Le faux ordre de virement n’est plus une menace marginale. Les directions financières des entreprises subissent désormais des attaques industrialisées. Le procédé évolue vite : usurpation de l’adresse électronique du dirigeant, modification des coordonnées bancaires d’un fournisseur dans le référentiel comptable, intervention vocale par voix synthétique reproduisant le timbre du président. La perte se chiffre, dans les dossiers traités par le cabinet, entre quelques dizaines de milliers et plusieurs millions d’euros par opération.
Le présent article aborde trois axes que rencontre tout dirigeant confronté à une fraude au paiement. Le régime du remboursement par la banque pour les opérations non autorisées, distinct de celui qui concerne les particuliers. La responsabilité civile du dirigeant qui n’a pas mis en place les contrôles internes attendus. Les recours pénaux et civils ouverts à la société victime, et leur articulation avec les couvertures d’assurance.
I. Les mécanismes de fraude observés dans le tissu économique francilien
Les modes opératoires identifiés se rangent en quatre familles principales.
Le faux ordre de virement émis par usurpation d’identité du dirigeant — communément désigné par l’acronyme FOVI ou « fraude au président » — repose sur un courriel ou un appel téléphonique imitant la voix et le style du dirigeant. Le message demande au comptable un virement urgent et confidentiel, présenté comme lié à une opération d’acquisition ou à un règlement fiscal. La pression psychologique est entretenue par le caractère « strictement confidentiel » de l’opération, qui interdit au comptable de vérifier auprès des autres dirigeants.
L’usurpation d’IBAN fournisseur s’attaque au référentiel comptable. Le fraudeur intercepte une facture authentique, modifie les coordonnées bancaires du bénéficiaire et la réémet en se faisant passer pour le fournisseur. Le règlement à l’échéance part vers le compte du fraudeur. La fraude n’est découverte que lorsque le fournisseur réclame le paiement plusieurs semaines plus tard.
L’attaque par compromission de la messagerie professionnelle, dite Business Email Compromise, est aujourd’hui la plus répandue. Le fraudeur prend le contrôle de la boîte aux lettres d’un dirigeant ou d’un comptable, observe les habitudes de l’entreprise pendant plusieurs jours, puis intervient au bon moment pour rediriger un paiement entrant ou émettre une instruction de virement.
Le phishing des accès trésorerie, enfin, vise à obtenir les identifiants permettant de générer des virements directement depuis l’espace bancaire en ligne de l’entreprise. Le procédé combine fréquemment courriel d’apparence bancaire et appel téléphonique simulant un agent de l’établissement.
II. Le régime du remboursement par la banque pour les opérations non autorisées
A. Le principe : remboursement de l’opération non autorisée
Le code monétaire et financier protège également les entreprises, à la nuance près que certaines dispositions peuvent être écartées par convention pour les utilisateurs professionnels. L’article L. 133-2 du code monétaire et financier dispose que « les parties peuvent décider que les articles L. 133-1-1, L. 133-19, L. 133-20, L. 133-22, L. 133-23, L. 133-25, L. 133-25-1 et L. 133-25-2 ne s’appliquent pas pour tout ou partie » lorsque l’utilisateur n’est pas un consommateur. La rédaction du contrat-cadre de services de paiement — connu sous l’acronyme CCSP — devient déterminante.
À défaut d’aménagement contractuel défavorable, le régime de remboursement immédiat des opérations de paiement non autorisées s’applique également à l’entreprise victime. La chambre commerciale de la Cour de cassation rappelle régulièrement que la condition d’autorisation porte sur le montant de l’opération et que la simple utilisation des données de sécurité ne suffit pas à présumer le consentement1.
L’article L. 133-23 alinéa 2 du même code précise que « l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ». La règle vaut au profit du payeur professionnel comme du payeur consommateur lorsque le contrat ne l’a pas écartée.
B. La négligence grave en contexte professionnel
La négligence grave, lorsqu’elle est invoquée par la banque, est appréciée par les juges du fond avec une rigueur tempérée par la nature professionnelle de l’utilisateur. La chambre commerciale a néanmoins, par un arrêt publié au Bulletin du 12 novembre 2020, posé un cadre probatoire ferme. La banque qui veut faire supporter au payeur les pertes d’une opération non autorisée doit prouver, cumulativement, que l’opération a été « authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre. »2
Trois critères sont régulièrement retenus contre l’entreprise. L’absence de procédure interne de double validation pour les virements supérieurs à un seuil. Le défaut de vérification téléphonique de tout changement d’IBAN sur un référentiel fournisseur. La transmission de codes d’authentification forte par téléphone à un interlocuteur inconnu malgré l’avertissement explicite figurant sur le SMS de validation.
À l’inverse, la sophistication du procédé — usurpation d’adresse électronique avec spoofing parfait, voix synthétique, imitation graphique de site bancaire authentique — exclut généralement la négligence grave. Le juge applique le standard du « professionnel normalement attentif », qui n’est pas celui d’un expert en cybersécurité.
C. Les écueils du contrat-cadre de services de paiement
Le piège principal réside dans la rédaction des conditions générales bancaires. De nombreux établissements introduisent dans leur CCSP applicable aux entreprises une clause excluant l’application des articles L. 133-19 et L. 133-23 du code monétaire et financier. La conséquence est lourde. La charge de la preuve glisse vers l’entreprise, qui doit alors démontrer que l’opération n’a pas été autorisée et qu’elle n’a commis aucune faute.
L’examen attentif du contrat est, en pratique, le premier réflexe à avoir. Lorsque la clause d’éviction existe, la marge de manœuvre se réduit, mais ne disparaît pas. La jurisprudence retient que le manquement de la banque à son devoir général de vigilance — par exemple l’absence de blocage automatique d’un virement sortant inhabituel — peut fonder une responsabilité de droit commun sur le fondement de l’article 1231-1 du code civil.
III. La responsabilité civile du dirigeant face à la fraude au paiement
A. Le fondement légal et la jurisprudence
Le dirigeant social peut voir sa responsabilité civile personnelle engagée envers la société à raison des conséquences d’une fraude au paiement, lorsque celle-ci procède d’un défaut manifeste de diligence dans l’organisation des contrôles internes.
L’article L. 223-22 du code de commerce prévoit, pour la SARL, que « les gérants sont responsables, individuellement ou solidairement, selon le cas, envers la société ou envers les tiers, soit des infractions aux dispositions législatives ou réglementaires applicables aux sociétés à responsabilité limitée, soit des violations des statuts, soit des fautes commises dans leur gestion. » L’article L. 225-251 du même code énonce une règle équivalente pour les administrateurs et le directeur général de la société anonyme.
La faute de gestion est appréciée in concreto. Trois manquements reviennent dans la jurisprudence des chambres commerciales des cours d’appel. L’absence de procédure formalisée de validation des virements supérieurs à un seuil. Le défaut de séparation des fonctions entre l’opérateur qui prépare le virement et celui qui le valide. L’absence d’audit de sécurité informatique malgré des incidents antérieurs documentés.
B. Les contrôles internes attendus d’un dirigeant prudent
Plusieurs lignes de défense, issues des bonnes pratiques bancaires et des recommandations de l’ACPR et de l’ANSSI, sont aujourd’hui considérées comme la diligence minimale d’un dirigeant.
La règle de la double signature pour tout virement excédant un seuil — typiquement 5 000 ou 10 000 euros selon la taille de l’entreprise — rend matériellement impossible la validation par une seule personne soumise à pression psychologique.
Le call-back de vérification sur un numéro de téléphone du fournisseur ou du dirigeant donneur d’ordre, distinct de celui qui figure dans le courriel ou la facture, neutralise les FOVI les plus simples. La règle vaut a fortiori pour toute modification d’IBAN sur un fournisseur récurrent.
L’authentification multifacteur sur les accès bancaires en ligne, désormais imposée par la directive DSP 2 transposée aux articles L. 133-44 et suivants du code monétaire et financier, doit être activée systématiquement et ne jamais être contournée.
La séparation des fonctions entre saisie, validation et rapprochement bancaire empêche l’auteur d’une fraude interne de masquer ses opérations.
Le défaut de mise en œuvre de ces dispositifs n’est pas, en soi, constitutif d’une faute de gestion. Mais lorsqu’une fraude survient et qu’aucun de ces dispositifs n’était opérationnel, la responsabilité du dirigeant peut être recherchée par les associés, voire par le mandataire ès qualité dans le cadre d’une procédure collective ultérieure. Cette ligne de risque s’inscrit dans un contexte plus large d’extension de l’imputation pénale et civile au dirigeant d’entreprise, illustré par l’analyse récente sur la stratégie de défense du dirigeant face au projet de loi SURE et au risque pénal.
IV. Recours civils et pénaux ouverts à la société victime
A. La plainte de la société victime
La société victime dispose d’un éventail de qualifications pénales. L’escroquerie de l’article 313-1 du code pénal vise les faux ordres de virement émis avec usage d’une fausse qualité — celle du dirigeant — ou d’un faux nom — celui du fournisseur authentique. La peine encourue est de cinq ans d’emprisonnement et 375 000 euros d’amende.
L’article 323-1 du code pénal réprime, d’une peine de trois ans et 100 000 euros, l’accès et le maintien frauduleux dans un système de traitement automatisé de données. L’article 323-3 sanctionne, à hauteur de cinq ans et 150 000 euros, la modification frauduleuse de données. Ces qualifications visent la compromission de la messagerie professionnelle ou de l’espace bancaire en ligne. La chambre criminelle a une lecture extensive de l’élément matériel : tout accès à l’insu de l’utilisateur, sachant qu’il n’est pas autorisé, suffit à caractériser l’infraction3.
L’usurpation d’identité numérique de l’article 226-4-1 du code pénal — un an d’emprisonnement et 15 000 euros d’amende — se cumule sans difficulté avec l’escroquerie lorsque le fraudeur s’est présenté comme le dirigeant ou comme le fournisseur authentique.
Le dépôt de plainte se fait auprès du commissariat ou par lettre adressée au procureur de la République. Pour les fraudes franciliennes d’ampleur, la saisine de la section J spécialisée du parquet de Paris ou des sections financières des parquets de Nanterre, Bobigny, Créteil, Versailles ou Évry accélère le traitement. La constitution de partie civile devant le doyen des juges d’instruction, sur le fondement des articles 85 et suivants du code de procédure pénale, est utile lorsque la plainte simple aboutit à un classement sans suite.
B. L’action civile contre la banque
Le contentieux civil contre la banque vise le remboursement des sommes prélevées indûment. Le tribunal de commerce est compétent lorsque le litige oppose deux commerçants ou intéresse les actes de commerce. Le tribunal judiciaire intervient pour les SCI et associations.
Les pièces déterminantes du dossier sont la copie du contrat-cadre de services de paiement, les conditions générales applicables, l’historique des opérations contestées, les courriels et messages frauduleux dans leur format original, le procès-verbal de plainte et le récépissé du téléservice PERCEVAL pour les fraudes à la carte bancaire. La rédaction des conclusions doit articuler la qualification d’opération non autorisée — fondement principal — et, à titre subsidiaire, le manquement au devoir général de vigilance de la banque, fondé sur les articles 1231-1 du code civil et L. 561-2 du code monétaire et financier.
C. Articulation avec l’assurance fraude
De nombreuses entreprises souscrivent une garantie « fraude » ou « cybercriminalité » dans le cadre de leur assurance multirisque professionnelle. Les contrats prévoient typiquement une couverture des pertes financières directes consécutives à un FOVI ou à un piratage informatique, sous des plafonds qui varient de 100 000 à plusieurs millions d’euros, et des franchises significatives.
L’articulation avec le recours bancaire suppose vigilance. La déclaration à l’assureur doit intervenir dans le délai contractuel — souvent cinq jours ouvrés. Les documents à transmettre sont identiques à ceux préparés pour la procédure pénale. La subrogation de l’assureur dans les droits de l’assuré — articles L. 121-12 du code des assurances — peut conduire à un litige ultérieur entre la banque et l’assureur, l’entreprise restant indemnisée.
Le cabinet recommande de systématiquement déclencher en parallèle, et sans attendre, la réclamation auprès de la banque, le dépôt de plainte et la déclaration de sinistre à l’assureur. L’inertie d’un seul de ces leviers fragilise les autres.
V. Conduite pratique du dossier en Île-de-France
Les premières heures sont décisives. La trésorerie de l’entreprise dispose d’une fenêtre étroite, parfois inférieure à deux heures, pour solliciter de la banque émettrice un rappel de fonds — le « SEPA recall » — avant fragmentation des sommes par le fraudeur. Au-delà, la récupération devient hautement aléatoire.
Les premiers pas du dossier suivent un schéma stable. Information immédiate de la banque par téléphone, doublée d’un courriel et d’une lettre recommandée. Demande explicite de blocage des fonds en aval et de rappel SEPA. Dépôt de plainte le jour même, au commissariat ou par signalement à PERCEVAL le cas échéant. Préservation intégrale des journaux de connexion, courriels frauduleux, captures d’écran, sans aucune modification. Information du commissaire aux comptes lorsque la société est soumise à audit légal. Déclaration à l’assureur dans le délai contractuel.
Pour les fraudes survenues à Paris ou en première couronne, les sections financières des parquets traitent les dossiers en quelques semaines lorsque le préjudice excède 100 000 euros. Pour les fraudes plus petites, l’orientation vers la cellule cybercriminalité de la police judiciaire est préférable au commissariat de proximité, qui n’a pas les moyens d’investigation nécessaires.
Le contentieux du faux ordre de virement et de la fraude au paiement, longtemps marqué par une asymétrie défavorable à la victime, a été redressé par la jurisprudence de la chambre commerciale et par l’extension des qualifications pénales. La société victime dispose, à condition d’agir vite et de structurer son dossier, de leviers réels pour obtenir la restitution des sommes et, lorsque le fraudeur est identifié, sa condamnation pénale.
Besoin d’un avis rapide sur votre dossier
Le cabinet Kohen Avocats accompagne les entreprises franciliennes confrontées à un faux ordre de virement, une fraude à l’IBAN ou un piratage de messagerie professionnelle. Première consultation téléphonique en 48 heures.
Téléphone : 06 46 60 58 22.
Contactez le cabinet via le formulaire dédié pour une étude préliminaire de votre situation.
Voir aussi l’analyse pénale du piratage de carte bancaire et de la fraude au paiement publiée le même jour sur kohenavocats.com, et notre étude des escroqueries au virement et de la responsabilité de la banque.
Pour les enjeux contractuels en amont, voir notre page contentieux commercial, nos analyses sur la responsabilité civile du dirigeant et sur la rédaction des contrats commerciaux.
-
Cass. com., 30 nov. 2022, n° 21-17.614, publié au Bulletin, courdecassation.fr ; Cass. com., 15 janv. 2025, n° 23-18.906, courdecassation.fr. ↩
-
Cass. com., 12 nov. 2020, n° 19-12.112, publié au Bulletin, formation de section, courdecassation.fr. ↩
-
Cass. crim., 16 janv. 2018, n° 16-87.168, publié au Bulletin, courdecassation.fr. ↩