Fraudes aux faux virements : la Cour de cassation consacre la responsabilité des banques trop peu vigilantes

L’Observatoire de la Sécurité des moyens de paiements, présidé par la Banque de France, estime que près de la moitié (48 %) des virements frauduleux viennent aujourd’hui de l’usurpation de l’identité d’un fournisseur en réclamant le règlement d’une facture fictive ou de ce qu’on appelle "la fraude au président". Quand on contacte un salarié en se faisant passer pour un dirigeant de son entreprise afin de lui donner l’ordre d’effectuer un paiement.

Ces scénarios d’escroquerie sont généralement documentés par les informations que l’on trouve en libre accès sur les sites Internet des entreprises et les réseaux sociaux. On parle d’ailleurs d’ingénierie sociale pour désigner cette collecte d’informations qui s’avéreront décisives pour crédibiliser le discours du voleur.

Généralement les banques estiment qu’il revient à l’entreprise de mettre en place ses propres protocoles de vérification pour s’assurer de l’identité des bénéficiaires de ses envois d’argent. Une approche que la Cour de Cassation, la plus haute juridiction de l’ordre judiciaire français, tend à relativiser.

Ainsi dans un arrêt rendu par la Chambre commerciale, financière et économique du 2 octobre 2024, ces magistrats ont considéré que la banque avait manqué à son obligation de vigilance et l’a condamnée à restituer les sommes versées.

Une obligation de vigilance de la part de la banque

Ici, la comptable d’une société avait fait réaliser des virements d’un montant de 2,1 millions d’euros au profit d’une entité située à Hong Kong.

Elle avait demandé ces paiements en exécution d’instructions reçues par courriels par un escroc qui avait usurpé l’identité de son employeur. A posteriori, la banque a invoqué son obligation de non-ingérence dans les affaires de son client. En clair, chacun est bien libre de disposer de son argent à sa guise. Mais les magistrats ont considéré au contraire que le banquier avait manqué à son devoir de vigilance.

Dès lors que depuis longtemps, l’entreprise n’effectuait quasiment jamais de virement de plus de 100.000 euros - hormis à sa maison mère, qu’elle n’entretenait aucune relation commerciale en Asie et n’avait jamais eu d’échanges financiers préalables avec les deux sociétés destinataires des fonds.

Des vérifications auprès du dirigeant

Vérifier auprès du dirigeant la validité et la matérialité de ces opérations, au regard du caractère extraordinaire des montants et des circonstances de ces transactions. Un luxe de précaution qui se justifie par les moyens de fraude informationnelle, désormais mis en œuvre par les pirates pour leurrer leurs interlocuteurs dans les entreprises.

Des mécanismes qui plaident pour un déploiement de messages pédagogiques au sein des entreprises, avec une mise en forme des processus internes de validation. Et des procédures à respecter en cas de sollicitations inhabituelles, afin de ne pas céder à l’improvisation ou à la panique en cas de demandes subites.

La plateforme Cybermalveillance.gouv.fr précise les démarches à effectuer si on est victime d'une fraude au faux ordre de virement.