Numerama raconte ce 26 avril l’arnaque IBAN qui ridiculise les services compta français : un email parfaitement ciselé, une vraie facture jointe, un nouveau RIB à mettre à jour de toute urgence. La victime paie, et l’argent file vers un compte étranger ou une néobanque. Au premier semestre 2025, plus de 230 millions d’euros sont partis ainsi, en hausse de 44 % sur un an. La parade légale arrive (loi du 6 novembre 2025, fichier des comptes frauduleux opérationnel en mai 2026), mais en attendant, voici comment le piège fonctionne et les réflexes qui empêchent un virement de finir dans la nature.
Sommaire
Le scénario type : un email qui imite votre fournisseur habituel
L’arnaque commence presque toujours par un email envoyé à une adresse précise du service compta — souvent récupérée sur la page « contact » du site de l’entreprise ou sur LinkedIn. L’expéditeur se fait passer pour un fournisseur récurrent, en général un partenaire avec qui des virements transitent depuis des mois. Le mail annonce un changement de coordonnées bancaires « suite à un changement de banque » ou « à une réorganisation interne ». Une vraie facture (souvent récupérée par phishing antérieur ou achetée sur un forum) est jointe, et le nouvel IBAN figure soit en pièce jointe soit dans le corps du mail.
Tout est calibré pour que l’opération paraisse normale. Charte graphique du fournisseur recopiée. Signature électronique avec photo, fonction et coordonnées plausibles. Numéro de facture qui s’inscrit dans la séquence des factures réelles. Adresse expéditeur qui ressemble à s’y méprendre à la vraie (parfois à un caractère près : un « rn » pour « m », un domaine en .co au lieu de .com). Le service compta, pressé par les délais de paiement et un volume de factures à traiter, ne décroche pas son téléphone pour vérifier. Le virement part. Et quand le vrai fournisseur réclame son dû quelques semaines plus tard, l’argent est introuvable.
Pourquoi ça marche aussi bien : la faille humaine plus que la faille technique
Aucun piratage informatique n’est nécessaire pour réussir cette fraude. Pas de malware, pas de cheval de Troie, pas de zero-day. C’est de l’ingénierie sociale pure : faire croire à une opération légitime à un humain qui n’a pas le temps de douter. Les escrocs travaillent en équipes structurées, achètent des bases de données d’entreprises sur le dark web, identifient les fournisseurs récurrents en croisant les sites publics et les annonces officielles (BODACC, Infogreffe), puis adaptent l’email à chaque cible. La même équipe peut envoyer 200 mails ciblés en une journée et n’en avoir besoin que d’un qui aboutit.
Les montants détournés varient de quelques milliers d’euros (PME qui paient une facture courante) à plusieurs centaines de milliers (grand compte qui solde un projet). En 2025, plusieurs cas médiatisés ont dépassé le million d’euros sur un seul virement. Les statistiques des plaintes déposées montrent que la fraude touche autant les TPE/PME que les grandes entreprises ou les collectivités, et qu’elle se répand par vagues coordonnées : un même groupe peut frapper 50 cibles en une semaine en utilisant la même usurpation. Le profil reste similaire à d’autres escroqueries professionnelles comme les faux coursiers bancaires qui jouent sur la même mécanique d’autorité fictive.
9 octobre 2025 : la vérification IBAN/nom devient obligatoire
La directive européenne sur les paiements instantanés a imposé aux banques françaises, depuis le 9 octobre 2025, un contrôle automatique de cohérence entre l’IBAN saisi et le nom du bénéficiaire renseigné. C’est ce qu’on appelle la VOP (Verification of Payee). Concrètement, quand vous demandez un virement, votre banque interroge en temps réel la banque destinataire pour savoir si l’IBAN correspond bien au titulaire que vous avez indiqué. Trois réponses possibles : « concordance » (vert, le virement passe), « concordance partielle » (orange, vous voyez le vrai nom du titulaire et arbitrez), « pas de concordance » (rouge, alerte forte).
Le service est gratuit et obligatoire pour tous les virements SEPA. Il fonctionne aussi bien pour les particuliers que pour les entreprises. Mais il a une limite : si l’arnaqueur a ouvert un compte à un nom proche du fournisseur (par exemple « MARTINE BTP SAS » au lieu de « MARTIN BTP SAS »), la concordance partielle n’arrête pas tout le monde. La VOP est une protection nécessaire, pas suffisante. Le service compta doit lire les alertes orange et ne pas valider mécaniquement quand le bouton « ignorer et continuer » apparaît.
Mai 2026 : le fichier national des comptes frauduleux entre en service
La loi 2025-1058 du 6 novembre 2025, votée pour renforcer la lutte contre la fraude bancaire, prévoit la mise en place d’un fichier national des comptes frauduleux opéré par la Banque de France. Cette base centralisée doit être opérationnelle en mai 2026. Concrètement, dès qu’une banque ou un établissement de paiement identifie un compte comme ayant servi à une fraude, il l’inscrit dans le fichier. Toutes les autres banques peuvent alors interroger la base avant de valider un virement et bloquer automatiquement les transferts vers ces comptes-poubelles.
Pour les escrocs, c’est un coup dur. Aujourd’hui, ils ouvrent un compte mule chez une néobanque, font transiter quelques semaines, ferment et passent au suivant. Demain, dès qu’un compte sera « grillé » par une fraude détectée, il sera bloqué partout en quelques heures. Les fraudeurs devront ouvrir plus de comptes, plus vite, ce qui augmente leur exposition aux contrôles KYC et complique la rentabilité du système. La même logique a été déployée par la Caisse d’Épargne et BPCE depuis fin 2025 sur leur réseau interne, avec des résultats encourageants — environ 30 % des virements suspects désormais bloqués.
Les 4 réflexes qui sauvent un virement
Premier réflexe, et le plus efficace : tout changement de RIB d’un fournisseur déclenche un appel téléphonique au numéro habituel du contact. Pas le numéro indiqué dans l’email suspect, le numéro que vous avez en base depuis trois ans. Si la personne ne décroche pas, vous attendez. Les vrais fournisseurs comprennent que la sécurité prime sur le délai. Cette simple règle aurait évité la quasi-totalité des fraudes récentes.
Deuxième réflexe : examinez l’adresse email expéditeur caractère par caractère. Les arnaques utilisent souvent des domaines très proches du vrai (avec un tiret, un « 0 » à la place d’un « o », une extension différente). Affichez l’email source si nécessaire. Troisième réflexe : si le mail vient d’un domaine légitime mais que le ton est inhabituel ou pressant, c’est un signe que la boîte email du fournisseur a peut-être été piratée. Quatrième réflexe : vérifiez que l’IBAN annoncé est bien français (FR) et pas étranger pour un fournisseur français. Les comptes mules sont souvent domiciliés en Lituanie, en Estonie ou aux Pays-Bas via des néobanques qui ne pratiquent pas un KYC strict.
Si le virement est déjà parti, agissez dans les 13 mois
La règle est simple : plus vous réagissez vite, plus vous augmentez vos chances de récupérer l’argent. Dans la première heure, contactez votre banque pour demander le rappel du virement (recall SEPA). Si l’argent est encore sur le compte du fraudeur, la banque destinataire peut bloquer et restituer. Au-delà de quelques jours, l’argent est généralement déjà retiré ou transféré, mais une plainte pénale reste indispensable pour engager toute procédure de recouvrement et faire valoir l’éventuelle responsabilité de la banque émettrice.
Le délai légal pour contester un virement frauduleux est de 13 mois. Au-delà, vous perdez tout recours bancaire. Pendant ce délai, vous pouvez demander à votre banque le remboursement si vous prouvez que vous avez été victime d’une manœuvre frauduleuse caractérisée — la jurisprudence 2026 est devenue plus favorable aux victimes, surtout quand la VOP n’a pas été correctement appliquée. Déposez plainte à la gendarmerie ou au commissariat (le formulaire en ligne sur masecurite.interieur.gouv.fr fonctionne aussi), conservez tous les emails et la facture frauduleuse, et signalez le compte récipiendaire à votre banque pour qu’il soit ajouté au fichier des comptes frauduleux. Le pattern reste proche d’autres fraudes au paiement comme l’arnaque Chronopost aux frais de douane, où la rapidité de signalement détermine en grande partie la récupération.
L’impact pour vous
L’arnaque IBAN n’est plus une fraude exotique réservée aux grands groupes : elle frappe désormais TPE, associations, copropriétés, professions libérales et collectivités. La règle d’or à imprimer en grand au-dessus du bureau du service compta : un changement de RIB se valide par téléphone, jamais par email. La VOP entrée en vigueur le 9 octobre 2025 et le fichier national des comptes frauduleux qui démarre en mai 2026 vont rabattre la pression côté technique, mais les escrocs s’adaptent en jouant sur des noms quasi identiques aux vrais titulaires. Si un email vous demande de mettre à jour des coordonnées bancaires « en urgence », traitez-le comme une menace : appel au contact habituel, vérification visuelle de l’expéditeur, double validation hiérarchique au-dessus de 5 000 euros. Les 230 millions volés au premier semestre 2025 montrent que c’est encore aujourd’hui la principale faille des entreprises françaises.
