La fraude au président, déclinée sous les formes de la fraude au faux fournisseur et de l’usurpation d’identité numérique, continue de toucher les PME françaises. La chambre commerciale de la Cour de cassation, par cinq arrêts publiés au Bulletin rendus entre le 15 janvier 2025 et le 25 mars 2026, a confirmé l’impossibilité, pour l’entreprise victime, d’obtenir réparation auprès de la banque sur le terrain de la vigilance ou du conseil. Cette ligne jurisprudentielle déplace l’enjeu vers la prévention interne et la mise en cause de la responsabilité du dirigeant pour défaut de procédures. Le présent article traite ce versant corporate, complémentaire de notre analyse des recours contre la banque publiée en parallèle.
I. Le cadre de la responsabilité interne du dirigeant après la fraude
A. L’obligation de mettre en place des procédures de contrôle
Aux termes de l’article L. 223-22 du Code de commerce pour les SARL et de l’article L. 225-251 du même code pour les sociétés par actions, le dirigeant est tenu pour responsable envers la société et les tiers des infractions aux dispositions législatives ou réglementaires, des violations des statuts et des fautes commises dans sa gestion. La mise en place de procédures internes de contrôle des flux financiers entre dans le champ de l’obligation de gestion prudente. Le dirigeant qui laisse s’installer une organisation permettant qu’un virement de plusieurs dizaines de milliers d’euros soit exécuté sur simple courriel d’un fraudeur manque à ce devoir.
La jurisprudence n’a pas encore consacré expressément une action en responsabilité du dirigeant pour défaut de dispositif anti-fraude. Les décisions existantes traitent les fraudes du point de vue du rapport entre la société et sa banque. La logique est cependant transposable. Le défaut de double validation, l’absence de formalisation des circuits d’autorisation et la carence dans la formation des collaborateurs à la détection des tentatives de phishing peuvent caractériser une faute de gestion. L’action sociale ut singuli, ouverte à l’associé minoritaire sur le fondement de l’article L. 223-22 du Code de commerce, offre un véhicule procédural lorsque la fraude révèle une faillite structurelle des dispositifs internes.
B. L’articulation avec la jurisprudence récente sur la responsabilité bancaire
La Cour de cassation, dans son arrêt du 19 novembre 2025 relatif à une fraude au président (Cass. com., n° 24-17.056, publié au Bulletin), a écarté la responsabilité de la banque pour avoir exécuté un virement vers le Portugal à la demande d’une secrétaire titulaire d’une procuration. Aux termes de l’arrêt : « Le banquier, tenu à l’obligation de ne pas s’immiscer dans les affaires de son client, ne doit l’alerter qu’en présence d’anomalies apparentes aisément décelables par un professionnel normalement diligent » (https://www.courdecassation.fr/decision/691d844e02bad2f30af40a0a).
La Cour reprochait à la cour d’appel d’avoir caractérisé l’anomalie apparente par un faisceau d’indices — singularité du virement, montant, période estivale, absence de relation préexistante avec le bénéficiaire — contredit par les virements antérieurs comparables réalisés par la société. Cette solution impose à l’entreprise une conclusion pratique : puisque la banque n’interviendra pas, la prévention interne devient le seul rempart efficace. Le dirigeant doit donc structurer l’organisation autour de procédures écrites, opposables et vérifiables.
II. Les vecteurs contemporains de la fraude et les dispositifs de prévention
A. Les trois modes opératoires dominants
Le premier mode est la fraude au président. Le fraudeur, par courriel ou téléphone, se fait passer pour le dirigeant et demande à un collaborateur habilité de procéder à un virement confidentiel et urgent, souvent à destination d’un compte étranger. Le scénario joue sur l’autorité hiérarchique et sur la peur de contredire le dirigeant. Les variantes récentes utilisent le deepfake audio ou vidéo. Elles rendent le mode opératoire quasiment indétectable par les seuls moyens humains.
Le deuxième mode est la fraude au faux fournisseur. Un tiers, après avoir piraté une boîte de messagerie ou collecté des informations publiques, adresse à la comptabilité un courriel imitant celui d’un fournisseur habituel. Le courriel annonce un changement de coordonnées bancaires et demande l’application immédiate au prochain règlement. Les sommes en jeu peuvent atteindre plusieurs centaines de milliers d’euros selon le volume d’activité.
Le troisième mode est le phishing par SMS ou appel bancaire. Le salarié ou le dirigeant lui-même reçoit un message imitant une alerte de sa banque, cliquant sur un lien ou appelant un numéro contrôlé par le fraudeur. L’arrêt de la chambre commerciale du 4 mars 2026 (Cass. com., n° 24-19.588, publié au Bulletin, https://www.courdecassation.fr/decision/69a7e41fcdc6046d47741278) illustre cette hypothèse. Les juges y ont admis la possibilité d’une négligence grave du payeur qui valide une opération de paiement malgré un message de confirmation explicite.
B. Les procédures internes de prévention
Une procédure de double validation écrite constitue le socle. Toute demande de virement supérieure à un seuil défini doit requérir la signature électronique de deux personnes distinctes. L’une initie, l’autre valide, la troisième exécute en banque. La séparation des tâches prévient la fraude interne et rend la fraude externe plus difficile. Les seuils doivent tenir compte du chiffre d’affaires, de la structure organisationnelle et de la volumétrie des flux.
Un canal de vérification indépendant doit être imposé pour toute modification de coordonnées bancaires d’un fournisseur ou pour toute demande urgente émanant du dirigeant. La vérification par appel téléphonique sur un numéro connu, non communiqué par le courriel, prévient l’essentiel des fraudes au faux fournisseur et au président. Le numéro doit avoir été collecté hors du canal de la demande litigieuse. La procédure doit être formalisée dans une note interne opposable.
Une formation annuelle des collaborateurs manipulant les flux financiers complète le dispositif. La formation doit aborder les modes opératoires récents, incluant les deepfakes, les attaques par whaling et les fraudes combinées. Les exercices de simulation, conduits par un prestataire spécialisé en cybersécurité, mesurent l’exposition réelle de l’entreprise et identifient les postes à renforcer.
C. L’assurance fraude et ses limites
Le contrat d’assurance fraude, parfois dénommé assurance cyber-risques ou fraude électronique, couvre une partie des pertes. Les exclusions sont toutefois nombreuses. Le contrat écarte fréquemment les fraudes consenties par un collaborateur trompé, les pertes indirectes, les pertes résultant d’une absence de procédure de double validation et les pertes non déclarées dans le délai conventionnel. Le dirigeant doit lire attentivement les conditions générales, vérifier les plafonds d’indemnisation et négocier, si nécessaire, des extensions couvrant les fraudes au président et au faux fournisseur. La preuve du respect des procédures internes est souvent exigée pour la mise en jeu de la garantie.
L’assurance ne se substitue pas à la prévention. Elle en constitue le filet de sécurité. Un dirigeant qui négocie un contrat d’assurance sans mettre en place les procédures internes exigées par la compagnie s’expose à un refus d’indemnisation. Le passage par un courtier spécialisé en risques d’entreprise permet d’obtenir un contrat adapté à la taille et à l’activité.
III. Le traitement post-fraude : actions judiciaires et reconstitution patrimoniale
A. La priorité absolue du dépôt de plainte et du signalement bancaire
Dans l’heure qui suit la découverte de la fraude, deux démarches sont indispensables. Le dépôt de plainte pour escroquerie et abus de confiance sur le fondement des articles 313-1 et 314-1 du Code pénal doit être effectué au commissariat ou à la brigade de gendarmerie compétente. La plainte doit désigner précisément les faits, les sommes en jeu, les coordonnées du compte bénéficiaire et toute pièce disponible. La déclaration à la plate-forme THESEE, pour les escroqueries en ligne, doublonne utilement la plainte classique et accélère la saisine des services d’enquête numérique.
Le signalement à la banque doit intervenir sans tarder, au sens de l’article L. 133-24 du Code monétaire et financier. Par son arrêt Veracash du 14 janvier 2026 (Cass. com., n° 22-14.822, publié au Bulletin), la Cour de cassation retient : « L’obligation incombant à l’utilisateur de services de paiement de signaler sans tarder à son prestataire de services de paiement une opération non autorisée naît à compter du moment où il en a eu connaissance et que, faute de l’avoir signalée, de manière délibérée ou par négligence grave, il est privé du droit d’obtenir la correction de cette opération, peu important que ce signalement ait été effectué dans les treize mois suivant la date de débit » (https://www.courdecassation.fr/decision/69673dd7cdc6046d473a22ba). Le délai réputé raisonnable se compte en heures, rarement en jours. Tout retard compromet la demande de remboursement.
La banque doit simultanément être saisie d’une demande de recall du virement. Le protocole SEPA prévoit un mécanisme de rappel permettant, si la banque destinataire n’a pas encore remis les fonds à leur destinataire, d’obtenir le retour du montant. Le mécanisme fonctionne peu après la transaction et devient rapidement inopérant lorsque les fonds ont été retirés ou redispatchés.
B. Les voies de recouvrement civil et pénal
La constitution de partie civile dans le cadre de l’enquête pénale ouverte sur la plainte permet de greffer une action indemnitaire sur l’action publique. Lorsque l’auteur est identifié, le juge répressif alloue des dommages et intérêts. L’exécution reste conditionnée à la solvabilité de l’auteur, souvent relais d’un réseau international sans actif en France. Le recours à la Commission d’indemnisation des victimes d’infractions, sur le fondement de l’article 706-14 du Code de procédure pénale, reste étroitement encadré par les conditions de ressources et de gravité de l’infraction. Il est rarement ouvert aux personnes morales.
L’action civile directe contre le titulaire du compte bénéficiaire se heurte aux réticences des banques étrangères à communiquer des informations hors réquisition judiciaire. L’entraide pénale internationale, par commission rogatoire adressée au juge d’instruction, est généralement nécessaire pour identifier les comptes de destination ultimes et saisir les fonds qui s’y trouveraient encore. Un avocat rompu au contentieux commercial international peut utilement coordonner l’action civile, l’action pénale et l’entraide internationale.
C. La mise en cause éventuelle du dirigeant ou de préposés
Si la fraude révèle une faute de gestion caractérisée ou une négligence manifeste dans la supervision, les associés peuvent engager la responsabilité du dirigeant par voie d’action sociale ut singuli. La démonstration suppose l’établissement d’un lien de causalité entre le manquement organisationnel et la réalisation de la fraude. Un arrêt antérieur de la chambre commerciale du 30 novembre 2022 (Cass. com., n° 21-17.614, publié au Bulletin, https://www.courdecassation.fr/decision/638701a0bf732905d49c5003) rappelle qu’une opération de paiement n’est réputée autorisée que si le payeur a consenti au montant. Lorsque la société a subi un débit non consenti et que le dirigeant n’a pas engagé les démarches de signalement dans les délais utiles, le manquement peut être constitutif d’une faute de gestion distincte du fait générateur de la fraude. Nous traitons plus largement la responsabilité civile du dirigeant et les conditions de sa mise en cause dans un article dédié.
L’action contre un préposé, pour faute personnelle détachable du lien de subordination, reste théorique lorsque le salarié a agi en croyant légitimement valider une opération pour le compte de la société. La jurisprudence exige une faute intentionnelle d’une particulière gravité, difficilement rapportée lorsque le collaborateur a été trompé par un mode opératoire sophistiqué. Dans la plupart des hypothèses, le salarié bénéficie de la garantie de l’employeur au titre des fautes non intentionnelles commises dans l’exercice de ses fonctions.
IV. Conclusion : une responsabilité déplacée vers le dirigeant
La jurisprudence 2025-2026 de la chambre commerciale de la Cour de cassation entérine un transfert discret de la charge préventive. La banque, prestataire de services de paiement, n’assume plus de vigilance autre que celle, strictement définie, de l’anomalie apparente aisément décelable. Les obligations LCB-FT sont sanctuarisées dans leur finalité administrative et n’ouvrent plus de voie indemnitaire pour le client. Le régime harmonisé des articles L. 133-18 à L. 133-24 du Code monétaire et financier offre un remboursement automatique, mais sous condition stricte d’absence de négligence grave et de signalement sans tarder.
Dans cet écosystème juridique, la vigilance interne de l’entreprise devient la principale ligne de défense. Le dirigeant, gardien de la régularité de la gestion, doit structurer les procédures, former les équipes et assurer les risques résiduels. À défaut, sa responsabilité personnelle peut être recherchée par les associés sur le fondement des articles L. 223-22 et L. 225-251 du Code de commerce. La complémentarité entre la compliance préventive, l’action post-fraude et le recouvrement des créances commerciales forme aujourd’hui le triptyque d’une défense patrimoniale efficace face à la fraude financière.
Les victimes qui souhaitent approfondir le régime pénal de l’escroquerie et les stratégies de constitution de partie civile pourront consulter notre analyse dédiée aux avocats spécialisés en escroquerie. Le cabinet accompagne les entreprises et leurs dirigeants dans la gestion intégrée de ces dossiers, depuis la prévention jusqu’au contentieux.
Références
Textes :
– Code civil, article 1231-1.
– Code de commerce, articles L. 223-22, L. 225-251.
– Code monétaire et financier, articles L. 133-18, L. 133-19, L. 133-24, L. 561-6.
– Code pénal, articles 313-1, 314-1.
– Code de procédure pénale, article 706-14.
Jurisprudences :
– Cass. com., 30 novembre 2022, n° 21-17.614, publié au Bulletin — https://www.courdecassation.fr/decision/638701a0bf732905d49c5003
– Cass. com., 15 janvier 2025, n° 23-13.579, publié au Bulletin — https://www.courdecassation.fr/decision/6787b4beb92359c4b0f33ec7
– Cass. com., 19 novembre 2025, n° 24-17.056, publié au Bulletin — https://www.courdecassation.fr/decision/691d844e02bad2f30af40a0a
– Cass. com., 14 janvier 2026, n° 22-14.822, publié au Bulletin — https://www.courdecassation.fr/decision/69673dd7cdc6046d473a22ba
– Cass. com., 4 mars 2026, n° 24-19.588, publié au Bulletin — https://www.courdecassation.fr/decision/69a7e41fcdc6046d47741278
– Cass. com., 25 mars 2026, n° 25-10.353, publié au Bulletin — https://www.courdecassation.fr/decision/69c38852cdc6046d47dcc54e