Fraude au RIB : pourquoi la Cour de cassation vient de changer la donne pour les victimes
La Cour de cassation a décidé que l'usurpateur d'identité qui détourne un virement via un faux RIB ne peut pas être considéré comme un créancier, rendant l'opération non autorisée et obligeant la banque à rembourser la victime. Cette décision majeure intervient alors que la fraude au RIB a causé plus de 500 millions d'euros de pertes en France en 2025, amplifiée par les outils d'intelligence artificielle générative.
La Cour de cassation a tranché : l'usurpateur d'identité qui détourne un virement en substituant un faux RIB ne peut pas être qualifié de « créancier » au sens du droit bancaire, ouvrant la voie à de nouveaux recours pour les victimes. Cet arrêt de principe tombe à un moment charnière : les deepfakes vocaux, les faux documents générés par IA et les campagnes de phishing ultra-personnalisées ont fait exploser la fraude au RIB en France, avec plus de 500 millions d'euros de pertes recensées par l'Observatoire de la sécurité des moyens de paiement (OSMP) dans son rapport 2025. Dans cet article, nous décryptons la portée juridique de cette décision, ses conséquences concrètes pour les particuliers et les entreprises victimes, et ce qu'elle impose désormais aux établissements de crédit.
La fraude au RIB — ou fraude au changement de coordonnées bancaires — consiste à substituer le RIB d'un créancier légitime par celui d'un escroc, pour détourner un virement à son profit. Longtemps cantonnée à des courriels de phishing artisanaux, cette technique s'est industrialisée grâce à l'IA générative : faux PDFs de factures indétectables, voix synthétisées imitant un dirigeant ou un expert-comptable, deepfakes vidéo lors d'appels de « validation ». Le tout pour convaincre un comptable ou un particulier de mettre à jour des coordonnées bancaires. Comprendre la réponse juridique à cette menace est aujourd'hui indispensable pour tout acteur économique.
Contexte juridique
L'arrêt de la Cour de cassation exclut l'usurpateur d'identité de la qualité de créancier, un verrou juridique majeur contre la fraude au RIB.
La fraude au RIB s'inscrit dans un corpus juridique dense. Le Code monétaire et financier (CMF) encadre l'exécution des ordres de paiement : l'article L.133-18 CMF impose à la banque du payeur de rembourser immédiatement toute opération non autorisée, tandis que l'article L.133-21 CMF pose le régime de responsabilité en cas d'exécution fautive. La directive européenne DSP2 (transposée en droit français), puis les discussions autour de DSP3 (en cours de finalisation au niveau européen début 2026), renforcent les obligations d'authentification forte et de vérification des bénéficiaires.
Jusqu'à cet arrêt, la question centrale était la suivante : lorsqu'un virement est exécuté vers le compte d'un fraudeur qui s'est fait passer pour un créancier légitime, qui supporte la perte ? La banque ayant exécuté l'ordre ? Le donneur d'ordre qui a transmis un RIB frauduleux ? Ou la banque du bénéficiaire fictif ? La Cour de cassation, en refusant à l'usurpateur la qualité de créancier apparent, tranche ce nœud gordien : l'ordre de paiement exécuté vers un fraudeur est, par construction, un ordre mal exécuté ou non autorisé, dont les conséquences incombent en priorité à l'établissement de crédit.
Selon le rapport annuel 2025 de l'OSMP, la fraude aux virements représente désormais 38 % de la fraude scripturale totale, soit une hausse de 12 points en trois ans, directement corrélée à la démocratisation des outils d'IA générative accessibles au grand public depuis 2023.
Analyse approfondie
La qualification de l'usurpateur comme tiers non créancier fait peser sur les banques une obligation de remboursement renforcée.
La portée de l'arrêt : l'usurpateur n'est pas un créancier
En droit civil classique, la théorie du mandat apparent permettait parfois aux banques d'opposer aux victimes le fait qu'elles avaient légitimement cru payer le bon créancier. L'arrêt de la Cour de cassation ferme cette porte : dès lors qu'une usurpation d'identité est établie, il ne peut y avoir de créancier apparent. L'opération de paiement est réputée non autorisée au sens de l'article L.133-6 CMF, et le régime de remboursement de plein droit de l'article L.133-18 CMF s'applique.
Cette solution s'aligne sur la jurisprudence de la Cour de justice de l'Union européenne (CJUE), notamment l'arrêt ECLI:EU:C:2023:538 (Landespolizeidirektion Steiermark), qui rappelle que l'authentification forte ne suffit pas à exonérer la banque si le bénéficiaire réel n'est pas celui désigné par le payeur.
L'IA générative comme facteur aggravant : implications juridiques
L'IA générative modifie radicalement le profil du risque. Trois vecteurs d'attaque dominent en 2026 :
- Les faux documents générés par LLM : factures, avenants de contrat, courriers de notification de changement de RIB. Ces documents passent les contrôles visuels traditionnels et même certains outils de détection de fraude documentaire.
- Le clonage vocal (deepfake audio) : un escroc reproduit la voix d'un DAF ou d'un expert-comptable pour appeler la comptabilité et « confirmer » le nouveau RIB. Selon Europol (rapport Facing Reality? Law Enforcement and the Challenge of Deepfakes, 2025), 66 % des fraudes au virement impliquant une ingénierie sociale utilisaient désormais une composante IA en 2024.
- Les deepfakes vidéo : lors de visioconférences de validation, un avatar réaliste imite un dirigeant pour autoriser oralement le changement de coordonnées.
Ces techniques soulèvent une question juridique nouvelle : si la victime a été induite en erreur par une IA, cela constitue-t-il une faute grave au sens de l'article L.133-19 CMF qui pourrait exonérer la banque ? La doctrine dominante en 2026 penche pour la négative : la sophistication technologique de l'attaque rend le discernement de la victime non fautif, d'autant que les banques ont elles-mêmes l'obligation de déployer des systèmes de détection des anomalies comportementales.
Tableau comparatif : responsabilité selon le type de fraude
| Scénario | Faute de la victime | Responsabilité bancaire | Remboursement |
|---|---|---|---|
| Phishing classique (email) | Possible (négligence) | Partagée | Partiel |
| Deepfake vocal IA | Non retenue | Principale | Intégral |
| Faux document IA indétectable | Non retenue | Principale | Intégral |
| Fraude interne à l'entreprise | Oui | Limitée | Faible |
| Erreur de saisie du donneur d'ordre | Oui | Non engagée | Nul |
Les obligations renforcées des établissements de crédit
L'arrêt, combiné aux exigences de l'AI Act (entré en vigueur en août 2024) et aux orientations de l'Autorité bancaire européenne (ABE), redessine le cahier des charges des banques :
- Vérification du bénéficiaire : le service IBAN-Name Check, déployé progressivement en France depuis 2024 sous l'impulsion du règlement européen sur les virements instantanés, devient une obligation de diligence à part entière. Une banque qui exécute un virement sans contrôler la concordance nom/IBAN pourra difficilement s'exonérer.
- Détection des comportements anormaux : les systèmes de scoring IA doivent signaler tout changement de RIB inhabituel (nouveau bénéficiaire, montant atypique, délai court après modification).
- Traçabilité des alertes : en cas de litige, la banque devra démontrer qu'elle a bien émis une alerte au client avant d'exécuter l'ordre.
L'ACPR (Autorité de contrôle prudentiel et de résolution) a d'ailleurs publié en janvier 2026 des lignes directrices rappelant que le déploiement de systèmes anti-fraude inadéquats constitue un manquement aux obligations professionnelles sanctionnable.
Implications pratiques
Pour les victimes, la jurisprudence ouvre un droit au remboursement quasi automatique ; pour les banques, elle impose une mise à niveau urgente de leurs dispositifs anti-fraude IA.
Du côté des victimes (particuliers et entreprises)
- Agir vite : déposer immédiatement une plainte pénale pour escroquerie (article 313-1 du Code pénal) et usurpation d'identité (article 226-4-1 du Code pénal). Ce dépôt est souvent exigé par la banque pour déclencher la procédure de remboursement.
- Notifier la banque par écrit dans les meilleurs délais : l'article L.133-24 CMF impose un délai de 13 mois à compter de la date de débit pour contester une opération non autorisée.
- Conserver les preuves de l'usurpation : captures d'écran, enregistrements d'appels, métadonnées des emails frauduleux. Ces éléments sont déterminants pour établir que la tromperie était indétectable.
- Pour les entreprises, envisager une action en responsabilité contre la banque du fraudeur sur le fondement de l'article L.561-2 CMF (obligation de vigilance KYC) si cette banque a ouvert un compte à l'escroc sans diligence suffisante.
Du côté des banques
L'arrêt crée une pression asymétrique : assumer le remboursement des fraudes complexes ou investir massivement dans la prévention. Les établissements qui tardent à déployer l'IBAN-Name Check et des systèmes de détection IA s'exposent à une multiplication des contentieux et à des sanctions ACPR. À l'inverse, les banques qui auront mis en place des processus robustes pourront plus facilement démontrer leur diligence et, le cas échéant, se retourner contre la banque du fraudeur.
Points clés à retenir
- L'usurpateur d'identité n'est pas un créancier : la Cour de cassation ferme la porte à la théorie du mandat apparent dans les fraudes au RIB.
- L'opération de paiement vers un fraudeur est réputée non autorisée au sens de l'article L.133-6 CMF, déclenchant le remboursement de plein droit (L.133-18 CMF).
- L'IA générative rend la faute de la victime difficile à retenir : deepfakes vocaux et faux documents indétectables neutralisent l'argument de la négligence grossière.
- Le délai de contestation est de 13 mois à compter du débit (article L.133-24 CMF) : toute victime doit agir dans ce délai.
- L'IBAN-Name Check devient une obligation de diligence pour les banques, sous peine d'engager leur responsabilité.
- Les banques du fraudeur sont également exposées si elles ont failli à leurs obligations KYC lors de l'ouverture du compte.
- L'AI Act et les lignes directrices ACPR 2026 renforcent les obligations des établissements en matière de détection algorithmique de la fraude.
Questions fréquentes
Qu'est-ce que la fraude au RIB et comment fonctionne-t-elle avec l'IA ?
La fraude au RIB consiste à substituer les coordonnées bancaires d'un créancier légitime par celles d'un escroc pour détourner un virement. Avec l'IA générative, les fraudeurs créent des faux documents (factures, courriers) ou clonent la voix d'un interlocuteur de confiance pour convaincre la victime de valider le changement de RIB. En 2026, ces attaques sont souvent indétectables à l'œil nu ou à l'oreille.
Ma banque doit-elle me rembourser si j'ai été victime d'une fraude au RIB ?
Oui, en principe, si l'usurpation d'identité est établie. L'article L.133-18 du Code monétaire et financier impose à la banque du payeur de rembourser immédiatement toute opération non autorisée. La jurisprudence récente de la Cour de cassation renforce cette obligation en refusant à l'escroc la qualité de créancier, ce qui empêche la banque d'invoquer le mandat apparent.
Quel est le délai pour contester un virement frauduleux auprès de ma banque ?
Le délai légal est de 13 mois à compter de la date de débit du compte, conformément à l'article L.133-24 du Code monétaire et financier. Passé ce délai, la contestation est irrecevable. Il est fortement conseillé d'agir dès la découverte de la fraude et de déposer simultanément une plainte pénale.
La banque peut-elle refuser de me rembourser si j'ai transmis moi-même le faux RIB ?
La banque peut tenter d'invoquer une faute grave de la victime (article L.133-19 CMF) pour limiter ou exclure le remboursement. Toutefois, si la fraude a été facilitée par une IA générative rendant la tromperie indétectable (deepfake, faux document parfait), les juridictions tendent à ne pas retenir la faute grave. La charge de la preuve de cette faute incombe à la banque.
L'entreprise victime peut-elle se retourner contre la banque du fraudeur ?
Oui. Si la banque du fraudeur a ouvert un compte sans respecter ses obligations de vigilance KYC (Know Your Customer) prévues à l'article L.561-2 CMF, elle peut engager sa responsabilité. Cette voie est complexe mais de plus en plus utilisée, notamment lorsque le compte du fraudeur a été ouvert avec de faux documents générés par IA.
Quelles démarches concrètes effectuer immédiatement après une fraude au RIB ?
Il faut : (1) contacter sa banque par écrit dans les 24 heures pour bloquer le virement si possible et notifier la contestation ; (2) déposer une plainte pénale pour escroquerie (art. 313-1 C. pén.) et usurpation d'identité (art. 226-4-1 C. pén.) ; (3) conserver toutes les preuves (emails, enregistrements, documents reçus) ; (4) saisir le médiateur bancaire si la banque refuse le remboursement. Pour les entreprises, consulter rapidement un avocat spécialisé est fortement recommandé.
L'AI Act européen change-t-il quelque chose pour les banques face à la fraude IA ?
L'AI Act, entré en vigueur en août 2024, classe les systèmes de détection de fraude dans la catégorie des systèmes à haut risque, ce qui impose aux banques des obligations de transparence, de documentation et d'audit de leurs algorithmes. Combinées aux lignes directrices ACPR de janvier 2026, ces règles signifient qu'une banque qui ne dispose pas de systèmes anti-fraude IA conformes et efficaces s'expose à des sanctions prudentielles, en plus des actions civiles des victimes.
Que faire si le fraudeur a agi depuis l'étranger ?
La compétence des juridictions françaises peut s'appliquer si la victime est domiciliée en France ou si le compte débité est dans un établissement français, sur le fondement de l'article 113-2 du Code pénal (compétence territoriale). Il est recommandé de signaler également la fraude à Interpol et à Europol via la plateforme nationale (signal.conso.gouv.fr pour les consommateurs, ou directement les services de police judiciaire pour les entreprises). La coopération judiciaire européenne permet dans certains cas de geler les fonds avant leur dispersion.
Article rédigé sur la base de la jurisprudence disponible à juillet 2026, des textes du Code monétaire et financier, de l'AI Act (UE 2024/1689) et des lignes directrices ACPR. Il ne constitue pas un conseil juridique personnalisé.
Questions fréquentes
- Qu'est-ce que la fraude au RIB et comment fonctionne-t-elle ?
- La fraude au RIB consiste à substituer le vrai RIB d'un créancier par celui d'un escroc, via phishing, faux documents générés par IA ou deepfakes vocaux, pour détourner un virement bancaire à son profit.
- Que change l'arrêt de la Cour de cassation pour les victimes de fraude au RIB ?
- La Cour de cassation refuse à l'usurpateur d'identité la qualité de créancier, ce qui rend automatiquement le virement 'non autorisé' au sens de l'article L.133-6 CMF. La banque est alors tenue de rembourser la victime de plein droit selon l'article L.133-18 CMF.
- La banque est-elle obligée de me rembourser si j'ai été victime d'une fraude au RIB ?
- Oui, depuis cet arrêt, si une usurpation d'identité est établie, la banque ne peut plus invoquer la théorie du mandat apparent pour refuser le remboursement. L'opération est réputée non autorisée et le remboursement s'applique de plein droit.
- Les entreprises sont-elles aussi protégées par cette décision, ou seulement les particuliers ?
- L'arrêt s'applique à toute victime d'usurpation d'identité ayant conduit à un virement frauduleux, particuliers comme entreprises. Les entreprises doivent toutefois vérifier leurs contrats bancaires, car certaines clauses peuvent moduler les conditions de remboursement.
- Comment se prémunir contre la fraude au RIB à l'heure des deepfakes et de l'IA ?
- Il est recommandé de vérifier tout changement de RIB par un rappel téléphonique sur un numéro connu, de ne jamais cliquer sur un lien reçu par e-mail pour mettre à jour des coordonnées bancaires, et de mettre en place des procédures de double validation interne pour tout virement important.
Sources
- How to record your screen on Windows 11 - microsoft.com
- How to Record Your Computer Screen: 5 Ways on PC & Mac - wikiHow
- Free Screen Recorder For PC – No Time Limit, No Watermark
- Free Online Screen Recorder - Canva
- Screen Recorder | Free & Online
- Google Earth
- Google Earth
- Earth Versions – Google Earth
- Google Earth
- Google Earth
- Amazon.com: Hp Purple Laptop
- HP Purple PC Laptops & Netbooks for sale - eBay
- 10 Best hp purple touch screen laptop - June 2026
- Amazon.com: Purple Hp Stream
- hp purple laptop - Best Buy