Le Quotidien du 15 octobre 2025 : Bancaire

[Textes] La fraude aux RIB : enjeux juridiques

Réf. : Règlement (UE) n° 2024/886 du 13 mars 2024 N° Lexbase : L9366MLH

Lecture: 18 min

N3059B3P

Citation copiée !

Citer l'article

Créer un lien vers ce contenu

Référence copiée !
[Textes] La fraude aux RIB : enjeux juridiques. Lire en ligne : https://www.lexbase.fr/article-juridique/124749610-texteslafraudeauxribenjeuxjuridiques
Copier

par Adrien Morisse, Avocat en droit du numérique et des nouvelles technologies, protection des données personnelles et cybersécurité

le 10 Octobre 2025

Mots clés : droit bancaire • RIB • services de paiement • IBAN • fraude

À partir du 9 octobre 2025, les prestataires de services de paiement (banques, établissements de paiement ou de monnaie électronique – « PSP ») établis dans un État Membre de l’Union Européenne dont la monnaie est l’euro, devront mettre en place un système de vérification préalable de la concordance entre l’IBAN et l’identité du bénéficiaire auquel le payeur a l’intention d’envoyer un virement (« service assurant la vérification ») – article premier du Règlement (UE) n° 2024/886 du 13 mars 2024, modifiant le Règlement (UE) n° 260/2012 dit « SEPA », en ce qui concerne les virements instantanés en euros.

Le service assurant la vérification repose sur un examen de la concordance entre les coordonnées bancaires renseignées et l’identité du titulaire du compte bénéficiaire du virement, et doit être fourni immédiatement après que le payeur a fourni les informations pertinentes sur le bénéficiaire et avant que le payeur ne se voie offrir la possibilité d’autoriser le virement concerné.

Le payeur sera informé du résultat du service assurant la vérification afin de confirmer, corriger ou annuler son opération. Il conserve la liberté d’exécuter son virement, mais en toute connaissance de cause.

Son PSP lui transmettra l’un de ces résultats :

  • concordance exacte entre nom et IBAN : exécution du virement ;
  • non-concordance entre le nom et l’IBAN : information avant l’exécution du virement ;
  • concordance partielle (nom proche mais pas identique à celui du compte destinataire) : information sur le nom associé à l’IBAN afin de décider ou non d’effectuer le virement ;
  • vérification impossible : problème technique, banque du bénéficiaire non adhérente ou ne répondant pas.

Le service assurant la vérification a été mis en place pour répondre à la recrudescence de fraudes au RIB, depuis 2021 – période qui correspond à la dématérialisation généralisée des échanges favorisée par le COVID. La fraude au RIB se généralise et cible de plus en plus les consommateurs. En mars dernier, l’Institut National de la Consommation a ainsi alerté les consommateurs sur la recrudescence de la « fraude au RIB ».

Dans son Rapport de l'Observatoire de la sécurité des moyens de paiement 2024, la Banque de France chiffre le coût total des fraudes par manipulation (dont les fraudes au RIB) à 382 millions d’euros en 2024.

Le service assurant la vérification est donc bienvenu, mais répond partiellement à cette menace. En effet, le service assurant la vérification concerne à ce jour seulement les PSP situés dans la zone euro de l’Union Européenne, pour les virements en euro (article 5 modifié du Règlement (UE) n° 260/2012 du 14 mars 2012 N° Lexbase : L7198ISE, dit « SEPA »).

Le service assurant la vérification ne s’impose donc pas, pour l’heure, aux PSP situés dans des Etats membres dont la monnaie n’est pas l’euro (Bulgarie jusqu’au 1er janvier 2026, République Tchèque, Hongrie, Pologne, Roumanie, Suède et Danemark) – auxquels il s’imposera en revanche à compter du 9 juillet 2027.

Le service assurant la vérification ne s’impose pas non plus aux PSP des États tiers à l'Union Européenne, quand bien même :

  • ils auraient adhéré à l’espace unique de paiement en euros (SEPA), comme la Suisse, le Royaume-Uni, Monaco, ou
  • ils auraient adopté le système d’identification bancaire IBAN, comme la Tunisie, la Turquie ou la Serbie.
  • Par conséquent, il y a un fort risque que le PSP d'un fraudeur dont le compte serait domicilié dans un État tiers n'adhère pas au système de vérification de la concordance de l’IBAN et refuse de communiquer au PSP du payeur situé dans un État membre les informations lui permettant d'exercer son contrôle de cohérence.

Par ailleurs, le service assurant la vérification repose sur l’examen de cohérence de « l’identifiant de compte de paiement visé au point 1) a) de l’annexe », c’est-à-dire de l’IBAN. Or, un certain nombre d’Etats tiers n’ont pas adopté le système de numérotation IBAN, comme les Etats-Unis, l’Inde, la République populaire de Chine, l’Australie, Hong-Kong ou Singapour, rendant ainsi impossible tout examen de cohérence de l’IBAN en cas de virement vers un compte domicilié dans ces Etats.

À la lumière de ce qui précède, le service assurant la vérification risque de ne pas être efficace pour les virements effectués au profit de comptes bancaires domiciliés dans des États tiers – où sont souvent domiciliés les comptes frauduleux, ainsi que le rappelle le portail gouvernemental FranceNum dans un article récemment mis à jour le 20 juin 2025.

Cette actualité permet donc de revenir sur les enjeux juridiques de la fraude au RIB.

I. Qu’est-ce que la fraude au RIB et comment cela fonctionne-t-il en pratique ? Petit cours de fraude au RIB…

La fraude au RIB consiste à détourner le virement de la victime en usurpant l’identité de son créancier et en falsifiant le RIB du créancier, pour faire apparaître de fausses coordonnées bancaires, et détourner ainsi l’argent qui devait être versé au créancier.

Très souvent, la fraude au RIB se déroule en cinq actes, comme une tragédie grecque.

1. Premier acte, le prologue :

Le fraudeur s’introduit dans la messagerie électronique du créancier, en profitant d’une faille de sécurité. Très souvent, la faille est humaine : le fraudeur obtient frauduleusement les identifiants de connexion à la messagerie électronique en trompant la victime sur son identité pour l’inciter à communiquer ses données, notamment par des techniques d’hameçonnage (aussi appelé phishing).

2. Deuxième acte, l’entrée en scène du fraudeur :

Le fraudeur scanne la messagerie électronique piratée, afin d’identifier un paiement à venir au profit du créancier, qu’il soit ponctuel ou récurrent. Dans le contexte des affaires, il est très fréquent que les échéances de paiements soient déterminées à l’avance, ce qui permet au fraudeur de déterminer le momentum auquel contacter le débiteur.

3. Troisième acte, l’apogée de la fraude :

Le fraudeur télécharge et modifie le RIB du créancier, en remplaçant les coordonnées bancaires du créancier piraté par les siennes.

4. Quatrième acte, l’action discrète du fraudeur :

Le pirate envoie le RIB modifié au débiteur en se faisant passer pour le créancier – ce qui implique d’agir de façon discrète, pour ne pas que le créancier dont la messagerie électronique est piratée détecte la fraude :

  • soit en redirigeant l’ensemble des emails échangés avec le débiteur vers un flux RSS inaccessible au créancier ;
  • soit en créant une adresse mail proche de celle du créancier, de sorte que ce dernier ne se rende pas compte de la fraude qui est en train de se jouer.

5. Cinquième acte, le dénouement tragique :

La personne débitrice, qui reçoit le RIB falsifié, paie le pirate, pensant payer le créancier. Son créancier, impayé donc, la relance au bout de quelques semaines, ou quelques mois, pour connaître les raisons de ce retard de paiement, et c’est là que le débiteur comprend qu’il a payé, par erreur, le pirate et non son créancier.

II. Quelles difficultés pose la fraude au RIB ?

En pratique, il sera très difficile pour le débiteur de se faire rembourser du virement effectué à tort au fraudeur.

D’une part, le fraudeur laisse rarement de mot d’excuse avec son numéro de téléphone qui permettrait d’agir directement contre lui. Des investigations techniques poussées seront donc nécessaires pour identifier le fraudeur sur la base des éventuelles traces informatiques qu’il aurait laissées.

D’autre part, il sera difficile d’obtenir remboursement du montant viré par son PSP. En effet, ce dernier n’a, a priori et sauf circonstances particulières, pas commis de faute en procédant au virement effectivement demandé par son client. Le PSP serait éventuellement responsable d’opérations non autorisées par le débiteur, au titre du Code monétaire et financier. Or, en l’occurrence, l'opération de virement a bien été effectuée par le débiteur, de sorte que le PSP ne devrait pas être tenu responsable du virement effectué par le débiteur payeur au profit du fraudeur – à condition bien sûr de fournir le service assurant la vérification à son client, lorsque cela est requis. À cet égard, le Règlement (UE) n° 2024/886 du 13 mars 2024 en ce qui concerne les virements instantanés en euros précise que :

« Un prestataire de services de paiement n’est pas tenu responsable de l’exécution d’un virement en faveur d’un mauvais bénéficiaire sur la base d’un identifiant unique inexact, conformément à l’article 88 de la Directive (UE) n° 2015/2366, pour autant qu’il ait satisfait aux exigences du présent article [5 quater relatif à la vérification du bénéficiaire dans le cas d’un virement] » - précision en gras apportée par nos soins.

Par conséquent, la fraude au RIB doit se régler en pratique, entre le débiteur et son créancier.

La question des parties sera donc :

  • pour le débiteur : moi débiteur, qui ai mal payé, dois-je payer à nouveau au profit de mon créancier ?
  • pour le créancier : moi, créancier qui n’ai pas été payé, comment faire pour être payé par mon débiteur ?

III. Que dit le droit français ?

On raisonne dans l’hypothèse où le contrat entre le débiteur et le créancier est soumis au droit français.

En droit français, le principe est clair : « qui paie mal, paie deux fois ». Autrement dit, le débiteur qui a payé à tort le pirate, va devoir payer une deuxième fois, cette fois entre les mains du créancier.

Cette règle de principe souffre cependant d’une exception, au cas où le paiement est effectué (i) de bonne foi (ii) à un créancier apparent, conformément à l'article 1342-3 du Code civil N° Lexbase : L0676KZ3 (ci-après la « Théorie du Créancier Apparent »).

La Théorie du Créancier Apparent repose sur deux critères cumulatifs :

  • un critère subjectif : le débiteur doit être de bonne foi, ce qui est « présumé » en droit, c’est-à-dire qu’il revient au créancier de démontrer la mauvaise foi du débiteur ;
  • et un critère objectif : le tiers payé doit avoir l’apparence du créancier, ce qui n’est pas présumé, cela doit être démontré par le débiteur qui souhaite se prévaloir de la Théorie du Créancier Apparent, pour ne pas avoir à payer une deuxième fois.

À l’évidence, la Théorie du Créancier Apparent relève de l’appréciation souveraine du juge du fond, qui analysera in concreto si le fraudeur avait, ou non, revêtu l’apparence du créancier dans le cas d’espèce.

L’analyse de la jurisprudence permet d’identifier des indices qui permettent en pratique d’orienter les magistrats dans l’application de la Théorie du Créancier Apparent.

Ainsi, il y a des indices qui orienteront plutôt les magistrats à considérer que le fraudeur n’avait pas l’apparence du créancier - et donc à rejeter la Théorie du Créancier Apparent, et à imposer que le débiteur paie une nouvelle fois, cette fois au profit de son vrai créancier.

Ces indices sont les suivants, du plus évident au moins évident :

  • l’absence de vérification du compte, alors que le débiteur lui-même émettait des doutes quant aux coordonnées bancaires indiquées par le fraudeur ;
  • le nom et les coordonnées du titulaire du compte bancaire indiqués sur le RIB du fraudeur, différents de celui de la société créancière ;
  • l’origine du compte bancaire frauduleux – domicilié à l’étranger alors que le compte habituel du créancier était domicilié en France ; 
  • la présence d’une fausse signature maladroitement reproduite par le fraudeur ;
  • une syntaxe imparfaite et une expression maladroite du courriel frauduleux envoyé par le fraudeur pour communiquer son RIB frauduleux, voire un sentiment d’urgence créé par celui-ci, signe d’une tentative de fraude.

A contrario, il y a des indices qui vont plutôt orienter le magistrat à penser que le fraudeur avait l’apparence d’un créancier, à retenir la Théorie du Créancier Apparent, et donc à permettre au débiteur de ne pas payer une nouvelle fois :

  • c’est le cas, lorsque l'adresse électronique frauduleuse utilisée pour changer les coordonnées bancaires du créancier était celle habituellement utilisée par ce dernier ;
  • c’est aussi le cas, lorsque le champ « objet » des courriels frauduleux envoyés par le fraudeur est cohérent avec la communication de nouvelles coordonnées bancaires par ce dernier ;
  • ou lorsque les messages du fraudeur font référence à des éléments précis, non publics et réels – comme la mention d’une réunion de lancement organisée entre le débiteur et le créancier ;
  • c’est encore le cas, lorsque les documents envoyés par le fraudeur reprenaient l’en-tête de la société créancière, mais aussi sa pagination, sa police, et ses codes couleurs ;
  • ou encore, lorsque le créancier avait l’habitude de changer ses coordonnées bancaires, de sorte que le changement de numéro de compte n'était pas surprenant pour le débiteur.

IV. Quels conseils peut-on donner au créancier, pour éviter de se retrouver dans cette situation ?

  1. Premier conseil : sécuriser sa messagerie électronique.

C’est d’ailleurs plus qu’un conseil, c’est une obligation légale, à deux titres.

Le premier, c’est la protection des données personnelles, requise par le RGPD, la loi n° 78-17 du 6 janvier 1978, relative à l'informatique, aux fichiers et aux libertés N° Lexbase : L8794AGS, et ses décrets d’application. La messagerie électronique contient en effet un certain nombre de données à caractère personnel traitées par le créancier dans le cadre de son activité (notamment celles de ses employés, fournisseurs, clients, prospects), et qu’il se doit de sécuriser, conformément à l’article 32 du RGPD.  

Le second, c’est la cybersécurité requise par la Directive (UE) n° 2022/2555 du 14 décembre 2022 N° Lexbase : L3158MG3, dite « NIS 2 », dont la transposition en France est dite imminente depuis plusieurs mois, mais retardée du fait de l’instabilité politique. Cette Directive concerne des milliers d’entreprises de dix-huit secteurs très divers, parmi lesquels les fournisseurs de services numériques, les fabricants de produits électroniques et optiques, les constructeurs de véhicules automobiles, les entreprises du secteur alimentaire, les fabricants de produits chimiques, les exploitants et fournisseurs de services dans le secteur spatial, les entreprises dans le domaine de la santé.

Concrètement, un créancier victime d’une fraude au RIB du fait d’un défaut de sécurité de sa messagerie électronique pourrait être considéré comme responsable de cette dernière – et devoir ainsi en assumer les conséquences.

Dans cette hypothèse, le débiteur pourrait engager la responsabilité délictuelle de son créancier pour manquement à ses obligations de sécurité et solliciter indemnisation du préjudice subi, c’est-à-dire du montant payé à tort au pirate. Cela pourrait ainsi permettre au débiteur d’échapper à l’application de la règle « qui paie mal, paie deux fois ».

  1. Deuxième conseil : former ses personnels à la détection des tentatives d’hameçonnage et phishing, qui sont le plus souvent à l’origine de la fraude au RIB.

La formation des personnels fait partie des mesures de sécurité recommandées tant par la CNIL que par l’ANSSI. De nouveau, si la fraude au RIB a pour origine un manque de formation du personnel du créancier, ce dernier pourrait en être déclaré responsable et devoir en assumer les conséquences.

  1. Troisième conseil : stipuler, dans le contrat avec le débiteur, les coordonnées bancaires auxquelles les sommes doivent être versées, ainsi qu’une procédure formelle pour la modification de ses coordonnées bancaires.

Si la clause est bien rédigée, le paiement effectué à tort au fraudeur, plutôt qu’aux coordonnées bancaires indiquées dans la clause, pourrait être considéré comme non libératoire. L’irrespect des coordonnées bancaires ou de la procédure de modification stipulée au contrat par le fraudeur est en effet un indice supplémentaire retenu par les magistrats pour écarter l’application de la Théorie du Créancier Apparent – et contraindre ainsi son débiteur à payer une nouvelle fois, cette fois au profit du créancier 

V. Quels conseils peut-on donner au débiteur, pour éviter de se retrouver dans cette situation ?

  1. Premier conseil : être vigilant sur les coordonnées bancaires reçues de tout nouveau créancier, comme sur les nouvelles coordonnées bancaires reçues de créanciers existants.

À la lumière de la jurisprudence relative à la Théorie du Créancier Apparent, on ne peut que recommander au débiteur d’être attentif à tous les éléments du RIB : au logo de la banque, au nom inscrit sur le RIB, à la localisation du compte, renseignée par les deux premières lettres de l’IBAN (FR pour France), comme à sa pagination ou à son formalisme.

  1. Deuxième conseil : être vigilant au message d’accompagnement des coordonnées bancaires.

De même, on ne peut que recommander au débiteur de prêter attention à tous les indices de fraude au RIB, parmi lesquels : les fautes d’orthographe dans l’adresse électronique du créancier ou dans le corps du courriel, le ton impératif voire agressif de l’email, le sentiment d’urgence créé par l’email.

  1. Troisième conseil, le plus important en pratique : en cas de doute, appeler son créancier

Appeler son créancier pour confirmer son RIB ou sa modification, c’est encore le plus simple et le plus sécurisant pour le débiteur, comme pour le créancier.

VI. Quels conseils peut-on donner au créancier, lorsqu’il n’a pas réussi à déjouer la tragédie qui se jouait sous ses yeux ?

Au-delà des conseils généraux délivrés par le service de veille ministérielle cyber-malveillance dans sa fiche réflexe sur les fraudes aux RIB, on peut donner les trois conseils suivants au créancier victime d’une fraude au RIB.

Premier conseil : déposer plainte dans un délai de 72 heures à compter de la connaissance de la fraude au RIB.

Comme expliqué supra, la fraude au RIB a souvent pour origine un hameçonnage, préalable à l’intrusion du fraudeur dans la messagerie électronique du créancier – et donc dans son système de traitement automatisé de données (« STAD »).

Or, le versement d’une éventuelle indemnité d’assurance cyber souscrite par le créancier piraté en cas d’intrusion dans un STAD est subordonné au dépôt d'une plainte au plus tard soixante-douze heures après la connaissance de l'atteinte par la victime (C. assur., art. L. 12-10-1 N° Lexbase : L6577MGP).

Lorsque la fraude au RIB est intervenue dans le cadre de l’activité professionnelle du créancier, déposer plainte lui est donc nécessaire, pour bénéficier de toute éventuelle couverture assurantielle cyber.

  1. Deuxième conseil : documenter la probable violation de données personnelles causée par la fraude au RIB.

Le créancier doit documenter toutes « violations de données à caractère personnel », entendues comme une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.

Or, la fraude au RIB conduit très souvent à l’accès, par le fraudeur, aux données à caractère personnel traitées par le créancier piraté, ainsi qu’à leur altération et à leur suppression - aux fins de dissimulation de la fraude aux yeux du créancier. C’est ce qu’a rappelé la CNIL, dans une publication récente en date du 8 août 2025.

Comme le rappelle cette dernière, en cas de violation de données à caractère personnel, il faut :

  • la documenter et l’inscrire sur son registre des violations ;
  • la notifier à la CNIL, dès lors que la violation est susceptible de créer un risque pour les droits et libertés des personnes concernées ;
  • la notifier aux personnes concernées par la violation, lorsque cette dernière présente un risque élevé pour leurs droits et libertés.

Dans le contexte d’une fraude au RIB, il y a de fortes chances que la violation de données à caractère personnel entraîne un risque pour les droits et libertés des personnes concernées.

Une analyse in concreto devra donc être conduite, pour (i) identifier toutes violations de données à caractère personnel, et (ii) évaluer son impact et la nécessité de la notifier à la CNIL comme aux personnes concernées.

  1. Troisième et dernier conseil .

Ne pas hésiter à faire appel aux conseils d’un avocat – qui vous accompagnera dans la gestion de la fraude au RIB, et notamment dans la négociation avec votre débiteur sur sa prise en charge.

En effet, très souvent, les responsabilités dans la fraude au RIB sont partagées entre débiteur et créancier, ce qui permet d’ouvrir des discussions amiables entre le créancier et son débiteur et de trouver un accord amiable, plutôt que d’aller devant les tribunaux.

On ne le rappellera jamais assez : un bon accord vaut mieux qu’un mauvais procès.

© Reproduction interdite, sauf autorisation écrite préalable

newsid:493059

Vos notes

add
  • Aucune note pour le moment
Ajouter une nouvelle note


Cookies juridiques

Considérant en premier lieu que le site requiert le consentement de l'utilisateur pour l'usage des cookies; Considérant en second lieu qu'une navigation sans cookies, c'est comme naviguer sans boussole; Considérant enfin que lesdits cookies n'ont d'autre utilité que l'optimisation de votre expérience en ligne; Par ces motifs, la Cour vous invite à les autoriser pour votre propre confort en ligne.

En savoir plus