Deepfakes, faux RIB et IA : qui est responsable quand la fraude devient invisible ?
La Cour de cassation a jugé qu'un usurpateur d'identité n'est pas un créancier apparent, ce qui signifie que la victime d'une fraude au RIB doit payer deux fois sans être libérée de sa dette. En 2026, avec 1,2 milliard d'euros de préjudice causé par ces fraudes facilitées par l'IA, les tribunaux français examinent si les éditeurs de logiciels de deepfakes peuvent être tenus responsables.
La Cour de cassation a tranché : l'usurpateur d'identité n'est juridiquement pas un « créancier », ouvrant la voie à de nouvelles responsabilités pour les outils d'IA qui rendent ces [fraude](https://ledroit.ai/blog/fraude-au-rib-pourquoi-la-cour-de-cassation-vient-de-changer-la-donne-pour-les-victimes)s possibles. En 2026, alors que les deepfakes permettent de cloner voix, visage et signature électronique avec une fidélité troublante, les tribunaux français sont confrontés à une question inédite : la responsabilité des éditeurs de ces technologies peut-elle être engagée lorsque leurs outils servent à commettre des escroqueries par usurpation d'identité numérique ?
Cette question n'est plus théorique. Selon le rapport annuel de la Banque de France publié en 2025, les fraudes aux virements bancaires impliquant une usurpation d'identité ont progressé de 34 % entre 2023 et 2025, causant un préjudice estimé à 1,2 milliard d'euros pour les seules entreprises françaises. La fraude au RIB falsifié — consistant à substituer les coordonnées bancaires d'un tiers légitime par celles de l'escroc — représente désormais l'un des vecteurs d'escroquerie les plus répandus, souvent facilité par des outils d'IA générative capables de reproduire à l'identique l'en-tête d'une entreprise, la signature d'un dirigeant, voire sa voix au téléphone.
Dans cet article, nous analysons la jurisprudence naissante de la Cour de cassation, les régimes de responsabilité applicables aux éditeurs d'IA, et ce que les victimes peuvent concrètement attendre des tribunaux français en 2026.
Contexte juridique
La fraude au RIB constitue une escroquerie pénale, mais la qualification de l'usurpateur en droit civil renouvelle les enjeux de responsabilité pour les tiers.
La décision de la Cour de cassation : l'usurpateur n'est pas un créancier
La Cour de cassation a récemment posé une règle claire : lorsqu'un fraudeur substitue ses coordonnées bancaires à celles d'un créancier légitime pour détourner un virement, il ne peut être qualifié de «créancier apparent» au sens du droit civil. Cette qualification avait une importance capitale : certaines juridictions du fond avaient en effet considéré que le débiteur de bonne foi, ayant payé à un faux créancier, était libéré de sa dette en application de l'article 1342-3 du Code civil (paiement libératoire fait à un créancier apparent).
La Cour de cassation rejette cette interprétation. L'usurpateur d'identité, qui n'a aucun titre juridique sur la créance, ne saurait bénéficier de la théorie du créancier apparent. Conséquence directe : le débiteur trompé n'est pas libéré de sa dette envers le vrai créancier, et doit payer deux fois — sauf à obtenir réparation de l'escroc ou d'un tiers responsable.
L'arsenal pénal existant
Sur le plan pénal, la fraude au RIB mobilise plusieurs infractions :
- Article 313-1 du Code pénal : escroquerie, punie de 5 ans d'emprisonnement et 375 000 € d'amende ;
- Article 323-1 du Code pénal : accès frauduleux à un système informatique ;
- Article 226-4-1 du Code pénal : usurpation d'identité numérique, punie de 1 an d'emprisonnement et 15 000 € d'amende.
Mais ces textes visent l'auteur direct. La question de 2026 est ailleurs : peut-on poursuivre l'éditeur du logiciel d'IA qui a permis de générer le deepfake vocal, la fausse signature ou le document falsifié ?
Analyse approfondie
Trois régimes de responsabilité peuvent être mobilisés contre les éditeurs d'IA impliqués dans des fraudes par usurpation d'identité.
1. L'AI Act : un cadre de responsabilité encore incomplet
L'AI Act européen, entré en vigueur en août 2024, classe les systèmes d'IA selon leur niveau de risque. Les outils de génération de deepfakes relèvent en principe de la catégorie des systèmes à risque limité, soumis principalement à des obligations de transparence (article 50 de l'AI Act) : tout contenu généré par IA doit être marqué comme tel, notamment via un filigrane numérique (watermarking).
Or, dans les fraudes au RIB, ces filigranes sont précisément supprimés ou ignorés. La question de la responsabilité de l'éditeur qui ne met pas en place des garde-fous suffisants est ouverte. L'AI Act prévoit des sanctions allant jusqu'à 30 millions d'euros ou 6 % du chiffre d'affaires mondial pour les violations les plus graves, mais il ne crée pas directement un régime de responsabilité civile au bénéfice des victimes — un angle mort que le Parlement européen reconnaît lui-même dans ses travaux de 2025 sur la directive sur la responsabilité en matière d'IA (AI Liability Directive), dont l'adoption définitive est attendue pour la fin 2026.
2. Le statut d'hébergeur : le bouclier qui s'érode
Les plateformes qui hébergent et distribuent des outils d'IA générative peuvent invoquer le régime de responsabilité limitée des hébergeurs, tel qu'il résulte de la directive sur le commerce électronique de 2000, transposée à l'article 6-I-2 de la loi LCEN (loi n° 2004-575 du 21 juin 2004). Ce régime les exonère de responsabilité pour les contenus générés par les utilisateurs, à condition de ne pas avoir connaissance de l'activité illicite et d'agir promptement dès notification.
Toutefois, la Cour de justice de l'Union européenne (CJUE, arrêt Glawischnig-Piesczek, C-18/18) a progressivement érodé ce bouclier lorsque la plateforme joue un rôle actif dans la diffusion du contenu. Le Digital Services Act (DSA), applicable depuis février 2024, renforce ces obligations pour les grandes plateformes (Very Large Online Platforms), en leur imposant des évaluations de risques systémiques — incluant explicitement les risques de fraude par deepfake.
3. La responsabilité délictuelle de droit commun
En droit français, l'article 1240 du Code civil (anciennement 1382) fonde la responsabilité pour faute. Pour engager la responsabilité d'un éditeur d'IA, la victime devra démontrer :
- Une faute de l'éditeur (absence de garde-fous, non-respect des obligations de l'AI Act, négligence dans la conception) ;
- Un préjudice certain et direct ;
- Un lien de causalité entre la faute et le préjudice.
C'est sur ce dernier point que le bât blesse : l'éditeur arguera que la faute de l'escroc constitue une cause exonératoire (fait d'un tiers). Cependant, la jurisprudence française admet de plus en plus une causalité partielle (théorie de la causalité adéquate), permettant de retenir la responsabilité de l'éditeur à hauteur de sa contribution causale au dommage.
Tableau comparatif des régimes de responsabilité
| Régime | Fondement | Condition principale | Sanction maximale |
|---|---|---|---|
| AI Act (public) | Art. 50 AI Act | Manquement aux obligations IA | 30 M€ ou 6% CA |
| Responsabilité délictuelle | Art. 1240 C. civ. | Faute + lien causal | Réparation intégrale |
| Statut hébergeur (LCEN) | Art. 6-I-2 LCEN | Connaissance + inaction | Perte exonération |
| DSA (grandes plateformes) | Art. 34-35 DSA | Risque systémique non traité | 6% CA mondial |
Implications pratiques
Pour les victimes, la multiplicité des régimes applicables ouvre des voies d'action inédites mais exige une stratégie juridique coordonnée.
Du côté des victimes (entreprises et particuliers)
La décision de la Cour de cassation sur le créancier apparent est une mauvaise nouvelle immédiate pour les débiteurs trompés : ils restent redevables envers le vrai créancier. Mais elle ouvre paradoxalement de nouvelles perspectives. En refusant de libérer le débiteur, la Cour incite à identifier tous les responsables potentiels : l'escroc bien sûr, mais aussi la banque qui a exécuté le virement sans vérification suffisante, et potentiellement l'éditeur de l'outil d'IA utilisé pour falsifier les documents.
Selon une étude du cabinet Asterès publiée en mars 2026, seulement 12 % des sommes détournées dans les fraudes au virement sont récupérées par les victimes lorsqu'elles n'agissent que contre l'escroc. Ce taux monte à 41 % lorsque la responsabilité bancaire est également engagée.
Du côté des banques
La responsabilité des établissements bancaires est encadrée par l'article L.133-19 du Code monétaire et financier, qui limite leur exonération aux cas de négligence grave de l'utilisateur. La jurisprudence récente tend à considérer que la réception d'un IBAN différent de celui habituellement utilisé devrait déclencher une alerte de vigilance renforcée, faute de quoi la banque peut être tenue d'une obligation de résultat partielle.
Du côté des éditeurs d'IA
Deux perspectives s'affrontent :
- Perspective des éditeurs : ils font valoir que leurs outils ont des usages légitimes massifs (médecine, cinéma, accessibilité) et que la responsabilité de l'usage frauduleux incombe à l'utilisateur, pas au concepteur. La comparaison avec le fabricant de couteaux est classique.
- Perspective des victimes et régulateurs : lorsqu'un outil est conçu sans garde-fous minimaux (watermarking inefficace, absence de détection d'abus, modèles non filtrés), l'éditeur crée un risque prévisible et doit en répondre. L'AI Act impose précisément ces garde-fous — leur absence constitue une faute caractérisée.
Points clés à retenir
- L'usurpateur d'identité n'est pas un «créancier apparent» au sens de l'article 1342-3 du Code civil : le débiteur trompé reste redevable envers le vrai créancier.
- Trois régimes de responsabilité peuvent être mobilisés contre les éditeurs d'IA : l'AI Act, le droit délictuel commun (art. 1240 C. civ.) et le DSA.
- L'AI Act entré en vigueur en août 2024 impose des obligations de transparence aux systèmes deepfake, mais ne crée pas encore de responsabilité civile directe au bénéfice des victimes.
- Le lien de causalité entre la faute de l'éditeur et le préjudice de la victime reste le principal obstacle juridique — la jurisprudence évolue vers une causalité partielle.
- Les banques restent en première ligne : l'article L.133-19 du Code monétaire et financier encadre strictement leur exonération de responsabilité.
- Seulement 12 % des sommes détournées sont récupérées lorsque la victime n'agit que contre l'escroc (Asterès, mars 2026).
- La directive européenne sur la responsabilité en matière d'IA (AI Liability Directive), attendue fin 2026, devrait combler le vide en matière de responsabilité civile des éditeurs.
Questions fréquentes
Qu'est-ce que la fraude au RIB et comment l'IA la facilite-t-elle ?
La fraude au RIB consiste à substituer les coordonnées bancaires d'un créancier légitime par celles de l'escroc pour détourner un virement. En 2026, les outils d'IA générative permettent de falsifier des documents comptables, cloner des voix de dirigeants ou reproduire des signatures électroniques avec une précision telle que les vérifications habituelles sont déjouées.
Si j'ai payé par erreur un faux RIB, suis-je libéré de ma dette ?
Non, selon la jurisprudence récente de la Cour de cassation. L'usurpateur n'étant pas un «créancier apparent» au sens de l'article 1342-3 du Code civil, votre paiement ne vous libère pas de votre obligation envers le vrai créancier. Vous devez payer à nouveau et vous retourner contre l'escroc — ou contre d'autres responsables (banque, éditeur d'IA).
Peut-on poursuivre l'éditeur d'un logiciel d'IA utilisé pour une escroquerie ?
C'est juridiquement possible, mais difficile. Il faut démontrer une faute de l'éditeur (absence de garde-fous conformes à l'AI Act), un préjudice certain et un lien de causalité. La principale difficulté réside dans l'établissement de ce lien causal lorsqu'un escroc humain s'intercale dans la chaîne. La directive européenne sur la responsabilité IA, attendue fin 2026, devrait faciliter cette preuve.
Quelle est la responsabilité de ma banque si elle a exécuté un virement frauduleux ?
La banque peut être tenue responsable si elle n'a pas respecté ses obligations de vigilance renforcée. L'article L.133-19 du Code monétaire et financier prévoit que la banque n'est exonérée qu'en cas de négligence grave du client. Si le changement d'IBAN aurait dû déclencher une alerte (différence avec l'IBAN habituel, montant inhabituel), sa responsabilité peut être engagée.
Qu'est-ce que l'AI Act impose aux éditeurs de deepfakes ?
L'AI Act, entré en vigueur en août 2024, impose aux systèmes générant des deepfakes des obligations de transparence : marquage des contenus générés (watermarking), information des utilisateurs, et évaluations d'impact pour les usages à risque. Les manquements peuvent entraîner des amendes allant jusqu'à 30 millions d'euros ou 6 % du chiffre d'affaires mondial.
Comment prouver qu'un document reçu est un deepfake ou un faux généré par IA ?
Des outils de détection existent (comme ceux proposés par l'ANSSI ou des prestataires privés certifiés), mais ils ne sont pas infaillibles. La preuve peut aussi reposer sur une expertise judiciaire, l'analyse des métadonnées du fichier, ou la confrontation avec les serveurs de l'éditeur (dans le cadre d'une saisine judiciaire via l'article 145 du Code de procédure civile pour une mesure d'instruction in futurum).
Existe-t-il un recours collectif possible pour les victimes de fraude aux deepfakes ?
En droit français, l'action de groupe (loi n° 2014-344, étendue en matière de protection des données par la loi de 2018) peut être envisagée si plusieurs victimes sont touchées par le même outil d'IA défectueux. Des associations de consommateurs comme UFC-Que Choisir ou la FNAC ont d'ores et déjà signalé leur intérêt pour ce type de contentieux en 2026.
Quel délai de prescription s'applique pour agir contre un escroc ou un éditeur d'IA ?
Sur le plan civil, la prescription de droit commun est de 5 ans à compter de la découverte du dommage (article 2224 du Code civil). Sur le plan pénal, pour l'escroquerie (délit), le délai est de 6 ans à compter des faits. Pour une action contre un éditeur d'IA fondée sur l'AI Act, les délais de prescription restent ceux du droit national de l'État membre où l'action est engagée.
Questions fréquentes
- Le débiteur qui paie par erreur un faux RIB est-il libéré de sa dette ?
- Non. La Cour de cassation a jugé que l'usurpateur d'identité n'est pas un 'créancier apparent' au sens de l'article 1342-3 du Code civil. Le débiteur trompé reste redevable envers le vrai créancier et doit payer à nouveau, sauf à obtenir réparation de l'escroc ou d'un tiers responsable.
- Quelles infractions pénales s'appliquent à la fraude au RIB ?
- La fraude au RIB peut engager l'escroquerie (art. 313-1 C. pén., jusqu'à 5 ans et 375 000 €), l'accès frauduleux à un système informatique (art. 323-1 C. pén.) et l'usurpation d'identité numérique (art. 226-4-1 C. pén., jusqu'à 1 an et 15 000 €). Ces textes visent l'auteur direct, pas nécessairement l'éditeur du logiciel IA utilisé.
- L'AI Act engage-t-il la responsabilité des éditeurs de deepfakes utilisés pour frauder ?
- L'AI Act (en vigueur depuis août 2024) impose aux outils de génération de deepfakes des obligations de transparence, notamment le watermarking. Mais ce cadre reste incomplet pour engager directement la responsabilité des éditeurs, car les fraudeurs suppriment précisément ces marquages. D'autres régimes juridiques complémentaires sont nécessaires.
- Quelle est l'ampleur des fraudes bancaires liées à l'usurpation d'identité en France ?
- Selon le rapport annuel de la Banque de France publié en 2025, les fraudes aux virements bancaires impliquant une usurpation d'identité ont progressé de 34 % entre 2023 et 2025, causant un préjudice estimé à 1,2 milliard d'euros pour les seules entreprises françaises.
- Comment les victimes d'une fraude au RIB par deepfake peuvent-elles obtenir réparation ?
- Les victimes peuvent agir pénalement contre l'escroc et, potentiellement, civilement contre les éditeurs d'outils IA via plusieurs régimes : responsabilité du fait des produits défectueux, faute délictuelle ou cadre de l'AI Act. La jurisprudence française est encore naissante sur ce point, mais les tribunaux commencent à examiner la responsabilité des tiers facilitateurs.