Une entreprise reçoit une facture habituelle. Le montant correspond au devis. Le nom du fournisseur est exact. Seul le RIB a changé.

Le virement part. Quelques heures ou quelques jours plus tard, le vrai fournisseur relance : il n’a rien reçu. Le service comptable découvre alors que l’e-mail contenait un RIB frauduleux, parfois après piratage d’une boîte mail, parfois après usurpation très convaincante de l’identité du fournisseur.

Ce sujet remonte fortement depuis le printemps 2026. Cybermalveillance.gouv.fr a mis à jour sa fiche sur les faux ordres de virement le 16 avril 2026. Ma Sécurité, le service du ministère de l’intérieur, rappelle depuis le 14 janvier 2026 que ces escroqueries visent aussi les PME, TPE, artisans et structures publiques. La Banque de France et l’ACPR ont, le 27 avril 2026, alerté sur les fraudes utilisant l’usurpation d’identité de dirigeants et l’intelligence artificielle.

Pour un dirigeant, la question n’est donc plus seulement informatique. Elle est bancaire, probatoire, pénale, assurantielle et commerciale : comment bloquer le virement, quoi demander à la banque, quelles preuves conserver, qui reste tenu de payer le vrai fournisseur et dans quels cas une responsabilité peut être recherchée ?

Faux RIB fournisseur : le premier réflexe est de tenter le rappel des fonds

La première heure compte. Dès que l’entreprise découvre que le RIB était frauduleux, elle doit contacter sa banque par le canal habituel et demander un rappel des fonds.

Il ne faut pas se limiter à un e-mail au conseiller. Il faut appeler, demander une confirmation écrite de la demande de rappel, faire préciser l’heure de l’appel, l’identifiant de l’opération, le montant, l’IBAN destinataire et les diligences engagées auprès de la banque bénéficiaire.

La raison est simple : lorsque l’argent est encore sur le compte destinataire, un blocage ou un retour reste parfois possible. Lorsqu’il a déjà été transféré vers d’autres comptes, souvent à l’étranger, le dossier change de nature. Il devient beaucoup plus difficile de récupérer les fonds sans action coordonnée entre banques, enquêteurs et conseils locaux.

L’article L.133-21 du code monétaire et financier pose une règle sévère : un ordre de paiement exécuté conformément à l’identifiant unique fourni par l’utilisateur est réputé correctement exécuté pour le bénéficiaire désigné par cet identifiant. En pratique, si l’entreprise a elle-même saisi l’IBAN frauduleux, la banque soutiendra souvent qu’elle a exécuté l’ordre reçu.

Cela ne signifie pas que tout recours est impossible. Le même article prévoit que la banque du payeur doit s’efforcer de récupérer les fonds et communiquer, à la demande du payeur, les informations utiles pour documenter une action en justice. Il faut donc formuler une demande précise, rapidement, et conserver la preuve de cette demande.

Arnaque au virement : la plainte doit être préparée comme un dossier de preuve

Le dépôt de plainte n’est pas une formalité secondaire. Il sert à dater l’escroquerie, à transmettre les éléments techniques et à ouvrir la voie aux investigations sur le compte destinataire.

L’entreprise doit préparer un dossier court mais complet :

• la facture reçue ;
• l’e-mail contenant le faux RIB ;
• les en-têtes complets du message si le service informatique peut les extraire ;
• les échanges antérieurs avec le vrai fournisseur ;
• le RIB habituel et le RIB frauduleux ;
• l’ordre de virement, l’avis d’exécution et le relevé bancaire ;
• les échanges avec la banque après découverte de la fraude ;
• la relance du vrai fournisseur confirmant qu’il n’a pas été payé.

L’infraction principale sera souvent l’escroquerie, définie par l’article 313-1 du code pénal. Le texte vise notamment l’usage d’un faux nom, d’une fausse qualité ou de manoeuvres frauduleuses pour déterminer une personne physique ou morale à remettre des fonds.

Selon les faits, d’autres qualifications peuvent apparaître : usurpation d’identité, accès frauduleux à un système de traitement automatisé de données, collecte frauduleuse de données, blanchiment ou recel. Mais pour l’entreprise victime, l’enjeu immédiat reste plus concret : produire un dossier qui permet d’agir vite sur le compte destinataire et d’appuyer les recours bancaires ou assurantiels.

Le vrai fournisseur peut-il réclamer un deuxième paiement ?

C’est souvent le point le plus brutal du dossier. L’entreprise pensait payer sa facture. Le fournisseur n’a rien reçu. Peut-il exiger un nouveau paiement ?

En principe, oui, si le fournisseur n’a pas commis de faute et si le paiement n’est pas arrivé sur son compte. Le paiement effectué sur un compte appartenant à un tiers fraudeur ne libère pas nécessairement le débiteur envers son cocontractant.

La discussion devient différente lorsque la fraude trouve son origine dans l’environnement du fournisseur : boîte mail compromise, absence d’alerte sur un changement de RIB, échanges ambigus, défaut de sécurisation d’une adresse de facturation, contradiction entre le contrat et la facture. Dans ce cas, l’entreprise peut contester la demande de second paiement ou rechercher une responsabilité contractuelle.

Il faut raisonner pièce par pièce. Si le contrat prévoyait un RIB fixe, si toute modification devait être validée par écrit signé, ou si le fournisseur avait déjà signalé des tentatives de fraude sans prévenir ses clients, la position de l’entreprise payeuse se renforce. À l’inverse, si l’entreprise a accepté un changement de RIB par simple e-mail alors que ses procédures internes imposaient un contre-appel, le fournisseur contestera toute responsabilité.

La bonne stratégie consiste à répondre au fournisseur sans agressivité inutile : reconnaître la fraude, transmettre les démarches déjà faites, demander ses propres éléments de sécurité, solliciter un gel temporaire des pénalités et réserver les droits de l’entreprise sur les causes de la fraude.

La banque doit-elle rembourser un faux virement ?

Le remboursement automatique est rare lorsque l’entreprise a elle-même validé le virement vers l’IBAN frauduleux. La banque oppose alors le régime de l’identifiant unique et soutient que l’opération était autorisée.

Mais trois angles doivent être examinés.

D’abord, l’opération était-elle réellement autorisée ? Si un tiers a accédé au compte bancaire en ligne et initié le virement sans validation régulière, le débat relève des opérations non autorisées. Les articles L.133-23 et L.133-24 du code monétaire et financier deviennent alors utiles pour la preuve, la contestation et les délais.

Ensuite, la banque a-t-elle respecté ses obligations de sécurité et d’authentification ? Si les validations ont été contournées, si l’accès a été permis par une faille du dispositif bancaire ou si des alertes n’ont pas été traitées, le dossier doit être analysé techniquement.

Enfin, la banque a-t-elle manqué à une obligation de vigilance dans une situation anormale ? Montant inhabituel, succession de virements, compte étranger nouveau, libellé incohérent, destinataire sans rapport avec le fournisseur annoncé : ces éléments ne suffisent pas toujours, mais ils peuvent nourrir une discussion contentieuse.

Il ne faut donc pas envoyer une contestation générale. Il faut écrire à la banque en distinguant les faits : ordre saisi par l’entreprise ou non, authentification utilisée, bénéficiaire ajouté, plafond modifié, alertes reçues, appel de vérification effectué ou non, demande de recall, informations demandées sur la banque bénéficiaire.

Assurance cyber, fraude et faux RIB : vérifier les conditions avant de déclarer le sinistre

Beaucoup d’entreprises découvrent trop tard que leur contrat cyber ne couvre pas toujours la fraude au virement.

Certaines polices couvrent l’atteinte au système informatique, les frais de réponse à incident, l’expertise, la restauration des données ou la notification aux personnes concernées. Elles ne couvrent pas nécessairement la perte financière liée à un paiement volontaire vers un faux compte.

D’autres contrats comportent une garantie fraude, ingénierie sociale, faux ordre de virement ou fraude au président. Mais ces garanties sont souvent conditionnées : double validation, contre-appel, séparation des tâches, plafond de virement, déclaration dans un délai court, dépôt de plainte, conservation des preuves numériques.

Avant de déclarer le sinistre, il faut relire :

• la définition de la fraude couverte ;
• les exclusions relatives aux virements autorisés ;
• les obligations de prévention imposées à l’assuré ;
• le délai de déclaration ;
• les plafonds et franchises ;
• les pièces exigées.

Une déclaration mal rédigée peut enfermer l’entreprise dans une version défavorable. Il vaut mieux décrire les faits avec précision : changement de RIB frauduleux, usurpation du fournisseur, contexte de réception de la facture, validation interne, découverte de la fraude, actions immédiates auprès de la banque et dépôt de plainte.

Si le faux RIB vient d’une boîte mail piratée, la CNIL peut aussi entrer dans le dossier

Tous les faux RIB ne déclenchent pas une notification à la CNIL. Mais la question doit être posée lorsque la fraude résulte d’un piratage de compte contenant des données personnelles : noms, fonctions, adresses e-mail professionnelles, factures nominatives, coordonnées bancaires, informations clients ou fournisseurs.

Si l’entreprise est responsable du traitement et si la violation présente un risque pour les droits et libertés des personnes, une notification à la CNIL peut s’imposer. Si le risque est élevé, les personnes concernées peuvent aussi devoir être informées.

Il faut donc distinguer deux dossiers. Le premier est financier : récupérer les fonds, répondre au fournisseur, préserver les recours. Le second est données personnelles : comprendre l’origine de la fuite, documenter l’incident, changer les accès, renforcer l’authentification, décider si une notification est nécessaire.

Le dirigeant doit éviter deux erreurs. La première consiste à traiter le faux RIB comme un simple litige fournisseur. La seconde consiste à le traiter comme une cyberattaque abstraite sans agir immédiatement sur le virement et sur la preuve bancaire.

Paris et Île-de-France : quel tribunal et quelles démarches pratiques ?

Pour une société située à Paris ou en Île-de-France, plusieurs démarches peuvent se croiser.

La plainte peut être déposée auprès d’un commissariat, d’une brigade de gendarmerie ou adressée au procureur de la République compétent. Lorsque l’entreprise est à Paris, les éléments de cyberfraude et de fraude au virement doivent être documentés de manière exploitable : en-têtes d’e-mails, logs de connexion, captures datées, échanges bancaires, coordonnées du compte destinataire.

Sur le plan civil ou commercial, le litige avec le fournisseur ou la banque pourra relever du tribunal de commerce ou du tribunal judiciaire selon les parties, la nature de l’opération et les demandes. Une société commerciale qui conteste une facture ou recherche la responsabilité d’un cocontractant sera souvent devant le tribunal de commerce. Un litige bancaire ou assurantiel peut nécessiter une analyse plus fine du contrat et de la qualité des parties.

Dans tous les cas, il faut éviter de laisser passer les premières semaines. Les fonds circulent vite. Les preuves techniques disparaissent. Les banques répondent parfois de manière standardisée. Le vrai fournisseur peut enclencher le recouvrement. L’assureur peut opposer un délai de déclaration.

Plan d’action en 24 heures après un faux RIB

Dans les 24 heures, l’entreprise doit faire six choses.

Premièrement, appeler la banque et demander le rappel des fonds, puis confirmer par écrit.

Deuxièmement, bloquer toute nouvelle opération vers l’IBAN frauduleux et suspendre les paiements du fournisseur concerné le temps de vérifier la chaîne de facturation.

Troisièmement, préserver les preuves numériques sans les altérer : e-mails originaux, en-têtes, captures, journaux de connexion, historique des validations bancaires.

Quatrièmement, déposer plainte avec un dossier structuré.

Cinquièmement, informer le vrai fournisseur en demandant ses propres éléments : origine du changement de RIB, sécurité de sa boîte mail, procédures de notification des coordonnées bancaires, éventuelles alertes reçues d’autres clients.

Sixièmement, relire les contrats d’assurance et déclarer le sinistre dans les délais, sans formuler d’aveu inutile sur une faute interne.

Le faux RIB fournisseur est un dossier d’urgence. Il se gagne rarement par une lettre isolée. Il se traite par une chronologie, des preuves, des demandes bancaires ciblées et une stratégie claire entre fournisseur, banque, assureur et plainte pénale.

Pour un dirigeant, le bon réflexe est de faire établir très vite une note de situation : qui a envoyé quoi, qui a validé quoi, quel IBAN a été saisi, quelle banque a reçu les fonds, quelles démarches ont été faites et quelles responsabilités peuvent être recherchées.

Besoin d’un avis rapide sur votre dossier

Consultation téléphonique en 48 heures avec un avocat du cabinet.

Analyse du virement, du faux RIB, des recours contre la banque, le fournisseur ou l’assureur.

Appelez le cabinet au 06 46 60 58 22 ou utilisez le formulaire de contact du cabinet.

À Paris et en Île-de-France, nous pouvons vous aider à structurer les premières démarches, les preuves et la réponse au fournisseur.

Pour situer ce sujet dans l’accompagnement plus large des sociétés, vous pouvez aussi consulter notre page consacrée au droit des affaires.