Fraude au RIB : payer de bonne foi un escroc ne vous libère pas de votre dette

Vous recevez la facture de votre fournisseur habituel, ou un email de sa part vous informant d'un changement de coordonnées bancaires. Le message semble authentique, la mise en forme est la bonne, le ton est familier, parfois l’adresse électronique est exacte. Vous effectuez le virement. Quelques jours plus tard, votre fournisseur vous relance : il n'a jamais reçu son paiement. Vous venez d'être victime d'une fraude au RIB. 

Une décision récente de la Cour de cassation vient préciser une conséquence que beaucoup d'entreprises ignorent : vous restez redevable de la somme, même en l'absence de toute négligence de votre part.

⚖️ Ce que dit la Cour de cassation

Dans un arrêt du 17 juin 2026 (Cass. com., n° 24-13.306), la Cour de cassation a tranché une question qui revenait régulièrement devant les tribunaux et faisait débat auprès des juges du fond : le débiteur qui paie sur un compte frauduleux, sans avoir commis de faute et en toute bonne foi, est-il tout de même libéré de sa dette ?

La réponse est non.

L’article 1342-3 du code civil protège en effet celui qui paie de bonne foi un « créancier apparent », autrement dit, une personne qui n'est pas véritablement le créancier, mais qui en avait toutes les apparences. C'est ce mécanisme que les entreprises victimes de fraude au RIB tentaient d'invoquer pour éviter d'avoir à payer une seconde fois.

Mais la Cour de cassation opère une distinction essentielle : se tromper sur l'identité de son créancier n'est pas la même chose que se tromper sur ses coordonnées bancaires. Dans une fraude au RIB classique, l'entreprise sait parfaitement qui est son créancier : c'est bien son fournisseur, son prestataire, son partenaire habituel. Ce qui a été falsifié, ce sont ses coordonnées bancaires. L'escroc n'a jamais eu l'apparence du créancier lui-même : il s'est simplement glissé dans le circuit de paiement.

Or la théorie du créancier apparent ne joue que dans le premier cas (c’est-à-dire en cas d’erreur sur l’identité du créancier). Elle ne s'applique pas ici, même en l'absence d'anomalies flagrantes. Peu importe alors que le débiteur ait été trompé de manière particulièrement habile, peu importe qu'il n'ait commis aucune négligence : le paiement à l'escroc ne le libère pas de sa dette envers son créancier.

🚨 Pourquoi cette décision doit vous alerter

Cette clarification a une conséquence pratique très concrète : le risque de la fraude au RIB pèse sur celui qui paie, et non sur celui qui doit être payé. Concrètement, une entreprise qui se fait piéger devra payer deux fois : une fois à l'escroc (perte généralement irrécupérable), une fois à son créancier.

Ce type de fraude ne cesse de se perfectionner : usurpation de l'identité visuelle d'un fournisseur, imitation de son style de communication, parfois même compromission réelle de sa messagerie pour intercepter et modifier les échanges (une « fraude parfaite » d'autant plus difficile à détecter que les échanges proviennent alors de la véritable adresse électronique du créancier). La sophistication de l'attaque ne change rien à la règle : l'absence de faute du débiteur ne suffit pas à le protéger.

Et un recours contre la banque sera difficile si celle-ci s'est bornée à exécuter un ordre de paiement. Certains contrats d'assurance professionnelle (garanties fraude et/ou cyber) peuvent éventuellement être mobilisés, sous réserve de vérifier les conditions de la police d'assurance.

👉 Bonnes pratiques pour minimiser le risque

Cette décision doit être l'occasion de revoir vos processus de paiement, en particulier :

✔️ Mettre en place un processus de paiement sécurisé avec, pour toutes nouvelles coordonnées bancaires : (i) une vérification externe auprès du créancier par un canal indépendant, par exemple via un appel téléphonique sur un numéro déjà connu (jamais celui indiqué dans le message reçu), et (ii) une vérification en interne par une seconde personne.

✔️ Former les équipes qui traitent les factures et les paiements à repérer les signaux d'alerte (changement d'adresse d'expéditeur, urgence inhabituelle, adresse électronique suspecte avec par exemple une légère variation dans le nom de domaine, incohérences dans les communications, fautes d’orthographe, anomalie dans le RIB fourni…).

✔️ Renforcer la cybersécurité de vos outils de messagerie et de facturation (authentification à double facteur, mots de passe complexes, surveillance des accès, antivirus, mises à jour régulières…).

✔️ Souscrire une assurance couvrant les risques de fraude et/ou cyber – à condition de rester par ailleurs vigilant : la plupart des assureurs conditionnent leur garantie au respect de mesures de sécurité minimales.

✔️ Prévoir contractuellement une clause répartissant la charge du risque selon son origine, notamment lorsque la fraude résulte d'une défaillance de sécurité imputable au créancier – une telle clause reste difficile à négocier en pratique, le créancier n'ayant guère intérêt à l'accepter, et suppose donc un rapport de force qui le permette.

En résumé

La vigilance sur ce point est indispensable. Car en cas de fraude, ce n'est pas la bonne foi qui protège, c'est la prévention.

Besoin de discuter d'un projet ? 
Prendre rendez-vous