Fraude au RIB : la Cour de cassation met fin au bouclier IBAN des banques

La Cour de cassation a jugé que l'usurpateur d'identité substituant un faux RIB n'est pas un créancier légal, ce qui ouvre la voie à la responsabilité des banques même lorsqu'elles ont exécuté un virement sur la base de l'IBAN fourni. Cette décision, rendue dans un contexte de fraude bancaire dépassant 1,2 milliard d'euros par an, impose aux établissements financiers de prouver l'efficacité réelle de leurs systèmes algorithmiques de détection de fraude.

· 11 min de lecture · 2223 mots · Droit commercial
fraude au RIB virement SEPA responsabilité bancaire usurpation d'identité DSP2

La Cour de cassation vient de trancher : l'usurpateur d'identité qui détourne un virement en substituant un RIB frauduleux n'est juridiquement pas un « créancier » au sens du droit des paiements, ce qui bouleverse la répartition de la responsabilité entre banques, entreprises et victimes. Cette décision structurante intervient à un moment où les banques investissent massivement dans des algorithmes d'authentification — détection de deepfakes, biométrie comportementale, scoring en temps réel — sans que ces dispositifs ne suffisent, selon la Cour, à exonérer l'établissement de ses obligations légales.

Dans un contexte où la fraude aux coordonnées bancaires représente, selon le rapport annuel de l'Observatoire de la sécurité des moyens de paiement (OSMP) de la Banque de France publié en 2025, plus de 1,2 milliard d'euros de préjudice annuel pour les entreprises françaises, la question de savoir qui supporte la perte n'est pas théorique. Elle est vitale pour les trésoriers d'entreprise, les DAF, les responsables conformité et les juristes bancaires.

Cet article décrypte la portée exacte de la jurisprudence, analyse ce qu'elle impose concrètement aux systèmes automatisés d'authentification, et identifie les angles morts que les banques doivent combler urgemment.


Contexte juridique

La fraude au RIB exploite une faille entre la confiance contractuelle et l'anonymat technique des virements SEPA, que le droit devait nécessairement qualifier.

Le virement SEPA et la notion de « créancier »

Le virement bancaire est régi, en droit français, par les articles L.133-1 et suivants du Code monétaire et financier (CMF), qui transposent la directive européenne DSP2 (Directive sur les services de paiement, 2015/2366/UE). Ces textes posent un principe cardinal : l'ordre de paiement exécuté conformément à l'identifiant unique fourni par le payeur (en pratique, l'IBAN) est réputé correctement exécuté, même si cet IBAN appartient à un fraudeur.

L'article L.133-21 du CMF précise que lorsqu'un ordre de paiement est exécuté conformément à l'identifiant unique, le prestataire de services de paiement n'est pas responsable de la mauvaise exécution à l'égard du donneur d'ordre. C'est sur ce terrain que les banques s'appuyaient jusqu'ici pour se dégager.

La décision de la Cour de cassation vient corriger une lecture trop favorable aux établissements : l'usurpateur qui a fourni l'IBAN frauduleux n'est pas le « créancier » au sens contractuel de la relation de paiement. Il n'a aucun titre à recevoir les fonds. Par conséquent, l'exécution vers cet IBAN ne constitue pas techniquement une exécution « conforme à l'ordre » au sens plein du droit, ce qui rouvre la voie à la responsabilité bancaire.

Historique jurisprudentiel : d'une tolérance à une clarification

Depuis 2019, les juridictions du fond étaient divisées. Certaines cours d'appel (Paris, Lyon) avaient jugé que la banque, en exécutant un virement sur la base d'un IBAN erroné communiqué par voie de phishing ou de fraude au président, n'engageait pas sa responsabilité dès lors qu'elle avait respecté l'identifiant unique. D'autres (Versailles, Bordeaux) avaient au contraire retenu une faute de la banque lorsque des signaux d'alerte auraient dû déclencher une vérification supplémentaire.

La Cour de cassation, dans sa chambre commerciale, unifie désormais la doctrine : le respect formel de l'identifiant unique ne purge pas la responsabilité si la banque disposait, ou aurait dû disposer, d'éléments permettant de suspecter la fraude.


Analyse approfondie

Les algorithmes bancaires d'authentification sont désormais intégrés dans l'appréciation de la faute : leur insuffisance peut engager la responsabilité de la banque.

Ce que la Cour exige réellement

La décision ne dit pas que les banques doivent vérifier l'identité du bénéficiaire de chaque virement — ce serait économiquement impossible dans un système SEPA qui traite plusieurs dizaines de milliards de transactions par an. Elle pose une obligation de vigilance proportionnée au risque détecté.

Concrètement, la Cour raisonne en trois temps :

  1. La détection d'anomalie : la banque avait-elle, dans ses systèmes, des indicateurs de risque activés pour cette opération (nouveau bénéficiaire, montant atypique, horaire inhabituels, modification récente de coordonnées) ?
  2. La réaction attendue : face à ces indicateurs, un système d'authentification raisonnable aurait-il dû générer une friction supplémentaire (rappel téléphonique, validation multi-canal) ?
  3. La causalité : si cette friction avait été appliquée, la fraude aurait-elle pu être évitée ?

Ce triptyque s'articule avec l'article L.133-19 du CMF, qui prévoit que le prestataire de paiement supporte la perte résultant d'opérations de paiement non autorisées, sauf négligence grave du payeur. La Cour étend ce raisonnement : la négligence peut aussi être celle de la banque dans la conception de ses dispositifs d'alerte.

L'IA d'authentification sous le prisme de la faute civile

C'est ici que l'angle IA devient juridiquement décisif. En 2026, les grandes banques françaises déploient trois familles d'outils automatisés :

Technologie Usage déclaré Limite juridique identifiée
Détection deepfake Authentification KYC vidéo Taux d'erreur résiduel non nul
Biométrie comportementale Scoring continu en session Insuffisante sur flux sortants
Scoring transactionnel Alertes en temps réel Seuils souvent calibrés trop haut

La Cour ne valide pas ces outils comme exonératoires en soi. Elle les intègre dans l'appréciation de la diligence raisonnable au sens de l'article 1242 du Code civil (responsabilité du fait des choses) et de la faute caractérisée au sens contractuel. Autrement dit : avoir un algorithme n'est pas suffisant ; encore faut-il qu'il soit correctement paramétré et que ses alertes soient traitées efficacement.

L'impact de l'AI Act entré en vigueur en août 2024

L'AI Act européen, dont les dispositions relatives aux systèmes à haut risque sont pleinement applicables depuis le début de l'année 2026, classe les systèmes d'évaluation de la solvabilité et de scoring utilisés dans les services financiers dans la catégorie des systèmes d'IA à haut risque (Annexe III, point 5b). À ce titre, ils doivent satisfaire à des obligations de :

Une banque qui s'appuierait sur un scoring algorithmique pour valider un virement à haut risque, sans supervision humaine documentée, s'exposerait donc à une double sanction : civile (responsabilité envers la victime) et administrative (amende de l'ACPR pouvant atteindre 7% du chiffre d'affaires mondial en application de l'AI Act).

Jurisprudence de référence

La décision commentée s'inscrit dans un mouvement jurisprudentiel plus large. On peut citer :


Implications pratiques

Banques et entreprises doivent revoir leur partage contractuel du risque fraude, sous peine de voir les juges trancher à leur défaveur.

Du côté des banques

La décision impose une revue complète des chaînes de traitement automatisé des virements. Les établissements ne peuvent plus se contenter de respecter formellement l'identifiant unique IBAN. Ils doivent :

Du côté des entreprises (victimes potentielles)

La décision est une bonne nouvelle pour les entreprises victimes, mais elle ne les exonère pas de toute responsabilité. La jurisprudence maintient le principe de faute partagée : si l'entreprise a elle-même négligé des procédures élémentaires de vérification (appel téléphonique de confirmation d'un changement de RIB, procédure de double validation interne), le juge pourra réduire l'indemnisation en application de l'article 1254 du Code civil.

Deux perspectives s'affrontent sur le point d'équilibre :


Points clés à retenir


Questions fréquentes

Qu'est-ce que la fraude au RIB et comment fonctionne-t-elle ?

La fraude au RIB (ou fraude aux coordonnées bancaires) consiste pour un escroc à substituer un IBAN frauduleux à celui du véritable créancier, pour détourner un virement à son profit. Elle passe généralement par une usurpation d'adresse e-mail, un piratage de messagerie (BEC - Business Email Compromise) ou une fausse plateforme fournisseur. Selon l'OSMP, ce type de fraude représentait en 2024 plus de 40% des pertes sur virements des entreprises françaises.

La banque est-elle automatiquement responsable si un virement frauduleux est exécuté ?

Non, pas automatiquement. La responsabilité de la banque n'est engagée que si elle disposait d'éléments lui permettant de détecter la fraude et n'a pas réagi de manière adéquate. Si l'entreprise a elle-même commis une négligence grave (par exemple, en ignorant ses propres procédures de vérification), la responsabilité peut être partagée ou même exclue.

Un algorithme de détection de fraude suffit-il à exonérer la banque ?

Non. La Cour de cassation juge que l'existence d'un outil algorithmique ne suffit pas : encore faut-il que ses seuils soient correctement calibrés, que ses alertes soient effectivement traitées, et que des procédures de friction humaine existent pour les opérations à risque élevé. Un algorithme mal paramétré peut même constituer une preuve de négligence.

Quel est le délai de prescription pour agir contre sa banque en cas de fraude au RIB ?

Le délai de prescription applicable est de 5 ans à compter de la découverte de la fraude, en application de l'article 2224 du Code civil (prescription de droit commun). Pour les opérations de paiement non autorisées, l'article L.133-24 du CMF impose en outre une déclaration rapide à la banque, sous peine de forclusion, dans un délai de 13 mois après le débit.

L'IA peut-elle remplacer un avocat pour contester un virement frauduleux auprès de sa banque ?

Non. Si des outils IA peuvent aider à rédiger un premier courrier de contestation ou à synthétiser sa situation, la complexité juridique de ces litiges (articulation CMF, Code civil, AI Act, jurisprudence en évolution) nécessite l'intervention d'un avocat spécialisé en droit bancaire, notamment pour évaluer la faute partagée et préparer une éventuelle action en justice.

Qu'est-ce que l'AI Act change concrètement pour les banques en 2026 ?

L'AI Act, pleinement applicable en 2026, oblige les banques à documenter, auditer et encadrer par une supervision humaine effective tous les systèmes d'IA à haut risque utilisés dans les décisions financières. Pour les systèmes de scoring transactionnel anti-fraude, cela signifie des registres d'audit, des tests de robustesse réguliers et une traçabilité des décisions automatisées. Le non-respect expose à des amendes pouvant atteindre 7% du chiffre d'affaires mondial annuel.

Une entreprise peut-elle se retourner contre son prestataire de logiciel comptable si c'est par lui que le RIB frauduleux a été injecté ?

Oui, potentiellement. Si le vecteur de la fraude est une faille de sécurité du logiciel (ERP, plateforme de gestion fournisseurs), l'entreprise victime peut engager la responsabilité contractuelle du prestataire sur le fondement des articles 1231-1 et suivants du Code civil, en prouvant un manquement à l'obligation de sécurité. Cette piste est de plus en plus explorée en pratique, notamment lorsque les logiciels ne chiffrent pas les données bancaires des tiers.

Comment une entreprise peut-elle se protéger concrètement contre la fraude au RIB ?

Plusieurs mesures cumulatives sont recommandées : instaurer une procédure de confirmation téléphonique systématique de tout changement de coordonnées bancaires fournisseur (via un numéro connu, jamais celui figurant dans le message suspect), mettre en place une double validation interne pour les virements dépassant un seuil défini, sensibiliser les équipes comptables aux techniques de phishing, et vérifier que les conventions de compte avec la banque prévoient des alertes pour tout nouveau bénéficiaire. Ces mesures peuvent influer favorablement sur l'appréciation de la faute partagée par un tribunal.

Questions fréquentes

Qu'est-ce que la fraude au RIB et quel est son impact financier en France ?
La fraude au RIB consiste à substituer un IBAN frauduleux à celui du vrai créancier pour détourner un virement. Selon l'Observatoire de la sécurité des moyens de paiement (OSMP) de la Banque de France, elle représente plus de 1,2 milliard d'euros de préjudice annuel pour les entreprises françaises.
Pourquoi la banque peut-elle être responsable même si elle a exécuté le virement sur la base de l'IBAN fourni ?
La Cour de cassation juge que l'usurpateur n'est pas un « créancier » légal : l'exécution vers son IBAN n'est donc pas une exécution conforme à l'ordre au sens plein du droit. Si la banque disposait de signaux d'alerte, elle peut voir sa responsabilité engagée malgré le respect formel de l'identifiant unique.
Que change concrètement la décision de la Cour de cassation pour les banques ?
Les banques ne peuvent plus invoquer le seul respect de l'identifiant unique (IBAN) pour s'exonérer. Elles doivent démontrer que leurs systèmes algorithmiques d'authentification — détection de deepfakes, biométrie comportementale, scoring en temps réel — étaient suffisants et actifs pour détecter les signaux de fraude.
Quels textes juridiques encadrent la responsabilité des banques pour un virement SEPA frauduleux ?
La responsabilité bancaire repose sur les articles L.133-1 et suivants du Code monétaire et financier (CMF), qui transposent la directive européenne DSP2 (2015/2366/UE). L'article L.133-21 du CMF prévoit une présomption d'exécution correcte sur la base de l'IBAN, que la Cour de cassation nuance désormais en cas de fraude identifiable.
Que doivent faire les entreprises pour se protéger contre la fraude au RIB ?
Les entreprises doivent renforcer leurs procédures internes de vérification des coordonnées bancaires (rappel téléphonique sur numéro connu, double validation), sensibiliser leurs équipes aux techniques de phishing et de fraude au président, et vérifier que leurs banques disposent de dispositifs de détection de fraude conformes aux exigences jurisprudentielles actuelles.