la société 2 auprès de la banque 1 à Genève, soit CHF 42'645.86, puis GBP 253'685.41 avec valeur à CHF 247'416.95 au 30 juin 2021 (MPC 07-03-0039 et 07-03-0209). En application des art. 267 CPP et art. 70 al. 1 CP, les fonds ont d’ores et déjà été restitués à la lésée en cours d’instruction, par ordonnances des 30 juin 2017 et 21 septembre 2021 (MPC 07- 03-0001 ss et 07-03-0211 ss), soit CHF 42'645.86 le 18 juillet 2017 (SK 37.551.035) puis CHF 314'729.72 le 21 octobre 2021 (SK 37.551.037). En l’état, aucune mesure de séquestre n’est en cours (acte d’accusation du 4 avril 2024 et dossier du MPC a contrario). A.10 La Police judiciaire fédérale (ci-après : PJF) a rendu son rapport final le 30 mars 2023 (MPC 10-08-0004 ss) précédé de plusieurs rapports antérieurs dont, en particulier, le rapport du 7 novembre 2018 concernant l’exploitation de contrôles téléphoniques actifs (MPC 10-02-0195 ss), les rapports d’analyse et évaluation des données informatiques des 6 décembre 2018 (MPC 10-02-0302 ss) et 4 février 2019 (MPC 10-02-0334 ss) et les rapports des 30 juillet 2021 (MPC 10-02-0354 ss) et 26 août 2022 (MPC 10-05-0015 ss) relatifs à A. A.11 Le 16 novembre 2023, le MPC a avisé les parties de la prochaine clôture de la procédure préliminaire, les informant qu’à l’issue de celle-ci il entendait, d’une part, renvoyer en accusation A. et, d’autre part, rendre une ordonnance de classement s’agissant des autres auteurs demeurant inconnus, dès lors que l’instruction n’avait pas permis de les identifier (MPC 03-01-0001 ss). Parallèlement, le MPC a imparti un délai aux parties pour déposer leurs éventuelles réquisitions de preuve notamment.

- 6 - SK.2024.24 A.12 Les parties n’ont formé aucune réquisition de preuve (MPC rubrique 15 s. e contrario). A.13 Comme il l’avait annoncé, le MPC a classé la procédure s’agissant des auteurs restés non identifiés, par ordonnance du 6 mars 2024 (MPC 03-01-0005 ss). Dans ladite ordonnance, il a en outre précisé ne pas entendre inclure, dans l’acte d’accusation contre A., le volet concernant la société lésée 3, faute d’avoir pu établir l’implication de celui-ci dans les faits dénoncés par ladite société (MPC 03- 01-0007). L’ordonnance de classement du 6 mars 2024 est entrée en force (MPC 03-01-0012). A.14 Enfin, on relèvera que les sociétés suivantes, lésées par les actes reprochés à A., ont déposé plainte pénale au cours de la procédure préliminaire : G. (chiffre 1.3.1 de l’acte d’accusation), anciennement G.a. et G.b. (MPC 05-12-0206 ss), le 10 janvier 2017 (MPC 05-12-0036, 05-12-0094 et 05-12-0214), F. (chiffre 1.3.2 de l’acte d’accusation) le 9 janvier 2017 (MPC 05-02-0016), I. (chiffre 1.3.3. de l’acte d’accusation) le 5 janvier 2017 (MPC 05-02-0030), H. (chiffre 1.3.4 de l’acte d’accusation) le 17 janvier 2017 (MPC 05-05-0027 ss), K. (chiffre 1.3.5 de l’acte d’accusation) le 11 janvier 2017 (MPC 05-02-0050), B. (chiffre 1.3.6 de l’acte d’accusation) le 31 janvier 2017 (MPC 05-00-0027), R. (chiffre 1.3.7 de l’acte d’accusation) le 16 février 2018 (MPC 05-04-0001), N., anciennement N.a. (MPC 15-02-0004) (chiffre 1.3.8 de l’acte d’accusation) le 27 décembre 2017 (MPC 05-03-0001), C. (chiffre 1.3.9 de l’acte d’accusation) le 6 juin 2018 (MPC 05-06-0006), L. (chiffre 1.3.10 de l’acte d’accusation) le 11 juin 2018 (MPC 05-07-0001), D. (chiffre 1.3.11 de l’acte d’accusation) le 14 juin 2018 (MPC 05-08-0004), E. (chiffre 1.3.12 de l’acte d’accusation) le 21 juin 2018 (MPC 05-10-0002), O. (chiffre 1.3.13 de l’acte d’accusation) le 15 juin 2018 (MPC 05-09-0003), M. (chiffre 1.3.14 de l’acte d’accusation) le 28 juin 2018 (MPC 05-11-0003, 05-11-0006 et 15-08-0002 ss), P. (chiffre 1.3.15 de l’acte d’accusation) le 5 juillet 2018 (MPC 05-14-0003), J. (chiffre 1.3.23 de l’acte d’accusation) le 13 janvier 2017 (MPC 05-05-0062 et 05-05-0085) et Q. (chiffre 1.3.25 de l’acte d’accusation) le 28 mai 2018 (MPC 05-15-0003). Les sociétés 4 (chiffre 1.3.16 de l’acte d’accusation), 5 (chiffre 1.3.17 de l’acte d’accusation), 6 (chiffre 1.3.18 de l’acte d’accusation), 2, aujourd’hui 2.a. (chiffre 1.3.19 de l’acte d’accusation), la société 7 (chiffre 1.3.20 de l’acte d’accusation), la société 8 (chiffre 1.3.21 de l’acte d’accusation), la société 39 (chiffre 1.3.22 de l’acte d’accusation) et la société 9, aujourd’hui 9.a. (chiffre 1.3.24 de l’acte d’accusation) n’ont, elles, pas porté plainte. A.15 La caution de CHF 250'000.-, versée par A. en date du 13 décembre 2022, a produit intérêt et s’élevait, au 31 décembre 2024, au montant de CHF 252'966.05 (SK 37.510.011).

- 7 - SK.2024.24 B. Devant la Cour des affaires pénales B.1 Le 4 avril 2024 (SK 37.100.001 ss), le MPC a renvoyé en accusation A. pour soustraction de données (art. 143 CP), subsidiairement accès indu à un système informatique (art. 143bis CP), accès indu à un système informatique (art. 143bis al. 1 et 2 CP) et utilisation frauduleuse d’un ordinateur par métier (art. 147 al. 1 et 2 CP). B.2 De l’administration de moyens de preuve complémentaires et des conclusions civiles B.2.1 Le 2 mai 2024, la Cour de céans a indiqué aux parties qu’elle entendait procéder à l’administration d’office des extraits des casiers judiciaires suisse, français et israélien du prévenu, ainsi qu’à l’audition aux débats de ce dernier, quant à sa situation personnelle et les faits de l’accusation. Par le même acte, les parties ont été invitées à formuler leurs éventuelles offres de preuves et chiffrer ainsi que motiver leurs éventuelles conclusions civiles (SK 37.400.0001 s.). B.2.2 Se référant à l’ordonnance précitée, la société G. a requis, par la plume de son mandataire Me Christophe de Kalbermatten, le remboursement de ses frais d’avocat à hauteur de CHF 13'881.20, par courrier du 28 mai 2024 (SK 37.557.001 s.). B.2.3 Par courrier du 29 mai 2024, la société C., agissant par Me Serge Fasel, a confirmé maintenir les conclusions civiles chiffrées prises par-devant l’autorité d’instruction et s’élevant à la somme d’EUR 920'975.-, soit CHF 970'049.-. Elle a en outre requis l’octroi d’une indemnité pour ses frais de représentation en justice par CHF 32'224.35, sous réserve de conclusions augmentées des opérations à venir, et produit des notes d’honoraires à l’appui de ladite requête (SK 37.552.001 ss). B.2.4 Le 5 juillet 2024, B., agissant par l’intermédiaire de ses conseils Me Sébastien Fanti et Me Alexandre Staeger a conclu, principalement, à l’admission de ses conclusions civiles, la condamnation de A. au paiement, à la société B., des sommes de CHF 990'097.40 avec intérêts à 5% l’an dès le 27 janvier 2017, CHF 891.- avec intérêts à 5% l’an dès le 12 juin 2017 et CHF 45'407.85 avec intérêts à 5% l’an dès le 7 août 2017, sous suite de frais et dépens. Subsidiairement, B. conclut à l’admission de ses conclusions civiles, la condamnation de A. au paiement, à la société B., des sommes de CHF 364'775.42 avec intérêts à 5% l’an dès le 27 janvier 2017, EUR 574'492.74 avec intérêts à 5% l’an dès le 27 janvier 2017, CHF 891.- avec intérêts à 5% l’an dès le 12 juin 2017 et CHF 45'407.85 avec intérêts à 5% l’an dès le 7 août 2017, sous suite de frais et dépens. A l’appui de ses conclusions civiles, B. invoque les preuves administrées d’office telles que mentionnées dans l’ordonnance du 2 mai 2024, les éléments du dossier cités dans l’acte d’accusation en pages 11

- 8 - SK.2024.24 et 12 sous notes de bas de page n° 25 à 29, les pièces déposées en annexe à son écriture du 5 juillet 2024 ainsi que l’audition des parties (SK 37.551.0001 ss). B.2.5 Hormis G., C. et B., les autres parties n’ont pas formulé de réquisitions de preuve, ni formé de conclusions civiles, dans le délai que la Cour leur avait imparti par ordonnance du 2 mai 2024 pour ce faire. B.2.6 Le 16 juillet 2024, la Cour de céans a rendu une ordonnance concernant les moyens de preuve, par laquelle elle a confirmé procéder aux administrations de preuve annoncées le 2 mai 2024 (cf. ch. B.2.1 supra ; SK 37.250.001 s.). Elle a en outre versé au dossier, comme moyens de preuve, les pièces produites par G., C. et B. à l’appui de leurs conclusions civiles respectives (SK 37.250.001 ss). B.2.7 La Cour a obtenu et versé au dossier les casiers judiciaires actualisés suisse et français de A. Bien qu’elle ait également entrepris les démarches nécessaires à l’obtention de son casier judiciaire israélien, ce dernier n’a pas été remis à la Cour (SK 37.231.1.001 ss et SK.37.720.005). B.2.8 Par courrier du 3 mars 2025, Me Miriam Mazou a requis, pour le compte de A., que l’épouse de ce dernier, S., soit entendue comme témoin lors des débats (SK 37.521.005). Invitée à préciser les motifs de cette requête, Me Miriam Mazou a indiqué que S. serait à même de témoigner de la bonne moralité du prévenu et de sa vie de famille en Israël, ainsi que d’apporter un éclairage sur sa personnalité (SK 37.521.007). La Cour a rejeté cette offre de preuve le 17 mars 2025, le témoignage de S. n’apparaissant pas nécessaire, en sus de l’audition du prévenu, pour que la défense renseigne la Cour sur ces aspects (SK 37.400.046). B.3 De la qualité de partie des sociétés 3 et 10 B.3.1 Parallèlement, par courrier du 31 mai 2024, la Cour de céans a interpellé le MPC quant au statut procédural des sociétés 3 et 10, indiquées comme partie plaignante dans l’acte d’accusation, alors que la description des actes reprochés au prévenu dans ce dernier ne les mentionne pas (SK 37.400.003 s.). B.3.2 Dans sa détermination du 13 juin 2024, le MPC a confirmé à la Cour que les faits dénoncés par la société 3 et la société 10 ne font pas l’objet de l’acte d’accusation (SK 37.400.003 s.). B.3.3 Par décisions séparées des 16 juillet 2024, la Cour a informé la société 3 et la société 10 qu’elle constatait que les sociétés ne revêtaient pas la qualité de partie à la présente procédure, de sorte qu’elle n’entendait pas les citer à participer aux débats, ni procéder à l’avenir à d’autres notifications en faveur desdites sociétés. Ces décisions, restées incontestées, sont entrées en force (SK 37.400.012 s.).

- 9 - SK.2024.24 B.4 De la participation des parties à la procédure et aux débats B.4.1 Parallèlement aux démarches précitées de la Cour, Me Lionel Halpérin l’a informée, par courrier du 11 juin 2024, qu’il cessait de représenter les intérêts du prévenu aux côtés de Me Miriam Mazou et que l’élection de domicile faite en son Etude était révoquée (SK 37.521.002). Pendant la suite de la procédure pardevant la Cour de céans, A. a continué d’être assisté de Me Miriam Mazou. B.4.2 Toujours dans le contexte de la préparation des débats, la Cour a interpellé Me Miriam Mazou, le 16 juillet 2024, en vue d’obtenir confirmation que son mandant acceptait bien de se voir notifier sa citation personnelle à comparaître aux débats directement en l’Etude de sa mandataire, conformément aux engagements idoines pris par le prévenu lors de l’audition du 7 décembre 2022 (SK 37.400.011). B.4.3 Par courrier du 26 juillet 2024, le prévenu, agissant par Me Miriam Mazou, a confirmé qu’il acceptait de se voir notifier sa citation personnelle à comparaître aux débats directement en l’Etude de sa mandataire. Me Miriam Mazou a en outre annoncé solliciter pour lui la délivrance d’un sauf-conduit pour comparaître aux débats (SK 37.521.003). B.4.4 La Cour a par la suite informé les parties de la tenue des débats le 7 avril 2025 (SK 37.310.001 ss). Le 17 décembre 2024, elle a imparti aux parties plaignantes un délai pour lui communiquer si elles souhaitaient participer activement à la procédure et, le cas échéant, prendre part aux débats, leur indiquant que faute de réponse expresse de leur part, la Cour considérerait que les parties plaignantes renonçaient à ces droits et qu’elle ne leur adresserait alors pas ses communications écrites et ne les convoquerait pas aux débats. Indépendamment de leur participation active à la procédure ou non, toutes les parties plaignantes seraient toutefois servies d’une expédition du jugement de la Cour (SK 37.310.003 s.). B.4.5 Dans le délai imparti pour ce faire, la partie plaignante B. a indiqué à la Cour souhaiter participer à la procédure et entendre prendre part aux débats (SK 37.551.038). La société C. a indiqué qu’elle souhaitait, elle, participer à la procédure mais renonçait à prendre part à l’audience (SK 37.552.032 s.). Les autres parties plaignantes n’ont pas donné de suite à l’interpellation du 17 décembre 2024. La Cour a pris acte de ce qui précède par courrier du 21 janvier 2025 et dispensé de comparution aux débats les parties plaignantes qui ne souhaitaient pas y prendre part, soit toutes les parties plaignantes hormis B. (SK 37.310.006 s.). Elle a convoqué aux débats le représentant du MPC, le prévenu et son avocate Me Miriam Mazou ainsi qu’invité Me Sébastien Fanti à y participer, au nom de B.

- 10 - SK.2024.24 (SK 37.331.001 ss et 37.351.001.004). La Cour a en outre délivré un sauf-conduit en faveur de A., conformément à sa requête (SK 37.400.021 s.). B.4.6 Me Miriam Mazou a par la suite requis que A. soit dispensé de comparaître personnellement à la lecture du jugement, qui avait été agendée, dans l’intervalle, au 16 avril 2025. A l’appui de sa requête, la défense s’est prévalue du fait que le sauf-conduit que la Cour avait octroyé arrivait à échéance avant l’audience de lecture du jugement, que la présence du prévenu à celle-ci ne paraissait pas nécessaire et que Me Marie Besse, avocate en l’étude de Me Miriam Mazou, pouvait l’y représenter (SK 37.521.010). La Cour a communiqué aux parties que la requête de dispense du prévenu serait traitée aux débats (SK 37.400.059). B.5 De la réserve de la Cour quant à la qualification des faits B.5.1 Toujours dans le contexte de la préparation des débats, la Cour a préavisé les parties participant activement à la procédure qu’elle se réservait sa faculté d’examiner l’entier des faits décrits dans l’acte d’accusation à l’aune du chef d’utilisation frauduleuse d’un ordinateur au sens de l’art. 147 CP (art. 344 CPP), y compris sous l’angle de la tentative et du métier, par courrier du 11 mars 2025 (SK 37.400.043). B.5.2 Par correspondance du 21 mars 2025, donnant suite à une demande du MPC, la Cour a encore précisé au sujet de sa réserve qu’à teneur des faits décrits dans l’acte d’accusation, l’accès indu aux données des sociétés lésées et la soustraction de celles-ci semblaient intrinsèquement liés aux détournements et tentatives de détournements de fonds commis au préjudice desdites sociétés et que, dans ces circonstances, tous les faits décrits par l’acte d’accusation pourraient relever de l’art. 147 al. 1 et 2 CP, à l’exclusion des art. 143 CP et 143bis CP. L’occasion serait donnée aux parties de se déterminer sur cette réserve aux débats (SK 37.400.051). B.6 De l’établissement des conditions de détention du prévenu B.6.1 Le 14 mars 2025, Me Miriam Mazou a demandé la production de rapports quant aux conditions de détention provisoire du prévenu auprès de la prison T. puis de la prison AA. (SK 37.521.007 s.). B.6.2 La Cour a requis et obtenu des deux établissements carcéraux concernés des rapports circonstanciés (SK 37.262.1.001 ss et SK 37.262.2.001 ss). B.6.3 Invitées par la Cour à se déterminer sur ces rapports de détention, les parties n’ont pas déposé d’observations à leur égard (SK 37.521.011 s.). Il sera revenu sur les constations découlant desdits rapports ci-dessous (cf. ch. 7.7 infra).

- 11 - SK.2024.24 C. Les débats C.1 Les débats ont eu lieu le 7 avril 2025. Y ont comparu les représentants du MPC, soit le procureur fédéral Yves Nicolet et le procureur fédéral a.i. Jean- Philippe Peissard, le prévenu A. et ses défenseures, Me Miriam Mazou et Me Marie Besse (avocate en l’étude Mazou Avocats SA aux côtés de Me Miriam Mazou) ainsi que Me Sébastien Fanti, pour la partie plaignante B. Les autres parties plaignantes, dispensées de comparution, n'étaient pas présentes à l’audience (SK 37.720.003 s.). C.2 Interpellées à l’ouverture des débats quant à leurs éventuelles questions préjudicielles, les parties n’en ont soulevé aucune (SK 37.720.004). Les parties n’ont pas non plus apporté de remarque ou d’observation quant à la réserve de la Cour par rapport à la qualification juridique des faits (SK 37.720.005). La Cour a ensuite procédé à l’audition du prévenu sur les faits et sa situation personnelle. Les parties présentes ont eu l’occasion de poser des questions complémentaires au prévenu (SK 37.731.001 ss). Après avoir donné aux parties l’occasion de s’exprimer sur la demande de dispense de comparution du prévenu pour l’audience de lecture du jugement (cf. ch. B.4.6 supra) et aucune des parties présentes ne s’y opposant, la Cour a dispensé A. de comparution personnelle à ladite audience (SK 37.720.006). Enfin, les parties ont été interpellées quant à leurs éventuelles réquisitions de preuve complémentaires, à l’issue de l’audition de A. par la Cour de céans. Les parties n'ont présenté aucune offre de preuve et la procédure probatoire a été close (SK 37.720.006 s.). C.3 Il a ensuite été procédé aux réquisitoire et plaidoiries. A l’issue de son réquisitoire, le MPC a pris les conclusions suivantes : 1. Condamner A. à une peine privative de liberté de 36 (trente-six) mois de peine privative de liberté, dont 12 (douze) mois fermes, sous déduction de la détention provisoire déjà effectuée, et 24 mois avec sursis partiel pendant cinq ans ; 2. Prononcer à l’encontre de A. une créance compensatrice de CHF 500'000.- ; 3. Ordonner l’expulsion de A. du territoire suisse pour une durée de 5 ans ;

- 12 - SK.2024.24 4. Mettre une part des frais de procédure, arrêtée à CHF 131'528.80, à la charge de A. C.4 Ensuite, Me Sébastien Fanti a plaidé au nom de B. et a conclu : 1. A la condamnation de A. pour utilisation frauduleuse d’un ordinateur par métier (art. 147 al. 2 CP), tentative d’accès indu à un système informatique (art. 143bis CP), la condamnation pour escroquerie (art. 146 CP) étant laissée à l’appréciation de la Cour ; 2. A la condamnation de A. à une peine privative de liberté de 48 mois ; 3. A la condamnation de A. aux prétentions civiles de la société B. selon ses écritures du 5 juillet 2024 et sa liste de frais. C.5 Enfin, la défense a plaidé et pris les conclusions suivantes au nom de A. : 1. Le libérer des chefs d’accusation de soustraction de données (art. 143 CP) et d’accès indu à un système informatique (art. 143bis CP). 2. Le libérer de tout chef d’accusation en lien avec les cas 1.3.2, 1.3.23, 1.3.24 et 1.3.25 de l’acte d’accusation. 3. Lui infliger, pour le surplus, une peine clémente compatible et assortie d’un sursis total. 4. Rejeter les conclusions civiles principales 3 et 4, de même que les conclusions subsidiaires 4 et 5, de la société B., ainsi que les conclusions civiles de la société J., subsidiairement renvoyer ces sociétés à agir par la voie civile. 5. Lui donner acte qu’il s’en remet à justice s’agissant des conclusions civiles des sociétés G. et C., ainsi que s’agissant de la conclusion principale 2 de la société B. 6. Renvoyer, pour le surplus, les parties plaignantes à agir par la voie civile. 7. Ordonner la libération de la caution de CHF 250'000.- déposée sur le compte du MPC auprès du Département fédéral des finances et le versement de ce montant sur le compte de consignation de l’Etude Mazou Avocats SA, dont les coordonnées sont les suivantes : […] 8. Lui allouer une indemnité pour l’exercice raisonnable de sa défense au sens de l’art. 429 CPP d’un montant d’à tout le moins CHF 31'325.-.

- 13 - SK.2024.24 9. Mettre à sa charge une part équitable des frais de procédure, laquelle ne devra pas excéder CHF 65'764.40. 10. Constater l’irrecevabilité des conclusions de la partie plaignante B. s’agissant de la peine. C.6 Au terme des plaidoiries, l’occasion a été donnée à A. de s’exprimer une dernière fois (art. 347 al. 1 CPP). Le prévenu a fait usage de cette faculté en s’exprimant brièvement. C.7 La lecture du jugement a eu lieu le 16 avril 2025, en présence des représentants du MPC et de Me Marie Besse, pour A. (SK 37.720.010). Ensuite, le dispositif du jugement du 16 avril 2025 a été notifié à toutes les parties. Par courrier du 22 avril 2025, Me Miriam Mazou a déposé, au nom et pour le compte de A., une annonce d’appel (SK 37.940.001). Aucune des autres parties n’a annoncé appel dans le délai légal de 10 jours pour ce faire. C.8 Par courrier du 9 mai 2025, Me Marc Bonnant a annoncé succéder à Me Miriam Mazou dans la défense des intérêts du prévenu (SK 37.521.013).

Faits D. Implication de A. dans les fraudes D.1 De l’implication reprochée à A. D.1.1 Il est reproché à A. d’avoir, entre décembre 2016 et août 2018, à Netanya (IL) et en qualité de membre d’un groupe se livrant à des activités dites de social engineering (du type « arnaque au faux technicien bancaire »), contacté téléphoniquement diverses sociétés en Suisse, en se faisant passer pour un collaborateur de la banque de ces dernières, et d’avoir amené les employés responsables des paiements desdites sociétés à lui donner accès à leurs ordinateurs à leur insu et à ouvrir une ou plusieurs sessions e-banking, dans le dessein de permettre aux autres auteurs – qui n’ont pu être identifiés et ont fait l’objet d’une ordonnance de classement – de détourner des fonds. A. aurait ainsi accédé sans droit au système informatique de nombreuses sociétés et remis aux autres auteurs les données permettant d’y accéder, également sans droit, en sachant que ces données seraient utilisées dans le but de détourner des fonds. Il aurait en outre permis aux autres auteurs d’utiliser indument les données d’accès aux sessions e-banking pour ordonner le transfert d’importantes sommes d’argent par le débit des comptes des sociétés lésées en faveur de comptes en Suisse et à l’étranger, pour un montant total de CHF 5'309'036.20 (SK 37.100.003).

- 14 - SK.2024.24 D.1.2 Selon l’acte d’accusation également, le mode opératoire utilisé par les auteurs était le suivant : après la collecte de renseignements sur une société susceptible de transférer des fonds à l’étranger, compilés sur une liste qui lui était remise, le prévenu prenait contact par téléphone avec un employé chargé des paiements de cette société en se faisant passer pour un représentant de la banque de cette dernière. Informant son interlocuteur qu’une modification du système e-banking (migration) devait avoir lieu sous peu et nécessitait des manipulations particulières chez les clients, le prévenu lui demandait d’ouvrir une ou plusieurs sessions e-banking et de la/les laisser ouverte(s) afin que la prétendue migration puisse avoir lieu. En parallèle, il demandait à l’employé d’introduire une adresse URL particulière dans la barre adresse de son navigateur internet, toujours au même prétexte. En réalité, l’adresse menait à un site permettant de télécharger des logiciels de contrôle à distance du type TeamViewer ou NTRCloud à l’insu de l’employé, et d’accéder ainsi directement à son ordinateur et, partant, au système informatique de la société visée. Une fois cet accès obtenu au moyen de l’intervention du prévenu, les autres auteurs utilisaient la session e-banking déjà ouverte, voire en ouvraient une eux-mêmes, puis ordonnaient indument le transfert d’importantes sommes d’argent par le débit des comptes de la société en faveur de comptes de tiers servant d’intermédiaires, en Suisse et à l’étranger (SK 37.100.004). D.1.3 Ce faisant A. aurait en outre soustrait, à l’insu des sociétés lésées, leurs données d’accès ainsi que des informations concernant leurs comptes bancaires et leurs transactions financières, en accédant illicitement à l’ordinateur – et par la même aux sessions e-banking – des sociétés lésées (SK 37.100.004). D.1.4 Par ces procédés, entre les mois de décembre 2016 et août 2018, le prévenu aurait apporté une contribution active et indispensable à des détournements de fonds au préjudice de sept sociétés sises sur le sol helvétique, ainsi qu’à de nombreuses autres tentatives de détournements (SK 37.100.004). Seule une partie des fonds soustraits ont pu être bloqués et retournés aux sociétés, le butin effectivement accaparé par les auteurs correspondant à environ CHF 5 millions, soit EUR 5'049'649.- ([EUR 307'078.- + EUR 1'905'102.- + EUR 274'193.- + EUR 772'098.- + CHF 722'151.- [correspondant à EUR 674'907.- au 24 janvier 2017, date de la transaction] + EUR 920'808.- + EUR 97'254.- + EUR 98'209.-] ; cf. ch. E.2.1, F.2.1, H.1.4 et H.2.1, J.1.4 et J.2.1, M.1.4, N.2.1 et O.2.1 infra). Au total, les fraudes reprochées au prévenu, dans l’acte d’accusation, visaient 25 sociétés différentes, ci-après désignées chacune comme un cas distinct – indépendamment du nombre de prises de contact téléphonique, de la réalisation de transferts de fonds et du nombre de ceux-ci.

- 15 - SK.2024.24 D.2. Des aveux de A. quant à son implication D.2.1 Dans un premier temps, A. a nié toute implication dans les faits sous enquête. Il a maintenu n’avoir aucun lien avec ceux-ci tout au long de ses auditions des 21 avril 2022 (MPC 13-01-0001 ss), 29 avril 2022 (MPC 13-01-0012 ss), 6 mai 2022 (MPC 13-01-0039 ss), 22 juin 2022 (MPC 13-01-0057 ss), 29 juin 2022 (MPC 13-01-0084 ss), 15 juillet 2022 (MPC 13-01-0168 ss) et 11 octobre 2022 (MPC 13-01-0184 ss). D.2.2 Lors de son audition du 28 octobre 2022, le prévenu a déclaré vouloir s’expliquer (MPC 13-01-0235 ss). Il a alors, de manière générale, reconnu son implication dans l’activité frauduleuse en cause et a admis avoir participé à 13 des cas qui lui sont reprochés (MPC 13-01-0242 et 13-01-0247 ss). Il a aussi fourni des indications quant à son rôle et celui des autres personnes impliquées, leur mode opératoire et la clé de réparation du butin, tels que retenus, en substance, dans l’acte d’accusation (MPC 13-01-0236 ss). Lors d’une audition ultérieure, le 10 novembre 2022, le prévenu a admis un cas supplémentaire (cas C.), qu’il avait encore expressément nié le 28 octobre 2022 (MPC 10-05-0078) puis, dans un premier temps, le 10 novembre 2022 (MPC 13-01-0274). A. a expliqué qu’il n’avait jusqu’alors admis que les cas pour lesquels il avait bien perçu la part du butin lui revenant, ce qui n’était pas le cas s’agissant du détournement des fonds de C., dans lequel il avait toutefois été impliqué (MPC 13-01-0279 s.). Le prévenu a alors aussi admis, de manière générale, son implication dans diverses tentatives de fraude, effectuées sous les pseudonymes « BB. », « CC. » et « DD. » (MPC 13-01-0271). Enfin, pendant son audition du 30 novembre 2022, il a encore reconnu explicitement une série d’autres cas, dont sept lui sont reprochés dans l’acte d’accusation (MPC 13-01-0298). Le prévenu a donc finalement admis 21 des 25 cas qui lui sont reprochés – en sus d’autres cas pour lesquels il a reconnu son implication mais qui ne lui sont pas reprochés selon l’acte d’accusation et dont la Cour de céans n’est dès lors pas saisie. Par-devant la Cour, A. a réitéré ses aveux s’agissant des 21 cas admis précédemment et a globalement confirmé les explications qu’il avait données en instruction (SK 37.731.014), qui sont en substance les suivantes : D.2.3 A. a affirmé avoir toujours agi avec les trois mêmes autres individus, les dénommés « EE. » (que le prévenu appelle également « EE.a. » ou « EE.b. »), « FF. » et « GG. » (SK 37.731.010 et 37.731.014). Lui-même agissait en général sous les pseudonymes « BB. » et « CC. » (MPC 13-01-0258). Dans un premier temps, le prévenu a admis qu’il lui arrivait parfois d’utiliser d’autres pseudonymes, comme « DD. » (MPC 13-01-0266, 13-01-0271 et 13-01-298 s.) ou « HH. » (MPC 13-01-0273), avant de se rétracter lors d’interrogatoires ultérieurs (s’agissant de « HH. » : MPC 13-01-0299 ; s’agissant de « DD. » : SK 37.731.010). Par contre, le prévenu a, sans équivoque, affirmé et maintenu ne pas avoir utilisé les pseudonymes « II. » et « JJ. », respectivement

- 16 - SK.2024.24 « KK. » (MPC 13-01-0274). Il expliqué que « FF. » et « EE. » avaient insisté pour qu’ils utilisent toujours les pseudonymes attribués (MPC 13-01-0258). D.2.4 Toujours selon A., son rôle consistait à contacter téléphoniquement la société visée, en se faisant passer pour un collaborateur technique de la banque, et faire en sorte que son interlocuteur ouvre un lien – exécutant le programme de contrôle à distance – pour avoir accès à son ordinateur (MPC 13-01-0241 et SK 37.731.011). Le but de la démarche était de voir les identifiants et les accès au e-banking, sans que l’interlocuteur ne s’en aperçoive (MPC 13-01-0256). Pour ce faire, A. utilisait des informations sur la société, compilées sur une fiche (nom, adresse, numéro de téléphone, langue parlée, adresses e-mails, organigramme, chiffre d’affaires, secteur d’activité et existence d’une activité import-export) et, en général, préalablement vérifiées et complétées par des informations supplémentaires (nom de la banque de la société, celui du responsable des paiements au sein de la société et de la personne les validant et le mode d’utilisation e-banking), ce dont s’occupait, en principe, « GG. » (MPC 13-01- 0269 et SK 37.731.010 s.). A l’aide de ces différentes informations, le prévenu essayait de comprendre le fonctionnement de la société (MPC 13-01-0256). Il effectuait ensuite son appel, lors duquel A. prétextait d’une migration informatique rendue nécessaire par le passage au virement SEPA et amenait son interlocuteur à se connecter à l’e-banking de la société et à ouvrir le raccourci URL exécutant le programme de contrôle à distance. Ce lien était préparé par « FF. », qui était assis aux côtés du prévenu pendant qu’il effectuait l’appel, et dicté par A. à son interlocuteur. Le lien permettait à A. et à « FF. » d’avoir ensemble un accès visuel à l’écran de l’ordinateur de la société, et parfois aussi à « FF. » de prendre les commandes de celui-ci. L’interlocuteur introduisait ses accès e-banking pour ouvrir la session, qui étaient alors visibles pour « FF. » et A., sur leur propre écran. « FF. » transmettait ensuite les accès e-banking de la société à « EE. », qui effectuait les transferts. Parfois, c’est « FF. » lui-même qui procédait aux transferts, depuis la session de la société. « FF. » et A. devaient alors rester en ligne – sur la session e-banking qui avait été ouverte par la société grâce aux manœuvres du prévenu – pendant que « FF. » opérait les transferts (MPC 13-01-0241, 13-01-0256 et 13-01-0269 ; SK 37.731.011 s.). Le prévenu et « FF. » devaient travailler en binôme pour pouvoir effectuer leur « travail » (MPC 13-01-0268), soit la deuxième phase de la fraude. Il arrivait aussi parfois que A. collecte lui-même les informations sur les sociétés, soit qu’il effectue la tâche revenant (en principe) à « GG. » (MPC 13-01-0239, 13-01-0241, 13-01-0256, 13-01-0258 et SK 37.731.012). C’est d’ailleurs lui qui avait associé le dénommé « GG. » à l’activité frauduleuse en l’« engageant » pour établir les fiches (MPC 13-01-0240 et SK 37.731.012). A l’origine, « EE. » lui avait en effet expliqué que le travail d’appel devait être effectué par deux personnes puisqu’il y avait une première phase d’acquisition des informations sur l’entreprise, puis la seconde phase d’obtention des accès e-banking (MPC 13- 01-0269).

- 17 - SK.2024.24 Il est aussi arrivé au prévenu de modifier des relevés bancaires pour cacher les opérations de fraude (MPC 13-01-0241 et 13-01-0258). D.2.5 S’agissant de sa manière de procéder lorsqu’il effectuait les appels, A. a expliqué qu’il amenait ses interlocuteurs à exécuter le programme de contrôle à distance en leur exposant qu’il était (soi-disant) nécessaire de vérifier quelle était leur version du programme e-banking, avant de débuter la migration informatique. Le prévenu leur laissait entrevoir que, faute de vérification (et de migration), les accès de la société à son e-banking pourraient être coupés (SK 37.731.013), donc qu’elle ne serait plus en mesure d’effectuer de paiements. A. disposait d’un argumentaire (« déballe »), que « FF. » lui avait fourni. Il disposait aussi d’un lexique de termes susceptibles d’être utilisés par son interlocuteur, afin de l’aider à comprendre de quoi ce dernier parlait. Pendant la conversation, le prévenu tapotait sur un clavier non-branché pour renforcer l’impression de son interlocuteur qu’il appelait depuis les bureaux de la banque (MPC 13-01-0255 s. et SK 37.731.012). Lors de ses appels, A. cherchait à susciter le trouble chez son interlocuteur, l’« embrouillait » (MPC 13-01-0257). Il demandait à ses interlocuteurs de ne pas se connecter à l’e-banking pendant la période de la soidisant migration et s’assurait que les paiements en suspens aient été effectués avant le début de celle-ci. Ses manœuvres avaient pour but d’éviter que les collaborateurs de la société se connectent à l’e-banking et constatent les opérations de débit sur les comptes (SK 37.731.013). La démarche tendait ainsi à éviter que les lésés se rendent compte à temps des débits frauduleux et puissent entreprendre des démarches pour bloquer les transactions ou rapatrier leurs fonds (SK 37.731.014). Comme cela ressort de certains enregistrements des appels de A., il arrivait que le prévenu pose à ses interlocuteurs des questions quant aux habitudes de paiement de la société (cf. ch. E.2.2. s., P.2.3, R.2.3 et S.2.3 infra). Il a affirmé que la collecte de telles informations faisait partie de la première phase de la fraude, soit celle effectuée (en principe) par « GG. ». Ces informations-ci avaient pour objectif de conformer le montant et la destination des transactions frauduleuses aux habitudes de paiement de la société, aux fins d’éviter que ces paiements frauduleux soient découverts par la banque. « EE. » était présent, « à côté », pendant la collecte desdites informations, en disposait donc, et les utilisait pour effectuer les versements (SK 37.731.012). D.2.6 S’agissant du butin, A. a expliqué que celui-ci était réparti et qu’une part de 45% des montants détournés revenait à « EE. », « FF. », « GG. » et lui-même, qui se répartissaient cette part entre eux à raison de 60% pour « EE. » et « FF. » et 40% pour le prévenu et « GG. ». Le solde du butin (55%) rémunérait les titulaires des différents comptes utilisés pour faire transiter l’argent (45%) ainsi que d’autres personnes en Israël (10%) (MPC 13-01-0240, SK 37.731.016 et 37.731.019).

- 18 - SK.2024.24 La rémunération supérieure de « FF. » et « EE. » (60%) par rapport à la part revenant au prévenu et « GG. » (40%), visait à rétribuer la mise à disposition de l’infrastructure par les premiers (MPC 13-01-0240). A. partageait équitablement avec « GG. » la part qui leur revenait (MPC 13-01- 0242). Il a ainsi perçu 9% du butin (0.4 x 0.45/2), part qu’il a désignée en procédure comme étant sa « commission ». Dès qu’un virement était effectué, « FF. » informait A. qui prenait ces informations et les notait sur une feuille (MPC 13-01-0276). Le prévenu touchait sa « commission » environ une semaine après chaque détournement de fonds, à Tel-Aviv (IL). La « commission » lui était remise en liquide, par « EE. » (MPC 13-01-0242, 13-01-0244 et 13-01-0276), avec celle revenant à « GG. ». C’est le prévenu qui remettait celle-ci à « GG. » (MPC 13-01-0276). En sus, de sa « commission », le prévenu percevait une rétribution fixe de EUR 6'000.- par mois d’activité, son « salaire » (MPC 13-01-0240 et SK 37.731.020). A. n’a pas tenu de décompte de ses commissions (MPC 13-01-0276 et SK 37.731.017). Selon ses déclarations, il aurait perçu au maximum EUR 200'000.- pour ses activités délictueuses, puis versé 10% de ce montant à des œuvres de charité et dépensé intégralement le reste des fonds pour des voyages et des habits (MPC 13-01-0244 et SK 37.731.018). Il estime toutefois n’avoir pas toujours reçu la « commission » qui lui était due. Le prévenu avait en effet constaté qu’il y avait parfois des petites différences entre le montant prévisible de sa « commission » et le montant effectivement remis par « FF. ». Il l’avait constaté, au moment de faire les comptes avec « EE. », grâce aux informations qu’il recevait de « FF. » quant aux montants des transferts, à chaque virement (MPC 13-01-0276 et SK 37.731.018). « EE. » lui donnait alors des excuses pour expliquer la différence entre la commission attendue par le prévenu et celle qui lui avait été effectivement remise (MPC 13-01-0259, 13-01- 0276 et SK 37.731.019). A. a estimé que « GG. » et lui s’étaient « fait voler » une partie de leur « commission » par « FF. » et « EE. » (SK 37.731.019). D.2.7 Quant à ses motivations et sa prise de contact avec ses acolytes, A. a expliqué avoir fait la connaissance de « EE. » en boîte de nuit, en décembre 2016. Le premier avait parlé au second de ses activités professionnelles en tant que DJ, dans les assurances et dans le lead marketing (consistant à établir et vendre des listes de clients commerciaux potentiels ; MPC 13-01-0005) ainsi que du fait qu’il cherchait un nouvel emploi, éprouvant sa situation financière comme difficile. « EE. » lui avait parlé de son activité de « décaisse », que le prévenu savait être un processus consistant « à recevoir et à faire sortir de l’argent par des comptes bancaires mis à disposition par des intermédiaires » et qu’il estimait similaire au blanchiment d’argent en matière de stupéfiants. « EE. » lui avait proposé de

- 19 - SK.2024.24 travailler avec lui, précisant que l’activité n’était pas « propre » mais qu’elle permettait de gagner rapidement beaucoup d’argent, soit de EUR 10'000.- à EUR 50'000.- par opération. D’une part, A. avait ressenti de la jalousie, car « EE. » gagnait bien sa vie. Le prévenu avait été tenté, ayant vécu la situation financière difficile de ses parents et s’étant promis de ne jamais faire vivre une situation similaire à ses propres enfants (MPC 13-01-0238). D’autre part, il avait aussi ressenti des scrupules à accepter la proposition de « EE. », notamment en raison de ses convictions religieuses et de ses valeurs morales (MPC 13-01- 0236 s.). L’appât du gain avait finalement pris le dessus et, après réflexions, le prévenu avait recontacté « EE. », au début décembre 2016, pour lui signaler son intérêt. Lors de l’entrevue qui s’en était suivie, « EE. » lui avait expliqué le fonctionnement des fraudes et lui avait demandé de trouver quelqu’un pour effectuer la première étape de celle-ci, soit la collecte d’informations sur les sociétés. « EE. » avait précisé d’entrée de cause qu’il travaillait avec des voyous mais que le prévenu n’aurait pas besoin de les rencontrer (MPC 13-01-0238 s.). A. avait alors négocié ses conditions, demandant à recevoir un « salaire » fixe de EUR 5'000.- à EUR 6'000.-, parce qu’il avait charge de famille. Il a alors aussi été convenu qu’il reçoive, en sus de ce « salaire », sa « commission » et A. s’est renseigné auprès de « EE. » au sujet de la clé de répartition du butin (MPC 13- 01-0240). Le jour même, le prévenu avait engagé « GG. » et, dès le lendemain, ils avaient rencontré ensemble « FF. » qui avait expliqué ses tâches à « GG. ». Pour A., les choses étaient un peu plus compliquées que pour « GG. ». Il était en effet important que le discours de A. paraisse naturel et professionnel, et qu’il agisse de manière coordonnée avec « FF. ». Ce dernier lui avait expliqué comment procéder puis ils avaient fait des simulations lors desquelles le prévenu devait s’adapter aux aspects techniques permettant de se connecter au poste de la société visée, sur la base des liens que « FF. » créait pour pouvoir obtenir un accès à distance au poste. Ils s’étaient ainsi entraînés plusieurs jours jusqu’à obtenir un rythme de croisière et des automatismes avant de « travailler », c’està-dire d’effectuer les appels aux sociétés (MPC 13-01-0241 et 13-01-0256). D.2.8 S’agissant enfin de sa période d’activité dans les fraudes, A. a d’abord indiqué avoir débuté celle-ci en décembre 2016 et y avoir mis un terme provisoire après son engagement auprès de la société 11, à Netanya (IL), intervenue le 1er novembre 2017 (MPC 13-01-0270). Il avait ensuite repris les fraudes au mois de juin (recte : mai) 2018 (MPC 13-01-0243). Par la suite, le prévenu a relativisé ses indications et a admis avoir poursuivi ses agissements, au-delà de sa prise de service auprès de la société 11, et avoir bien continué à participer à des fraudes aux mois de novembre et décembre 2017 (id. et MPC 13-01-0302).

- 20 - SK.2024.24 D.3 Des cas pour lesquels A. nie toute implication D.3.1 A. reconnaît son implication susdécrite pour 21 des cas qui lui sont reprochés mais la nie pour quatre d’entre eux, à savoir ceux relatifs à F. (chiffre 1.3.2 de l’acte d’accusation), à la société 9, aujourd’hui société 9.a. (chiffre 1.3.24 de l’acte d’accusation), J. (chiffre 1.3.23 de l’acte d’accusation) et Q. (chiffre 1.3.25 de l’acte d’accusation). D.3.2 Le prévenu fait aussi valoir n’avoir pas perçu plus de EUR 200'000.- au total pour les fraudes, sans toutefois être en mesure de préciser si ce montant correspondrait à la seule part « commission » ou également à la part « salaire » (SK 37.731.016). D.4 Il sera revenu ci-après sur chacun des cas reprochés au prévenu conformément à l’acte d’accusation.

E. Cas G. (anc. G.a. et G.b.) (chiffre 1.3.1 de l’acte d’accusation) E.1 Des faits reprochés au prévenu E.1.1 A teneur de l’acte d’accusation, le 22 décembre 2016, vers 10h45, à Netanya (IL), depuis un lieu qui n’a pu être déterminé précisément, le prévenu a appelé la société G.a. à U. (aujourd’hui : G.). Se présentant sous l’identité de « BB.a. », employé de la banque 4, le prévenu s’est entretenu avec LL., assistantecomptable de cette entreprise, à laquelle il a expliqué qu’une migration du système e-banking devait avoir lieu. E.1.2 Après lui avoir posé diverses questions sur les habitudes de paiement de l’entreprise, le prévenu a prié LL. d’introduire dans la barre adresse de son navigateur internet l’adresse URL « www.1 » suivie d’un numéro qu’il lui a communiqué. Cette adresse était en réalité un lien raccourci cachant l’adresse réelle à laquelle il renvoyait, soit celle du site « www.2 » offrant un service de contrôle à distance. Le prévenu a ainsi amené son interlocutrice à télécharger à son insu le logiciel de contrôle à distance NTRCloud qui lui a permis d’accéder indument à l’ordinateur de l’assistante-comptable et, partant, aux serveurs de la société susmentionnée. E.1.3 Le prévenu a ensuite demandé à son interlocutrice d’ouvrir une session ebanking sur les comptes de la société et, une fois la session ouverte, lui a posé des questions relatives au paiement des fournisseurs et la devise utilisée pour ceux-ci, avant de la prier de quitter la session. Le prévenu a alors insisté pour que LL. vérifie les accès à l’e-banking de l’administrateur de la société, NN. Ce dernier a remis ses codes d’accès et sa calculette – soit l’appareil nécessaire à la génération du code d’accès de validation pour ouvrir la session e-banking – à LL. qui a ainsi pu répondre aux questions du prévenu sur les paiements à

- 21 - SK.2024.24 effectuer d’ici au lendemain soir. Au moyen de l’accès à l’ordinateur de l’assistante-comptable, le prévenu a pu prendre connaissance sans droit des données bancaires de la société. E.1.4 Le même jour vers 16h, le prévenu a rappelé LL. et l’a priée à nouveau d’introduire dans son navigateur l’adresse URL « www.1 », lui permettant ainsi d’accéder indument à son ordinateur. Il lui a ensuite demandé d’ouvrir une session e-banking. La précitée s’est exécutée en utilisant le numéro de contrat du responsable financier de la société, OO. Après avoir communiqué les codes générés par la calculette de la banque au prévenu à sa demande, LL. s’est déconnectée. Le prévenu lui a alors demandé de se connecter au moyen des accès de NN., lequel avait communiqué ceux-ci à l’assistante-comptable. Cette dernière lui ayant signifié qu’elle devait encore saisir des paiements dans le système e-banking, elle a convenu avec le prévenu qu’il la rappellerait le lendemain entre 9 et 10h. Avant de se déconnecter, et à la demande du prévenu, elle lui a communiqué tous les codes d’accès, qu’il a à son tour remis aux autres auteurs afin qu’ils puissent eux-mêmes les utiliser pour ouvrir une ou plusieurs sessions e-banking. E.1.5 Le lendemain, soit le vendredi 23 décembre 2016, après un premier entretien téléphonique entre 9 et 10h, LL. a rappelé le prévenu en lui indiquant que tous les paiements avaient été saisis. Les autres auteurs ont alors utilisé les accès au système e-banking communiqués par le prévenu dans le but de générer un code préalable à l’ouverture d’une session. Le prévenu a ensuite prié LL. d’introduire dans la calculette de la banque les codes que les autres auteurs avaient générés par l’introduction des numéros de contrat d’OO. puis de NN. dans les sessions e-banking et de lui communiquer les codes en résultant. Une fois en possession de ces codes, le prévenu les a remis aux autres auteurs qui ont pu finaliser l’ouverture de la session e-banking sur les comptes de la société. Il a encore discuté avec son interlocutrice puis lui a indiqué qu’il ne fallait plus effectuer aucune opération dans l’e-banking durant la migration, la priant également de prendre les calculettes afin d’éviter que les titulaires des comptes ne se connectent. Il a encore annoncé qu’il rappellerait la société le lundi 9 janvier 2017. E.1.6 Le 23 décembre 2016, entre 11h50 et 12h, depuis un endroit non déterminé en Israël, au moyen des accès e-banking ainsi obtenus par le prévenu, les autres auteurs ont pris connaissance sans droit des données bancaires de la société. Ils ont en outre pu ordonner indument les deux transferts suivants, à l’insu des responsables des sociétés, par le débit du compte 10 (EUR) de la banque 4 au nom de la société : 1) EUR 97'257.- en faveur de la société 12, sise […] à Dortmund (D), sur le compte 11 auprès de la banque 5 à Francfort-sur-le-Main (D) ;

- 22 - SK.2024.24 2) EUR 209'821.- en faveur de la société 13, à Amstelveen (NL), sur le compte 12 auprès de la banque 6 à Amsterdam (NL). E.1.7 Le même jour, les auteurs ont encore tenté de transférer indument un montant de USD 395'971.- par le débit du compte de la banque 4 susmentionné en faveur de la société 14 en Chine. Ce transfert a toutefois été bloqué par la banque 4. E.1.8 Ainsi, le préjudice subi par la partie plaignante s’élève à EUR 307'078.- (EUR 97'257.- + EUR 209'821.-). E.2 Des moyens de preuve E.2.1 A l’appui de sa plainte pénale, la société a produit les détails de transactions (avis de débit et swifts) de la banque 4, dont il ressort que le compte lié au numéro IBAN n° 10 de la relation bancaire au nom de G.a. a bien été débité, par ordre global e-banking daté et exécuté le 23 décembre 2016, d’un montant total de EUR 307'078.-. Ce montant correspond à deux transactions, l’une en faveur de la société 13, […], Amstelveen (NL), par EUR 209'821.-, et l’autre en faveur de la société 12, […], Dortmund (D) (MPC 05-12-00040 à 05-12-0042). La transaction d’USD 395'971.00 en faveur de la société 14 a, elle, été bloquée par la banque de la société bénéficiaire (MPC 05-12-0039 et 05-12-0041). E.2.2 L’enquête a en outre permis de saisir un enregistrement audio de l’entretien téléphonique du 9 janvier 2017 entre LL. et « M. BB. », puis « M. BB. » et OO. (annexe au rapport PJF du 30 mars 2023). Au cours de celui-ci, « M. BB. » demande à LL. d’ouvrir le « SEPA guide » et lui demande de se connecter à « www.36 ». Il s’enquiert en outre de la date des prochains versements et du type de saisie, DTA ou manuelle, ainsi que du type de destinataires des versements (salaire ou fournisseur). OO. confronte ensuite « M. BB. » aux trois débits frauduleux, soit un en dollars et deux en euros, ce sur quoi « M. BB. » affirme qu’il s’agirait de débits fictifs, prétextant que la société devrait, normalement, déjà avoir récupéré les montants en cause. « M. BB. » passe alors en revue les montants, prétendant que le versement d’environ EUR 97'000.- devrait être crédité le lendemain sur le compte de la société. OO. insistant pour obtenir des informations, « M. BB. » change de sujet et demande à savoir qui s’est connecté à l’e-banking, puis reproche à OO. de n’avoir pas suivi ses instructions contraires. « M. BB. » prétend encore que la situation est normale et que la migration ne serait pas encore terminée, raison pour laquelle, à première connexion, OO. ne verrait pas encore les montants (fictivement) débités. Lorsqu’OO. lui indique que la banque l’a informé d’un découvert, « M. BB. » lui annonce que la banque va lui transmettre un e-mail de confirmation pour le rassurer. E.2.3 Entendue le 9 janvier 2017 (MPC 05-12-0027 ss), LL. a décrit la prise de contact de « M. BB. », telle que reprochée au prévenu dans l’acte d’accusation. Elle a ainsi, en substance, expliqué que « M. BB. », se présentant comme un

- 23 - SK.2024.24 collaborateur de la banque 4, l’a contactée le 22 décembre 2016, vers 10h45. Il lui a alors expliqué que la banque allait faire une migration du système e-banking et que selon la version internet dont disposait l’entreprise, cela pouvait engendrer des problèmes et prendre du temps. « M. BB. » l’a encore questionnée sur les habitudes de paiement de l’entreprise. Ensuite, « M. BB. » a demandé à LL. de se connecter sur internet, d’introduire l’URL 1 et de cliquer sur le bouton « exécuter ». Toujours sur instruction de « M. BB. », LL. s’est alors connectée à l’e-banking de la société, avec le contrat d’OO. A la demande de « M. BB. », elle a ensuite essayé d’effectuer le même processus avec les accès de NN., sans succès. Finalement « M. BB. » l’avait recontactée vers 16h00 le même jour et l’a accompagnée à travers les mêmes étapes de connexion, d’abord avec le contrat e-banking d’OO., puis avec celui de NN. « M. BB. » lui a alors signifié souhaiter débuter la migration, sur quoi LL. l’a informé que cela n’était pas possible, dès lors qu’elle devait encore saisir des paiements. Le lendemain matin, « M. BB. » a une fois de plus recontacté LL. pour s’assurer que les paiements avaient été saisis et l’a intimée de ne pas se connecter à l’e-banking pendant toute la durée de la migration, qui allait débuter. E.2.4 Entendu le 10 janvier 2017, OO. a précisé que les paiements e-banking, préparés par LL. à l’aide des codes d’accès d’OO., doivent être validés par NN. (MPC 05- 12-0034), une double signature étant nécessaire pour effectuer les transactions. E.2.5 Dans un premier temps, le prévenu a, à réitérées reprises, nié catégoriquement toute implication dans les faits objet de la procédure, en particulier le détournement de fonds au préjudice de la société G.a., aujourd’hui G. (MPC 13- 01-0091 et 13-01-0194), y compris lorsque confronté à l’enregistrement audio susmentionné, prétendant ne pas reconnaître les voix sur celui-ci (MPC 13-01- 0091 et 13-01-0171). Lors de son audition du 28 octobre 2022, le prévenu a finalement admis être « M. BB. » qui avait contacté la société (MPC 13-01-0241 et 13-01-0247 ss). Il a aussi affirmé se souvenir qu’il s’agissait de la première société qu’il avait contactée, précisément parce que la raison sociale de la société comportait le nom de famille « BB. », soit son pseudonyme (MPC 13-01- 0241 et 13-01-0273). Aux débats, A. a confirmé ses aveux (SK 37.731.014).

F. F. (chiffre 1.3.2 de l’acte d’accusation) F.1 Des faits reprochés au prévenu F.1.1 A teneur de l’acte d’accusation, à une date indéterminée située entre le 19 et le 22 décembre 2016, à Netanya (IL), depuis un lieu qui n’a pu être déterminé précisément, le prévenu a appelé F. à Genève en se présentant sous le nom de « HH.a. », prétendument employé par la banque 4. Le prévenu a indiqué à son

- 24 - SK.2024.24 interlocuteur MM. que la banque précitée allait procéder à une « migration » de la plateforme de paiement afin d’améliorer son accessibilité et d’éliminer des problèmes de lenteurs constatés. F.1.2 Le 22 décembre 2016, le prévenu a rappelé MM. en lui proposant d’entamer ladite migration. Lors du même appel, le prévenu s’est également entretenu avec un autre employé de F., à savoir PP., lequel lui a indiqué que les paiements de la société seraient finalisés à 16h. F.1.3 Le même jour, à 16h45, le prévenu a rappelé MM. Sous le prétexte de démarrer la prétendue migration de la plateforme de paiement, il a convaincu son interlocuteur d’entrer dans la barre adresse de son navigateur une adresse URL communiquée oralement, l’amenant ainsi à télécharger à son insu le logiciel de contrôle à distance DDDD. et à lui permettre d’accéder de la sorte indument à son ordinateur et, partant, aux serveurs de la société susmentionnée. Cet accès obtenu, le prévenu a prié MM. et PP. de se connecter à leurs sessions e-banking respectives sur le poste informatique du premier nommé. Une fois les sessions ouvertes, et au moyen de la connexion à distance, le prévenu a pris connaissance sans droit des données d’accès au compte e-banking de F., ainsi que des données bancaires de celle-ci. Il a alors communiqué les accès à l’ordinateur de MM. et aux sessions e-banking précitées aux autres auteurs, en sachant que ces derniers les utiliseraient pour ordonner des transferts indus au préjudice de la société précitée. F.1.4 Toujours le même jour, depuis un endroit non identifié en Israël et au moyen des accès ainsi obtenus par l’intervention du prévenu, les autres auteurs ont pu ordonner le transfert indu de EUR 992'728.- (CHF 1'067'754.41) par le débit du compte 13 au nom de F. auprès de la banque 4 en faveur du compte bancaire n° 14 ouvert au nom de la société 15 auprès de la banque 7.. F.1.5 Le 28 décembre 2016, le prévenu, toujours sous la fausse identité de « HH.a. », s’est à nouveau entretenu avec MM. au sujet de paiements qui devaient être effectués par le système e-banking. Il a été convenu que lesdits paiements seraient passés le lendemain. Le 29 décembre 2016, le prévenu a derechef contacté MM. puis, sous le prétexte fallacieux de l’assister dans le processus de paiements en cours, s’est indument connecté à distance sur son poste. Il a ensuite prié le précité et QQ., également employé de F., d’ouvrir une session ebanking pour lui permettre de valider les paiements. Le prévenu a ensuite remis les accès directs au poste de MM. aux autres auteurs qui ont pu cette fois transférer sans droit le montant de EUR 912'374.- (CHF 985'253.52) par le débit du compte 13 au nom de F. auprès de la banque 4 en faveur du compte bancaire no 14 ouvert au nom de la société 15 auprès de la banque 7.

- 25 - SK.2024.24 F.1.6 Le préjudice subi par la plaignante s’élève ainsi à CHF 2'053'007.93 (CHF 1'067'754.41 + CHF 985'263.52 [correspondant aux deux transferts de EUR 992'728.- et EUR 912'374.-, soit EUR 1'905'102.-]). F.2 Des moyens de preuve F.2.1 A l’appui de sa plainte du 9 janvier 2017, F. a produit les détails de transaction (avis de débit et extrait swift) pour les deux transactions en cause. Il en ressort qu’un premier montant de CHF 1'067'754.41 a été débité de la relation bancaire de F. sur ordre e-banking du 23 décembre 2016, correspondant au versement de EUR 992'728.- en faveur de la société 15 (MPC 05-02-0027 et 05-02-0278) et qu’un second débit, par CHF 985'253.52, a été opéré par ordre e-banking du 30 décembre 2016, correspondant, lui, au versement de EUR 912'374.- en faveur de la même société (MPC 05-02-0028 et 05-02-0281). F.2.2 Par ailleurs, il ressort de la documentation bancaire du compte de la société 15 auprès de la banque 7 que celle-ci a été créditée des deux versements en cause (MPC 05-02-193 s. et 05-02-00197 s.). F.2.3 Le déroulement des faits reprochés au prévenu est corroboré par la plainte déposée par F. le 9 janvier 2017 (MPC 05-02-0016 ss). A teneur de ladite plainte, la première prise de contact de « HH.a. » est intervenue dans la semaine du 19 décembre 2016, à une date qui n’a pas pu être précisée plus avant (MPC 05- 02-0019). On relèvera encore que, toujours selon la plainte du 9 janvier 2017, le prétendu « HH.a. » a communiqué à MM. deux numéros de téléphone pour le rappeler, soit le 15 et le 16, le 22 décembre 2016 à 10h23 (MPC 05-02-0019). Or, le numéro de téléphone 15 est un des deux raccordements utilisés par « BB.a. » pour appeler son interlocutrice auprès de la société G.a., aujourd’hui G., à cinq reprises, entre le 22 et le 23 décembre 2016 (MPC 05-12-0029). Le numéro 16 est celui sur lequel elle devait rappeler « BB.a. », le 9 janvier 2017 (MPC 05-12-0029). Il s’agit du même numéro que celui indiqué dans l’e-mail de « BB.a. » du 4 janvier 2017 à l’attention de I. (MPC 05-02-0047) ou de celui signé « HH.a. » du 9 janvier 2017 adressé à la société K. (MPC 05-02-0057). C’est aussi ce raccordement que « BB. » a indiqué être son numéro à son interlocutrice auprès de la société H., le 4 janvier 2017 (MPC 05-05-0030). A. a reconnu avoir exécuté les cas G.a. (aujourd’hui G.), I., K. et H. A. a expliqué avoir utilisé deux téléphones portables pour contacter les sociétés lésées, lesquels restaient posés sur son bureau pour l’éventualité où l’employé de la société rappellerait. Tant « GG. », « FF. » que le prévenu répondaient aux appels entrants (MPC 13-01-0255 et 13-01-0257). Les raccordements étaient chacun utilisés pendant une semaine, soit un, deux ou trois cas (MPC 13-01- 0306). S’agissant du courriel signé « HH.a. », envoyé à K., il a indiqué en

- 26 - SK.2024.24 instruction qu’il s’agissait d’une erreur de « FF. » et que lui (le prévenu) aurait fait attention à ne pas signer « HH.a. » (MPC 13-01-0307). F.2.4 Le prévenu nie toute implication dans le détournement des fonds de F. En premier lieu, il se prévaut du fait que la prise de contact avec ladite société serait, selon lui, antérieure à celle avec G.a., aujourd’hui G., qu’il se souvient avoir été la première société qu’il ait contactée (MPC 13-01-0273 et SK 37.731.015). Deuxièmement, le prévenu indique ne pas se souvenir d’avoir touché une « commission » correspondant aux montants détournés du compte de F. et que – eu égard au montant détourné – s’il avait touché une telle « commission », il s’en souviendrait (MPC 13-01-0273). Troisièmement, le prévenu a indiqué n’avoir que peu utilisé le pseudonyme « HH. » (MPC 13-01-0273). Ultérieurement, il a affirmé ne l’avoir, en fait, jamais utilisé (MPC 13-01-0299 et 13-01-0307). La Cour relève que A. a indiqué penser avoir lui-même effectué la première phase de collecte d’informations dans le cas G., avant d’effectuer la deuxième phase d’obtention des accès e-banking (MPC 13-01-258) et qu’il avait été en contact avec ladite société à plusieurs reprises, jusqu’au début janvier 2017. Elle relève aussi que les fraudes ont été perpétrées, pour partie du moins, en parallèle, comme cela ressort du relevé des appels (13-01-0293 ss). Par ailleurs, la Cour constate que le prévenu s’est prévalu de n’avoir pas perçu de « commission » correspondant au montant détourné non seulement dans le cas F. mais aussi dans celui de C., pour en déduire n’avoir pas été impliqué dans ces cas (MPC 13-01-247, 13-01-0273 s. et 13-01-0275). Par la suite, il a fini par admettre qu’il avait, en fait, bien participé à la réalisation du cas C. (MPC 13-01- 0279) et a expliqué avoir jusqu’alors maintenu ses dénégations parce qu’il n’avait pas touché de « commission » en raison de soi-disant problèmes avec un compte, ce qui avait donné lieu à un différend avec « EE. » (MPC 13-01-0279 et 13-01-0299 s.). Lors des débats par-devant la Cour de céans, bien que confronté au fait que l’obtention des accès e-banking de F. avait peut-être eu lieu après l’appel à G.a., aujourd’hui G., le prévenu a maintenu ses dénégations, au motif que la première société qu’il avait contactée avait été la société G. Il a affirmé que c’étaient sûrement « EE. » et « FF. » les auteurs de l’appel à F. (SK 37.731.015). Il a toutefois aussi exclu que ces derniers utilisaient le pseudonyme « HH. » (SK 37.731.011).

- 27 - SK.2024.24 G. I. (chiffre 1.3.3 de l’acte d’accusation) G.1 Des faits reprochés au prévenu G.1.1 A teneur de l’acte d’accusation, le 4 janvier 2017, vers 10h30, à Netanya (IL), depuis un lieu qui n’a pu être déterminé précisément, le prévenu a contacté téléphoniquement la société I. à V. Se présentant auprès de la comptable RR. sous la fausse identité de « BB.a. », il a affirmé à son interlocutrice qu’il représentait la banque 4, laquelle effectuait des modifications de son système ebanking, et qu’il voulait s’assurer que le programme informatique de I. supportait ces modifications. Il a alors amené RR. à télécharger à son insu le logiciel d’accès à distance NTRCloud en lui dictant une adresse URL, à savoir « 3 ». Le prévenu a ainsi pu accéder indument à l’ordinateur de RR. et, partant, aux serveurs de I. et, par la même, prendre connaissance de données de la société précitée, en particulier les données d’accès de RR. Il a de la sorte pu fournir à celle-ci le code généré par la plateforme e-banking de la banque 4 grâce à ces données d’accès, puis a prié la comptable d’introduire ledit code dans la calculette de la banque 4, permettant à RR. d’ouvrir une session. Le prévenu a communiqué ces données d’accès et l’accès lui-même aux autres auteurs dans le but de leur permettre d’ordonner des transferts indus au préjudice de I. G.1.2 RR. s’est ensuite déconnectée de cette session e-banking et elle a refusé de se reconnecter au moyen de la carte d’une de ses collègues comme le prévenu le lui demandait. En raison des soupçons que la conversation susmentionnée lui avait inspirés, elle a appelé la véritable banque 4 et a fait bloquer le compte de la société. G.1.3 Le 6 janvier 2017, le prévenu a rappelé la société I. et a à nouveau tenté de faire télécharger le logiciel NTRCloud à son interlocuteur, sans succès toutefois, l’informaticien de la société ayant assisté à la manœuvre. G.1.4 Aucun détournement n’a pu être commis par les auteurs sur ce compte. G.2 Des moyens de preuve G.2.1 A l’appui de sa plainte du 5 janvier 2017, I. a notamment produit la copie des courriels que « BB.a. » lui avait adressés (MPC 05-02-0038 ss) ainsi qu’un relevé des deux appels effectués depuis le numéro 17, le 4 janvier 2017 (MPC 05-002- 0041). G.2.2 Le déroulement des événements reprochés au prévenu est corroboré par la plainte pénale et les déclarations de RR. du 5 janvier 2017 (MPC 05-02-0030 ss). En substance, celle-ci a expliqué que « BB.a. » de la banque 4 l’avait contactée le 4 janvier 2017 vers 10h30, lui expliquant que la banque procédait à des modifications sur son portail e-banking. A cet effet, il voulait s’assurer de la compatibilité du programme de I. RR. a encore demandé à « BB.a. » une preuve

- 28 - SK.2024.24 qu’il était bien employé de la banque et elle a alors reçu un courriel en provenance d’une adresse e-mail de celle-ci et comportant son logo, ce qui l’a mise en confiance. « BB.a. » l’a ensuite accompagnée à travers diverses manipulations sur le portail e-banking. Il a ensuite demandé à RR. de répéter ces opérations avec les accès de sa collègue, ce que RR. a refusé (MPC 05-02- 0031). G.2.3 Dans un premier temps, le prévenu a, à réitérées reprises, nié catégoriquement toute implication dans les faits objet de la procédure, en particulier la prise de contact avec la société I. (MPC 13-01-0091). Lors de son audition du 28 octobre 2022, le prévenu a finalement admis être « BB.a. » qui avait contacté I. (MPC 13-01-0247 ss). Aux débats, A. a confirmé ses aveux (SK 37.731.014).

H. H. (chiffre 1.3.4 de l’acte d’accusation) H.1 Des faits reprochés au prévenu H.1.1 A teneur de l’acte d’accusation, le mercredi 4 janvier 2017, entre 15h et 16h, à Netanya (IL), depuis un lieu qui n’a pu être déterminé précisément, le prévenu a appelé téléphoniquement la société H. à W. Il s’est présenté sous l’identité de « M. BB. », prétendument employé de la banque 4, plus précisément du Customer Service de cette banque, auprès de la responsable des finances, SS., à qui il a expliqué qu’il devait procéder à une mise à jour du logiciel e-banking de la société. Le prévenu a ensuite prié son interlocutrice d’entrer l’adresse suivante sur son navigateur Internet : « http://4 », au moyen de laquelle il l’a amenée à télécharger le logiciel de contrôle à distance NTRCloud sur son PC. Il a ensuite communiqué un identifiant à SS. qui lui a alors remis le code à 8 chiffres généré par le logiciel, que le prévenu a utilisé pour se connecter sans droit à distance sur l’ordinateur de son interlocutrice. H.1.2 A la demande du prévenu, la responsable des finances de H. s’est ensuite connectée à une session e-banking liée aux comptes de l’entreprise. Grâce au logiciel de contrôle à distance susmentionné, le prévenu a alors amené la lésée à masquer son propre écran, en appuyant sur la touche F5, lui permettant ainsi de prendre connaissance à son insu des données bancaires de la société dans le cadre de la session e-banking qui était ouverte. Comme SS. devait encore effectuer des paiements pour la société, le prévenu lui a proposé de les examiner avec elle sur une autre session e-banking. A la demande de SS., le prévenu lui a ensuite communiqué une confirmation des paiements de l’entreprise qu’il avait lui-même réglés par e-banking.

- 29 - SK.2024.24 H.1.3 Grâce au logiciel de contrôle susmentionné, le prévenu a ainsi indument accédé à l’ordinateur de SS. et, partant, au système informatique de la société susmentionnée. Il a en outre pris ainsi connaissance sans droit des données bancaires de la société H. Il a également communiqué les données d’accès à l’ebanking et l’accès à l’ordinateur de SS. aux autres auteurs. Ceux-ci ont ainsi pu, depuis un endroit en Israël qui n’a pu être déterminé précisément, ouvrir des sessions e-banking directement sur l’ordinateur de SS., prendre connaissance à leur tour des données bancaires de la société et ordonner les 6 transferts de fonds suivants par le débit du compte no 18 au nom de H. auprès de la banque 4 : 1) le 5 janvier 2017, EUR 297'157.- en faveur du compte no 19 au nom de la société 16 auprès de la banque 7 ; ces fonds ont été recrédités sur le compte de la lésée ;

2) le 5 janvier 2017, EUR 143'147.- en faveur du compte 20 au nom de la société 12.a. auprès de la banque 5 à Francfort-sur-le-Main (D) ; ces fonds ont été recrédités sur le compte de la lésée ;

3) le 9 janvier 2017, EUR 147'328.- en faveur du même compte bancaire ; ces fonds ont été recrédités sur le compte de la lésée ;

4) le 13 janvier 2017, EUR 127'532.- en faveur du compte 21 au nom de la société 17 auprès de la banque 8 à Sofia (BG) ; ces fonds ont été recrédités sur le compte de la lésée ;

5) le 16 janvier 2017, EUR 274'193.- en faveur du même compte ; ces fonds ont été recrédités sur le compte de la lésée (recte : ces fonds n’ont pas pu être récupérés ; MPC 10-05-0079 et MPC 05-05-0023) ;

6) le 17 janvier 2017, EUR 296'702.- en faveur du compte 22 au nom de la société 18 auprès de la banque 9 ; ces fonds n’ont pas pu être récupérés (recte : ces fonds ont été bloqués et restitués à la lésée ; MPC 05-05-0023) ; H.1.4 Le préjudice de la société H. s’élève ainsi à EUR 296'702.- (recte: EUR 274'193.- ). Les débits recrédités s’élèvent à EUR 1'011'866.- (EUR 297'157.- + EUR 143'147.- + EUR 147'328.- + EUR 127'532.- + EUR 296'702.-).

- 30 - SK.2024.24 H.2 Des moyens de preuve H.2.1 Il ressort des avis de détail produits par H. (MPC 05-05-0025) que, par ordres du 4 janvier 2017 exécutés le lendemain, sa relation bancaire 23 a bien été débitée de EUR 297'157.- en faveur du compte n°19 de la société 16 auprès de la banque 7 et de EUR 143'147.- en faveur de la société 12.a., […] Dortmund (D), sur son compte n° 20 auprès de la banque 5, à Francfort-sur-le-Main (D) (MPC 05-05- 0036 s.). Ensuite, par ordre du 9 janvier 2017, exécuté le même jour, la même relation de H. a versé EUR 147'328.- à la société 12.a., […] Dortmund (D), sur son même compte, auprès de la banque 5, Francfort-sur-le-Main (D) (MPC 05- 05-0036). Par ordres du 13 janvier 2017, la relation de H. a été débitée de EUR 296'702.- en faveur du compte n° 22 au nom de la société 18 auprès de la banque 9 et de EUR 127'532.- en faveur du compte de la société 17, Sofia BG auprès de la banque 8 à Sofia (BG) (MPC 05-05-0038). Le 16 janvier 2017, toujours le même compte de H. a versé un deuxième montant, de EUR 274'193.sur ce compte de la société 17 (MPC 05-05-0037). H.2.2 A teneur du journal des appels de H., son raccordement 24 a contacté à 11 reprises le numéro 16 entre le 5 et 16 janvier 2017 (MPC 05-05-0050). La première prise de contact de « M. BB. », le 4 janvier 2017, a été effectuée avec le numéro 17 (MPC 05-05-0029). H.2.3 Entendue le 20 janvier 2017, SS. a expliqué le déroulement des faits tels que reprochés au prévenu (MPC 05-05-0029 ss). En substance, elle a déclaré avoir été contactée le 4 janvier 2017, entre 15h et 16h, par un certain « M. BB. » de la banque, depuis le raccordement 17. « M. BB. » lui avait alors annoncé qu’il allait faire une mise à jour du logiciel e-banking, qui prendrait entre 48h et 72h (MPC 05-05-0029). Elle lui avait encore demandé de lui prouver qu’il appelait de la banque 4, ce sur quoi « M. BB. » avait réagi en lui proposant de la connecter avec la bande-annonce téléphonique de la banque. « M. BB. » lui avait ensuite fait ouvrir une application du type TeamViewer et SS. avait exécuté le programme. Toujours à la demande de « M. BB. », SS. s’était ensuite connectée au portail e-banking et avait suivi les instructions de « M. BB. », ensuite de quoi « M. BB. » lui avait indiqué que la mise à jour allait commencer. A sa demande, il l’avait encore accompagnée à travers un processus de paiement et avait remis à SS. un pdf de confirmation des versements effectués. Il lui avait encore indiqué être joignable au numéro 16 si elle devait effectuer d’autres versements pendant la (prétendue) migration et l’avait instruite à ne pas se connecter par elle-même à l’e-banking, dans quel cas la mise à jour devrait être recommencée (MPC 05- 05-0030 s.). Interpellée par la durée du processus, SS. a recontacté « M. BB. » pour qu’il lui en donne les raisons, sur quoi ce dernier avait fourni plusieurs excuses (MPC 05-05-0032).

- 31 - SK.2024.24 H.2.4 Dans un premier temps, le prévenu a, à réitérées reprises, nié catégoriquement toute implication dans les faits objet de la procédure, en particulier le détournement de fonds au préjudice de H. (MPC 13-01-0092 et 13-01-0199). Lors de son audition du 28 octobre 2022, le prévenu a finalement admis être « M. BB. » qui avait contacté H. (MPC 13-01-0248). Aux débats, A. a confirmé ses aveux (SK 37.731.014).

I. K. (chiffre 1.3.5 de l’acte d’accusation) I.1 Des faits reprochés au prévenu I.1.1 A teneur de l’acte d’accusation, le 9 janvier 2017, à 11h45, à Netanya (IL), depuis un lieu qui n’a pu être déterminé précisément, le prévenu a contacté téléphoniquement la société K. à X. Il s’est présenté sous la fausse identité de « BB.a. », prétendant travailler pour la banque 4, puis a expliqué à TT., responsable comptabilité et finance, qu’il lui était nécessaire de se connecter à l’e-banking pour vérifier la version dont disposait la société. Le prévenu a alors demandé à son interlocutrice d’ouvrir son navigateur internet et lui a dicté l’adresse « www.5 » en la priant de cliquer sur l’option « exécuter ». Il lui a ensuite demandé de se connecter au système e-banking donnant accès aux comptes de la société auprès de la banque 4. TT. a alors ouvert une session e-banking au moyen de ses accès et le prévenu a été en mesure de lui communiquer le solde d’un compte bancaire qui apparaissait sur l’écran. Après cette conversation téléphonique, TT. a appelé la banque 4 qui lui a indiqué que son précédent interlocuteur ne travaillait pas pour elle. I.1.2 Au moyen de l’adresse URL susmentionnée, le prévenu a ainsi amené TT. à télécharger à son insu un logiciel d’accès à distance sur son ordinateur, grâce auquel il a pu accéder indument au système informatique de la société K. et prendre connaissance de manière illicite de données de la société, en particulier des données bancaires. I.1.3 Aucun transfert de fonds n’a toutefois pu être ordonné à cette occasion par les autres auteurs. I.2 Des moyens de preuve I.2.1 TT. a été entendue le 11 janvier 2017 et ses déclarations quant au déroulement des faits correspondent au comportement reproché au prévenu (MPC 05-02- 0049 ss). TT. a ainsi indiqué, en substance, que « BB.a. », de la banque 4, avait contacté la société le 9 janvier à 11h45. Il avait d’abord, de manière détournée, demandé au standard des informations sur l’entreprise et TT., avant d’être mis en relation avec cette dernière. Après l’avoir mise en confiance, « BB.a. » lui avait

- 32 - SK.2024.24 alors expliqué que la banque devait effectuer une migration. Il lui avait donné instruction de se rendre sur la page « 5 », soi-disant pour vérifier sa version du logiciel (MPC 05-02-0050). Toujours à la demande de « BB.a. », elle avait alors cliqué sur le bouton « exécuter » apparaissant à l’écran, puis s’était connectée au portail e-banking. « BB.a. » l’avait alors accompagnée dans sa navigation sur le portail. Il avait été en mesure de lui donner le solde du compte bancaire s’affichant à l’écran de TT. « BB.a. » lui avait ensuite posé des questions quant aux titulaires des droits de signature sur les comptes de la société. TT. ayant alors eu un mauvais pressentiment et lui ayant demandé une preuve qu’il travaillait bien pour la banque, « BB.a. » lui avait alors proposé de lui envoyer un courriel (MPC 05-02-0051). Ensuite, « BB.a. » avait demandé à TT. de se connecter aux postes de ses collègues pour procéder aux mêmes soi-disant vérifications de la version e-banking. TT. ayant prétendu que ses collègues étaient en pause, « BB.a. » l’avait recontactée à 13h30. Dans l’intervalle, TT. avait obtenu la confirmation de la banque 4 que « BB.a. » n’appelait pas pour la banque. Confronté à ce fait, « BB.a. » avait encore prétendu que c’était faux et que, si elle lui donnait le nom de la personne à qui elle avait parlé, il ferait en sorte que la même personne la recontacte pour lui confirmer qu’il travaillait bien pour la banque (MPC 05-02-0051). I.2.2 Dans un premier temps, le prévenu a, à réitérées reprises, nié catégoriquement toute implication dans les faits objet de la procédure, en particulier la prise de contact avec la société K. (MPC 13-01-0092, 13-01-0198). Lors de son audition du 28 octobre 2022, le prévenu a finalement admis être « M. BB. » qui avait contacté K. (MPC 13-01-0248). Aux débats, A. a confirmé ses aveux (SK 37.731.014).

J. B. (chiffre 1.3.6 de l’acte d’accusation) J.1 Des faits reprochés au prévenu J.1.1 Selon l’acte d’accusation, à une date indéterminée dans le courant du mois de janvier 2017, depuis un lieu en Israël qui n’a pu être déterminé précisément, l’un des auteurs non identifiés a appelé téléphoniquement la société B. à La Chauxde-Fonds. Il s’est présenté auprès de la responsable de la comptabilité, AAA., sous l’identité fictive de « M. GG. », employé de la banque 4, annonçant qu’un de ses collègues nommé « BB. », reprendrait contact avec elle pour mettre à jour des clés e-banking. J.1.2 Le 16 janvier 2017, à Netanya (IL), depuis un lieu qui n’a pu être déterminé précisément, le prévenu a contacté téléphoniquement AAA. en se présentant sous l’identité de « M. BB. », prétendument employé par la banque 4. Le prévenu a alors expliqué à la précitée qu’il allait « mettre le système en route », ce qui

- 33 - SK.2024.24 provoquerait une interruption de service de 48 à 72 heures. La responsable de la comptabilité devant encore effectuer des paiements pour le compte de B., le prévenu a dû patienter jusqu’au 23 janvier 2017 avant de la rappeler, annonçant qu’il voulait lancer la mise à jour des clés. AAA. a alors collecté 5 des 6 clés permettant d’accéder aux comptes bancaires de l’entreprise par le système ebanking. Dans ce contexte, entre le 23 et le 24 janvier 2017, depuis un endroit qui n’a pu être localisé en Israël, le prévenu s’est entretenu par téléphone avec AAA. et l’a convaincue de se connecter elle-même au système e-banking de la banque 4 sur les comptes de B. au moyen de sa propre clé ainsi que de celles qu’elle avait collectées. Il l’a ensuite priée d’introduire une adresse URL dans la barre adresse de son navigateur, commençant par « www.6 » et suivie par des chiffres, puis de lui donner accès à distance à son ordinateur au moyen du logiciel TeamViewer, en lui demandant de lui communiquer le numéro d’identification qui s’affichait et le mot de passe qui y figurait, ainsi que d’afficher le clavier numérique sur l’écran avant d’entrer son NIP. Le prévenu a ensuite demandé à son interlocutrice de presser sur la touche F5, ce qui a eu pour effet de rendre noir l’écran de celle-ci. Les 25, 26 et 31 janvier 2017, le prévenu a rappelé téléphoniquement AAA., en la priant de répéter les mêmes opérations, mais uniquement avec sa clé et celle du directeur financier BBB. J.1.3 Grâce au logiciel de contrôle susmentionné, le prévenu a ainsi indument accédé à l’ordinateur d’AAA. et, partant, au système informatique de B. ; il a par la même occasion pris connaissance sans droit des données bancaires de la société précitée, en particulier des données d’accès au système e-banking utilisé par ladite société. Il a également communiqué les données d’accès à l’e-banking et l’accès à l’ordinateur d’AAA. aux autres auteurs. Ceux-ci ont alors pu, depuis un endroit en Israël qui n’a pu être déterminé précisément, se connecter à treize reprises directement aux ordinateurs de B. entre le 23 et le 30 janvier 2017. Ils ont de la sorte pu prendre connaissance illégalement des données bancaires de B. et ordonner sans droit 7 transferts de fonds par le débit du compte 25 au nom de la société précitée auprès de la banque 4, pour des montants totaux de EUR 1'124'823.- et CHF 722'151.- selon le détail suivant : 1) le 24 janvier 2017, EUR 192'726.- en faveur du compte 26 au nom de la société 19 à Budapest (HUN) auprès de la banque 10, également à Budapest (HUN) ; 2) le 24 janvier 2017, CHF 328'425.- en faveur du compte 27 au nom de la société 2 auprès de la banque 1 à Genève ; 3) le 25 janvier 2017, EUR 199'726.- en faveur du compte 28 au nom de la société 20 à Düsseldorf (D) auprès de la banque 11 ; 4) le 26 janvier 2017, EUR 182'026.- en faveur du compte 29 au nom de la société 21 à Dahme auprès de la banque 12 à Francfort-sur-le-Main (D) ;

- 34 - SK.2024.24 5) le 26 janvier 2017, EUR 197'620.- en faveur du compte 30 au nom de la société 22 à Francfort-sur-le-Main (D) auprès de la banque 5 également à Francfort-surle-Main (D) ; 6) le 27 janvier 2017, CHF 393'726.- en faveur du compte 27 au nom de la société 2 auprès de la banque 1 à Genève ; 7) le 31.01.2017, EUR 352'725.- en faveur du même compte au nom de la société 2, bloqué par la banque 4. J.1.4 Le montant total du préjudice subi par B. s’élève à EUR 925'097.- (recte : EUR 772'098.-) et CHF 722'151.-. J.2 Des moyens de preuve J.2.1 A l’appui de sa plainte, B. a produit les avis de détails pour les transactions frauduleuses exécutées (MPC 05-00-0020 ss). Il en ressort que son compte lié à l’IBAN 31 a été débité, le 24 janvier 2017, de EUR 192'726.- (montant comptable : CHF 208'716.86) en faveur de la société 19 à Budapest (HUN) sur son compte 26 et de CHF 328'425.- en faveur de la société 2 sur son compte 27, le 25 janvier 2017 de EUR 199'726.- (montant comptable : CHF 216'237.55) en faveur de la société 20 à Düsseldorf (D) sur son compte 28. Le 26 janvier 2017, il a été débité de EUR 182'026.- (montant comptable : CHF 196'595.36) en faveur de la société 21 à Dahme (D) sur son compte 29 et de celui de EUR 197'620.- (montant comptable : CHF 213'694.21) en faveur de la société 22 à Francfortsur-le-Main (D) sur son compte 30. Finalement, le 27 janvier 2017, la même relation de B. a été débitée de CHF 393'726.- en faveur de la société 2 sur son compte 27. La somme des débits opérés s’élève ainsi à CHF 1'557'394.98. J.2.2 B. a en outre versé au dossier le journal e-banking de la banque 4 relatif au détournement de fonds, qui corrobore les informations ressortant des avis de détail (MPC 05-00-0036 ss). J.2.3 Il ressort en outre de la documentation produite par la banque 4 que les auteurs se sont bien connectés par 13 fois à l’ordinateur de B. via le logiciel TeamViewer (MPC 10-01-0006). J.2.4 Entendue le 1er février 2017, AAA. a décrit le déroulement des événements tel qu’il est reproché au prévenu (MPC 05-00-0030 ss). Elle a notamment précisé que la première prise de contact était intervenue par un prétendu « M. GG. » (MPC 05-00-0031). Elle a expliqué avoir eu un dernier contact avec « M. BB. » le 31 janvier 2024, après que la banque avait informé la société B. que ses démarches relevaient d’une fraude. « M. BB. » lui avait alors expliqué que les prélèvements en cause étaient tout à fait normaux, qu’il s’agissait de paiements tests qui n’apparaissaient dès lors pas sur les relevés déposés sur le bureau de son ordinateur. Il lui a encore indiqué que la conseillère clientèle allait lui envoyer

- 35 - SK.2024.24 un courriel pour confirmer le bien-fondé et la réalité de ces démarches de mises à jour (MPC 05-00-0032). J.2.5 Dans un premier temps, le prévenu a, à réitérées reprises, nié catégoriquement toute implication dans les faits objet de la procédure, en particulier le détournement de fonds au préjudice de B. (MPC 13-01-0093). Lors de son audition du 28 octobre 2022, le prévenu a finalement admis être « M. BB. » qui avait contacté B. (MPC 13-01-0248, 13-01-0273). Aux débats, A. a confirmé ses aveux (SK 37.731.014).

K. R. (chiffre 1.3.7 de l’acte d’accusation) K.1 Des faits reprochés au prévenu K.1.1 A teneur de l’acte d’accusation, le 7 décembre 2017, vers 10h, à Netanya (IL), depuis un lieu qui n’a pu être déterminé précisément, le prévenu a contacté téléphoniquement la société R. à Y. Se présentant sous le pseudonyme de « CC. », prétendument employé à la maintenance technique de la banque 4, il a amené la comptable CCC. à télécharger à son insu le logiciel NTRCloud à 10h08 à l’adresse « 7 », en prétextant la mise en œuvre d’une migration du système ebanking. Le prévenu a également prié la comptable de se connecter au système e-banking de la banque 4 sur son propre compte et sur celui de sa collègue Mme DDD. K.1.2 Au moyen du logiciel de contrôle à distance susmentionné, le prévenu a pu accéder indument à l’ordinateur de CCC. et au système informatique de la société susmentionnée, ainsi qu’aux sessions e-banking ouvertes par la comptable. Il a ainsi pu prendre connaissance de manière illicite des données de la société R., en particulier des données bancaires de celle-ci. Il a également communiqué les données d’accès à l’e-banking et l’accès à l’ordinateur de CCC. aux autres auteurs. Ceux-ci ont alors pu, depuis un endroit en Israël qui n’a pu être déterminé précisément, ordonner de manière illicite le transfert de la somme de EUR 173'428.- par le débit du compte de la banque 4 de la société précitée en faveur du compte 32 au nom de la société 23 à Klettgau (D) auprès de la banque 13 à Constance (D). K.2 Des moyens de preuve K.2.1 A l’appui de sa plainte, R. a produit le journal e-banking de sa banque pour les transactions frauduleuses (MPC 05-04-0006 ss) ainsi que les détails de la transaction en cause (avis et swift). Il en ressort que, par ordre du 7 décembre 2017, les auteurs ont donné instruction à la banque de verser EUR 173'428.- du compte de R. 33 sur le compte 32 de la société 23 (D) logé

- 36 - SK.2024.24 auprès de la banque 13 à Constance (D), mais que le paiement n’a pas été exécuté (MPC 05-04-0008 s. et 10-08-0019). K.2.2 Il ressort de l’analyse technique effectuée par la PJF sur l’ordinateur de CCC. qu’en date du 7 décembre 2017, entre 10h08 et 10h38, l’appareil s’est connecté à la page « 7 » et a téléchargé le logiciel NTRCloud, grâce auquel les auteurs se sont simultanément connectés à l’ordinateur de CCC. par l’adresse IP 34 appartenant au provider israélien société 24 (MPC 10-02-0307 s.). K.2.3 Entendue le 16 février 2018, CCC. a décrit les événements correspondant aux agissements reprochés au prévenu (MPC 05-04-0001 ss). Elle a ainsi expliqué, en substance, que « CC. », appelant prétendument de la maintenance technique de la banque 4, l’avait contactée le 7 décembre 2017 et lui avait demandé de se connecter au site « 7 » depuis son poste de travail, puis de faire de même depuis le poste de sa collègue. Il lui avait ensuite indiqué qu’il rappellerait en début d’après-midi. Ensuite de cet appel, elle avait été contactée par la banque au sujet de l’ordre de transaction en faveur de la société 23 (D), qu’elle avait alors refusé (MPC 05-04-0001 s.). K.2.4 Dans un premier temps, le prévenu a, à réitérées reprises, nié catégoriquement toute implication dans les faits objet de la procédure, en particulier la prise de contact avec R. (MPC 13-01-0095). Lors de son audition du 28 octobre 2022, le prévenu a finalement admis être « M. CC. » qui avait contacté R. (MPC 13-01- 0249, 13-01-0274). Aux débats, A. a confirmé ses aveux (SK 37.731.014).

L. N. (anc. N.a.) (chiffre 1.3.8 de l’acte d’accusation) L.1 Des faits reprochés au prévenu L.1.1 A teneur de l’acte d’accusation, le 20 décembre 2017, vers 11h, à Netanya (IL), depuis un lieu qui n’a pu être déterminé précisément, le prévenu a contacté téléphoniquement la société N.a., devenue par la suite N., à Z., sous le pseudonyme de « CC. », en prétendant travailler au service informatique de la banque 14. Il a ainsi indiqué à EEE., employée de la société, que le logiciel de comptabilité de cette dernière devait être mis à jour, puis lui a demandé de se connecter à l’adresse URL « www.8 ». Il lui a encore fait effectuer plusieurs manipulations sur son ordinateur, la priant notamment de scanner un document mentionnant ses données d’utilisation du logiciel avant de terminer la prétendue mise à jour. Au moyen de l’adresse URL précitée, le prévenu a ainsi amené EEE. à télécharger à son insu le logiciel de contrôle à distance NTRCloud, lequel lui a permis de pénétrer sans droit dans le système informatique de la société et de

- 37 - SK.2024.24 prendre connaissance de données spécialement protégées, en particulier les données bancaires et les données d’accès à l’e-banking. L.1.2 EEE. a toutefois pris contact avec la banque 14 pour vérifier les dires du nommé « CC. » et l’accès aux comptes a été bloqué par la banque, empêchant ainsi tout transfert de la part des auteurs. L.2 Des moyens de preuve L.2.1 Entendue le 27 décembre 2017, EEE. a décrit les événements tels que reprochés au prévenu (MPC 05-03-0011 s.). En substance, elle a expliqué que « CC. » du service informatique de la banque 14 l’avait contactée le 20 décembre 2017 en lui expliquant qu’il fallait faire une mise à jour du logiciel. Il lui avait alors fait faire plusieurs manipulations et lui a fait scanner le document comprenant ses données d’utilisatrice. Elle a alors convenu avec « CC. » qu’il la rappellerait après la pause de midi pour procéder à la mise à jour sur le poste d’une collègue (MPC 05-03-0011). Après avoir été mise en garde par un collègue, EEE. avait contacté la banque puis découvert une fenêtre sur son bureau, nommée « NTR Global ». Ensuite, la société avait procédé au contrôle de tous les paiements en attente et des montants des différents comptes, ceci sans découvrir de transaction douteuse (MPC 05-03-0012). L.2.2 Dans un premier temps, le prévenu a, à réitérées reprises, nié catégoriquement toute implication dans les faits objet de la procédure, en particulier la prise de contact avec la société N.a., devenue N. (MPC 13-01-0095). Lors de son audition du 28 octobre 2022, le prévenu a finalement admis être « CC. » qui avait contacté N.a. (MPC 13-01-0249). Aux débats, A. a confirmé ses aveux (SK 37.731.014).

M. C. (chiffre 1.3.9 de l’acte d’accusation) M.1 Des faits reprochés au prévenu M.1.1 A teneur de l’acte d’accusation, le 16 mai 2018, à Netanya (IL), depuis un lieu qui n’a pu être déterminé précisément, le prévenu a contacté téléphoniquement la société C. à Genève. Il s’est alors présenté au responsable de la comptabilité de la société précitée, FFF., sous le pseudonyme de « BB. », prétendument responsable du service e-banking de la banque 4, lui annonçant qu’une migration du système e-banking devait avoir lieu à la banque 4 dès le 22 mai 2018. Le lendemain 17 mai, le prévenu a rappelé FFF. et lui a demandé de se connecter à l’adresse « www.9 », au moyen de laquelle il a amené son interlocuteur à télécharger à son insu le logiciel de contrôle à distance NTRCloud sur son ordinateur. Le 22 mai 2018, le prévenu a à nouveau contacté

SK.2024.24 — Tribunal pénal fédéral 16.04.2025 SK.2024.24 — Swissrulings