Prévenir et gérer les fraudes aux faux ordres de virement bancaire

10 mars 2023

L’arnaque aux faux ordres de virement bancaire est une escroquerie qui ne cesse de se répandre, facilitée notamment par la digitalisation des activités. Que ce soit par le biais de l’usurpation de l’identité d’un dirigeant, d’un fournisseur ou d’un partenaire, ou bien encore à la suite d’un piratage informatique, les auteurs de ces escroqueries ont pour objectif de tromper une personne afin d’obtenir de sa part un virement bancaire sur un RIB qu’ils auront préalablement communiqué et qui se trouve être bien souvent localisé à l’étranger.

Contrairement à une idée reçue, même s’il existe un principe général de vigilance des établissements bancaires, la responsabilité, tant de la vérification des coordonnées bancaires enregistrées ou communiquées par l’entreprise, que de l’ordre de virement, incombe à l’entreprise et non pas à l’établissement bancaire. 

Or, il est souvent difficile de récupérer les fonds dès lors que les virements ont été effectués. 

      1. Les moyens de prévention 


Afin de prévenir ce type fraude, il existe un certain nombre de moyens à mettre en place au sein de l’entreprise:

  • préciser les personnes habilitées à engager des fonds, et donc à effectuer des virements, ainsi que les seuils d’engagements autorisés dans le cadre d’une délégation de signature ou de pouvoirs. La délégation de signature ou de pouvoirs pourra préciser la nature des engagements qui peuvent être pris ainsi que leurs plafonds ; 
  • former et sensibiliser les équipes y compris les intérimaires et nouveaux arrivants. Ce type de fraude est plus fréquent pendant les périodes estivales où les entreprises s’appuient sur des salariés qui n’ont pas nécessairement connaissance des procédures internes applicables, ni des règles d’engagement prévues par les délégations de signature ou de pouvoirs ; 
  • mettre en place des procédures de vérification interne et de contrôle (à titre d’exemple : séparation entre la préparation et la validation des ordres de virement) ;
  • vérifier sur le RIB, le pays de la banque du destinataire des fonds ;
  • se faire confirmer les changements de RIB par un contact direct auprès de vos interlocuteurs habituels.


     2. Les actions à mettre en place en cas de fraude

En fonction des circonstances, les infractions visées par ces types d’agissements frauduleux peuvent être l’escroquerie, l’usurpation d’identité ou l’accès frauduleux à un système de traitement automatisé de données. 

Face à ce type de fraude, il convient d’agir très rapidement aux fins notamment :

  • d’informer au plus vite l’établissement bancaire pour bloquer le virement ou demander le retour des fonds ;
  • d’informer le personnel concerné (directeur administratif et financier, comptable, etc.) ;
  • de recueillir et conserver toutes les preuves (courriels, factures, RIB frauduleux, ordres de virement, etc.) ;
  • de mener un audit du système d’information pour identifier les défauts de sécurité ou les éventuelles informations et documents piratés. 

Sur la base de l’ensemble de ces éléments, il est recommandé de vous faire assister pour préparer et déposer une plainte auprès du Procureur de la République. Le dépôt de la plainte est un acte de bonne gestion, tant à l’égard de la gouvernance de l’entreprise mais également à l’égard des autorités de contrôle, si l’entreprise gère des fonds publics. Il appartiendra au Procureur de la République de décider de l’ouverture d’une enquête ou du classement sans suite de l’affaire en fonction du niveau des éléments qui ont pu être apportés dans la plainte. 

Par ailleurs, si l’accès frauduleux à un système de traitement automatisé a entraîné un accès illicite à des données personnelles, il est nécessaire d’identifier si cet incident constitue un risque au regard de la vie privée des personnes concernées en analysant les conséquences de cette intrusion. Si l’incident constitue un risque au regard de la vie privée des personnes concernées, l’entreprise devra notifier l’incident à la CNIL. Cette notification doit intervenir dans les meilleurs délais et au plus tard dans les 72h à compter de l’incident. 

En cas de risque élevé, l’entreprise devra également en informer les personnes concernées.  Cornillier Avocats se tient à votre disposition pour tout complément d’informations.