Les bons réflexes à avoir en cas de fraude aux virements par l'intermédiaire d'un faux RIB
L'arnaque au faux RIB (relevé d'identité bancaire) est devenue une escroquerie très répandue. Qui n'a jamais reçu un SMS ou un courriel demandant de procéder à un paiement par virement en utilisant un RIB ? Le virement est un moyen de paiement de plus en plus courant. Il est préféré par les Français pour ne pas avoir à transporter des espèces et éviter les chèques sans provision.
Dans la dernière édition de son observatoire de la sécurité des moyens de paiement, la Banque de France a évalué à 351 millions d'euros le coût total des escroqueries aux virements, en 2024.
L'enjeu est tellement important que depuis le 9 octobre 2025, les prestataires de services de paiement (banques, établissements de paiement ou de monnaie électronique) établis dans un État membre de l'Union européenne dont la monnaie est l'euro, ont mis en place un système de vérification préalable de la concordance entre l'Iban et l'identité du bénéficiaire auquel le payeur a l'intention d'envoyer un virement. Cela ne concerne donc pas les virements vers des monnaies étrangères ou des pays non adhérents à l'Union européenne.
Gageons que la mise en place de ce système dit VOP (verification of payee) permettra de renforcer la sécurité des virements contre les éventuelles erreurs de bénéficiaire, mais surtout permettra de lutter efficacement contre la fraude au RIB. Malgré tout, quels sont les réflexes à avoir en cas de fraude aux virements ?
Comment se déroule une fraude au RIB ?
La fraude au RIB consiste à détourner le virement de la victime en usurpant l'identité de son créancier et en falsifiant le RIB du créancier, pour faire apparaître de fausses coordonnées bancaires, et détourner ainsi l'argent qui devait être versé au créancier. Le scénario d'une fraude au RIB se déroule toujours selon la même trame.
1. Le fraudeur commence par un piratage de la messagerie électronique du créancier ou de la victime. Une faille dans la sécurité du système informatique est exploitée par l'escroc. Toutefois, il arrive aussi fréquemment que la victime ait pu se faire tromper en donnant ses propres données par la technique appelée hameçonnage en cliquant sur un mail ou sur un lien reçu par SMS qui oblige la victime à transmettre des données notamment bancaires.
2. Le fraudeur va s'introduire dans la messagerie qui aura été piratée afin de voir s'il y a un ou des paiements en cours (achats sur internet, mais aussi règlements de factures courantes comme un loyer, une amende, un fournisseur...). Tout paiement par virement est susceptible d'être fraudé.
3. Le fraudeur va télécharger et modifier le RIB du créancier, en remplaçant les coordonnées bancaires par les siennes, souvent un compte à l'étranger et difficilement retrouvable.
4. Le fraudeur va encore aller plus loin, car il va se faire passer pour le créancier. Il va donc copier le nom du créancier, son adresse mail, le nom de l'établissement bancaire, les logos, les bonnes références... Tout aura l'apparence qu'il s'agit du RIB du créancier. Le piège est en train de se refermer.
5. Le fraudeur va alors demander le paiement. La victime va régler en pensant qu'il s'agit du vrai RIB du créancier et qu'elle règle sa dette. Mais le créancier impayé va informer la victime qu'il n'a jamais reçu le virement. La personne va alors se rendre compte qu'elle a été arnaquée.
Que faire en cas de fraude aux virements ?
Dès la découverte de la fraude, la victime doit être très réactive. Dans l'ordre, elle doit réaliser les actions suivantes :
1. Prévenir immédiatement la banque pour tenter de suspendre le virement ou demander le retour des fonds (recall possible dans les 24 heures). Il faut le faire le plus rapidement possible, puisque bien souvent les fraudeurs vont encore faire des virements sur d'autres comptes et il sera très difficile de retrouver les fonds. Il faut soit se rendre dans son agence bancaire, soit appeler son conseiller. Dans tous les cas, il faut un écrit.
2. Prévenir le créancier que son identité a été usurpée. Cela peut aussi provenir de sa propre messagerie ou de son site internet. Il doit vérifier tous ses paramètres de sécurité.
3. Prévenir son informaticien afin de reparamétrer le compte de sa messagerie. Il faut changer les mots de passe (ordinateur principal et téléphone portable, messageries, plateforme bancaire, accès aux différents sites internet).
4. Prévenir un officier de police judiciaire en déposant plainte contre X en se rendant au commissariat de police ou à la brigade de gendarmerie dont la victime dépend territorialement. Pour cela, il faudra bien conserver les preuves de la fraude (messages reçus, relevés de comptes bancaires, factures, faux RIB, capture d'écran du site internet du créancier...).
5. Prévenir sa compagnie d'assurances : si la victime est bénéficiaire d'une assurance de protection juridique, pour obtenir des renseignements et être aidé dans les démarches ; et/ou si la victime est bénéficiaire d'une assurance cybersécurité
6. Prévenir la Cnil dès lors que la violation des données par la fraude au RIB est susceptible de créer un risque pour les droits et libertés des personnes concernées.
7. Prévenir son avocat qui pourra vous accompagner dans la gestion de cette fraude, avec une négociation entre le créancier et le débiteur pour régler à l'amiable le litige (le paiement n'étant jamais intervenu), mais aussi pour gérer l'aspect pénal suite à la plainte.
Quelles infractions peuvent être poursuivies ?
Lorsque l'auteur des faits est retrouvé, les infractions suivantes pourront être poursuivies devant le tribunal correctionnel :
1. L'escroquerie prévue par l'article 313-1 du Code pénal et dont la peine maximale encourue est de cinq ans d'emprisonnement et de 375 000 euros d'amende.
2. L'accès frauduleux à un système de traitement automatisé de données prévu par l'articleÂ
323-1 du Code pénal et dont la peine maximale encourue est de trois ans d'emprisonnement et de 100Â
000 euros d'amende. Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine encourue est de cinq ans d'emprisonnement et de 150 000 d'amende.
3. L'atteinte au secret des correspondances avec le piratage de la messagerie électronique prévue par l'article 226-15 du Code pénal et dont la peine maximale encourue est d'un an d'emprisonnement et de 45 000 euros d'amende.
Comment éviter une fraude au RIB ?
La fraude au RIB peut être évitée avec des réflexes simples à avoir et qui ne sont pas contraignants.
1. Lorsqu'une personne vous demande de régler une facture ou une prestation par virement, et qu'elle vous transmet un RIB par courriel ou SMS, il faut immédiatement contacter le créancier sur son numéro de téléphone habituel, enregistré sur votre portable, ou en reprenant des coordonnées fiables mais non reçues par courriel ou SMS.
2. Le créancier doit confirmer l'origine du message, mais aussi ses coordonnées bancaires. Il est recommandé de transmettre son RIB en format papier, daté et signé par le débiteur et remis en main propre ou par la voie postale suivie.
3. Ne répondez jamais à un courriel, à un SMS ou à un appel téléphonique dans lequel il vous est demandé vos coordonnées bancaires, y compris lorsque l'interlocuteur semble être un conseiller bancaire ou un créancier.
4. Pour chaque site internet, il faut un mot de passe complexe ou avec une double authentification. Assurez-vous d'avoir un anti-virus à jour et robuste.
5. Les entreprises doivent veiller à former leur personnel à ce type de fraude comme le recommandent la Cnil et l'Anssi. Si la fraude au RIB a pour origine un manque de formation du personnel du créancier, ce dernier pourra être déclaré responsable face à ce manque. Il devra aussi en assumer les conséquences financières et pour sa réputation.
