Faux RIB : vigilance requise

10 juin 2024

Les fraudes aux faux RIB se multiplient. La vigilance est de mise pour tous les intervenants.

Multiplication des fraudes

Après le phishing, la fraude au faux conseiller bancaire appelé « vishing », une nouvelle pratique fait des ravages auprès des clients des établissements bancaires :  les faux RIB.

Cette pratique résulte du piratage d’un compte de messagerie par un individu malveillant, dans le but de dérober des informations personnelles, professionnelles ou bancaires. Ceci touche plus particulièrement les adresses mails fournies gratuitement, disposant d’un faible degré de sécurité. Le pirate repère un échange économique entre la personne piratée et un tiers, comme une commande ou une facture. Le pirate recrée alors à l’identique l’adresse mail de la personne piratée, et rédige un mail à celle-ci en lui demandant de procéder à un paiement par virement, en fournissant un RIB correspondant à son propre compte bancaire. Seul les numéros IBAN est modifié, le nom figurant sur le RIB est celui du fournisseur.

Le destinataire s’il exécute le paiement sur la base de ce RIB paie le malfaiteur et non son fournisseur.

Lorsque cette personne s’aperçoit de la fraude dont elle a été victime, souvent quand le fournisseur se plaint de ne pas avoir été réglé, elle est encline à se retourner vers sa banque, pour demander le remboursement des sommes perdues, du fait de l’existence d’une fraude. Le plus souvent, elle reproche à la banque de ne pas avoir vérifié la concordance entre le nom du fournisseur et celui du titulaire du compte.

Obligations des banques

Les obligations de la banque qui a effectué le paiement sont les suivantes :

  • Vérifier que l’opération est exécutée selon les modalités prévues, à savoir grâce à l’authentification forte réalisée par son client. L’authentification forte exige que le client utilise deux éléments permettant de s’assurer de son identité, tel qu’un code secret, une empreinte digitale, la reconnaissance faciale ou encore la réponse à une question secrète.
  • Respecter son devoir de non-ingérence, qui consiste à ne pas intervenir dans les affaires de ses clients, notamment en s’informant sur celles-ci. Dès lors, le contrôle ne peut porter que sur les anomalies apparentes de l’opération, matérielles ou intellectuelles, soit sur la nature elle-même de l’opération ou encore du fonctionnement du compte.

S’il est établi qu’elle a manqué à ses obligations sa responsabilité est engagée.

A l’inverse, elle n’encourt aucune responsabilité si le client a fait preuve d’une négligence grave en ne repérant pas les éléments permettant de comprendre une fraude (par exemple l’orthographe, un élément manquant), comme doit le faire une personne normalement attentive.

La victime peut cependant se retourner contre la banque du pirate bénéficiaire du virement sur le fondement de l’article 1240 du Code civil. Cet établissement doit en effet vérifier la concordance entre le nom du bénéficiaire du virement apparaissant sur l’ordre de virement et le nom du titulaire du compte dans ses livres. (Tribunal Judiciaire de Paris, 9ème chambre, 02 avril 2024, RG n°22/07324).

Dans la mesure où les références données par le fraudeur correspondent le plus souvent à des comptes tenus par des banques situées en dehors de l’Union européenne, l’effectivité de ce recours est compromise.

Un conseil : toujours vérifier

Il convient donc de se montrer particulièrement vigilant et avant de procéder à un paiement par virement, de vérifier notamment de vive voix en appelant son fournisseur, que les coordonnées bancaires sont les bonnes.

Par Barbara GILLARD