Skip to content
Cas clientTarifsSécuritéComparatifBlog

Europe

Americas

Oceania

Industrie11 min de lecture

Faux RIB par IA en Belgique : le détecter avant paiement

Faux RIB et fraude au changement de coordonnées bancaires en Belgique : comment les équipes finance détectent un IBAN falsifié par IA avant un virement.

L'équipe CheckFile
L'équipe CheckFile·
Illustration for Faux RIB par IA en Belgique : le détecter avant paiement — Industrie

Résumer cet article avec

Un faux RIB généré ou modifié par IA se détecte en croisant trois signaux : la cohérence structurelle de l'IBAN, les métadonnées du document, et la confirmation directe auprès du fournisseur par un canal indépendant. Cette fraude, souvent associée à une attaque de type Business Email Compromise (BEC) — la « fraude au président » selon le Centre pour la Cybersécurité Belgique — redirige un virement légitime vers un compte contrôlé par l'attaquant, sans que la facture d'origine soit fausse.

Cet article est fourni à titre informatif et ne constitue pas un conseil juridique ou réglementaire.

Comment fonctionne la fraude au changement de RIB combinée au BEC

La fraude au changement de coordonnées bancaires consiste à imiter une communication d'un fournisseur pour faire accepter un nouvel IBAN, alors que la facture sous-jacente est réelle et le montant dû exact. L'attaquant détourne un paiement dû à un tiers légitime en substituant l'IBAN au dernier moment, sans inventer de service fictif.

Deux scénarios dominent. Le premier : compromission de la messagerie du fournisseur, ou domaine visuellement proche, avec un e-mail de « mise à jour de nos coordonnées bancaires » adressé au service comptable. Le second, la fraude au président proprement dite : usurpation de l'identité d'un dirigeant pour ordonner un virement urgent, IBAN joint à l'appui.

En 2024, le phishing a rapporté près de 49 millions d'euros aux fraudeurs en Belgique, selon les chiffres 2024 de Febelfin. Febelfin précise que les banques détectent ou récupèrent environ 75 % des transactions frauduleuses liées au phishing — un quart des cas échappe donc à toute récupération, le virement étant irrévocable une fois exécuté.

Le Centre pour la Cybersécurité Belgique (CCB) met en garde contre la recrudescence de la fraude au président, y compris via WhatsApp. La CTIF-CFI, cellule de renseignement financier belge, peut être saisie en urgence pour bloquer un compte destinataire à l'étranger — à condition d'être alertée avant que les fonds ne transitent vers des comptes de rebond, une fenêtre qui se compte en heures.

Le rôle de l'IA générative dans les faux RIB modernes

L'IA générative abaisse le coût et le temps nécessaires pour produire un RIB visuellement crédible, sans compétences graphiques ni accès à un original.

Un modèle de génération d'image reproduit l'en-tête, le logo et la mise en page d'une banque active en Belgique, produisant un gabarit réutilisable pour plusieurs cibles. Un grand modèle de langage rédige l'e-mail d'accompagnement dans un français impeccable, même pour des attaquants non francophones. Des outils d'édition de PDF permettent aussi de modifier un seul champ — l'IBAN — sur un document authentique intercepté, sans retoucher le reste.

Le CCB documente la professionnalisation de ces campagnes et recommande une double vérification par un canal distinct pour toute demande de virement. Cette recommandation n'a pas changé avec l'IA générative — elle est devenue plus urgente, le contenu du message n'étant plus un indicateur fiable.

Notre approche combine analyse structurelle, vérification des métadonnées et validation croisée sur plusieurs champs par document ; une couche additionnelle de signaux de génération IA peut être activée selon la configuration retenue.

Les signaux d'alerte à vérifier avant tout virement

Un faux RIB généré par IA se repère rarement à la qualité visuelle du document : il se repère à la cohérence entre le document, son historique de transmission et les référentiels bancaires officiels.

La structure de l'IBAN belge est-elle respectée ?

L'IBAN belge suit une logique différente du RIB français : « BE » suivi de deux chiffres de contrôle puis de 14 chiffres (par exemple BE68 5390 0754 7034), soit 16 caractères au total — contre 27 pour un IBAN français reconstruit à partir des quatre blocs du RIB. Ces 14 chiffres regroupent un code banque de trois chiffres, un numéro de compte de sept chiffres et une clé de contrôle nationale de deux chiffres, vérifiable par un calcul modulo 97 distinct de celui protégeant l'IBAN dans son ensemble. Un IBAN inventé au hasard échoue presque toujours à ce double contrôle ; un compte mule ouvert sous une fausse identité, en revanche, produit un IBAN mathématiquement valide.

Le code banque à trois chiffres doit correspondre à un établissement réellement actif : la Banque Nationale de Belgique tient à jour la liste des codes d'identification bancaire des établissements agréés. Un code renvoyant à un établissement absorbé, radié ou jamais enregistré est un signal immédiat, même si le document paraît irréprochable.

Le canal de communication a-t-il changé sans justification ?

Une demande de changement d'IBAN reçue uniquement par e-mail, sans confirmation orale via un numéro déjà enregistré, doit être considérée comme suspecte : les fraudeurs exploitent la routine administrative d'un service comptable traitant souvent ces demandes comme banales.

Les métadonnées du PDF sont-elles cohérentes avec l'expéditeur déclaré ?

Un RIB authentique porte des métadonnées cohérentes avec l'infrastructure documentaire de l'émetteur. Un fichier édité avec un logiciel de retouche générique, ou modifié plusieurs semaines après son émission apparente, trahit une manipulation — même si le rendu visuel est irréprochable.

La demande s'accompagne-t-elle d'une pression temporelle inhabituelle ?

Une urgence artificielle (« le virement doit partir aujourd'hui », « notre ancien compte est bloqué ») est l'un des marqueurs comportementaux les plus constants de la fraude au président. Le CCB recommande une sensibilisation continue des équipes comptabilité et trésorerie, associée à une double vérification systématique, comme principale contre-mesure.

Prêt à automatiser vos vérifications ?

Pilote gratuit sur vos propres documents. Résultats en 48 h.

Demander un pilote gratuit

Étapes de la fraude et signaux d'alerte correspondants

Étape Ce qui se passe Signal d'alerte Action
Reconnaissance Repérage d'un fournisseur et de son contact comptable Aucun signal visible Limiter la diffusion des contacts comptables
Usurpation Messagerie piratée ou domaine proche (typosquatting) E-mail différent de l'historique Vérifier le domaine caractère par caractère
Envoi du faux RIB IBAN doctoré ou généré par IA joint à l'e-mail Code banque inconnu, métadonnées incohérentes Vérification via la liste BNB + métadonnées
Pression à l'exécution Relance invoquant urgence ou blocage de compte Délai anormalement court Contre-appel sur un numéro enregistré
Virement exécuté Fonds dispersés vers des comptes mules en heures Paiement déjà validé Alerte banque + signalement CTIF-CFI

Le virement étant difficile à annuler une fois exécuté, l'essentiel de la prévention doit intervenir avant l'étape finale du tableau — un principe que rappelle le point de contact fédéral pour fraudes de la police belge.

Ce que les entreprises victimes se demandent après coup

Les échanges sur les forums bancaires font remonter les mêmes interrogations, une fois la fraude constatée. Les victimes s'interrogent souvent sur la responsabilité de leur banque : depuis le 9 octobre 2025, le règlement européen sur les virements instantanés impose aux prestataires de paiement belges de vérifier la concordance entre le nom du bénéficiaire déclaré et le titulaire de l'IBAN (Verification of Payee) avant tout virement SEPA — sans effet rétroactif sur les virements déjà exécutés. D'autres s'interrogent sur les chances de récupérer les fonds, qui chutent vite une fois répartis sur des comptes de rebond, d'où l'insistance de la CTIF-CFI sur la rapidité du signalement. Une troisième question récurrente porte sur l'assurabilité du sinistre : certaines cyberassurances excluent la fraude au virement en l'absence de double vérification documentée.

Protocole de vérification pour les équipes comptabilité fournisseurs

Un protocole structuré transforme une vigilance individuelle en contrôle systématique. Premièrement, isoler tout changement d'IBAN du flux normal des factures : aucune modification ne doit être enregistrée par la personne qui l'a reçue. Deuxièmement, appliquer un contre-appel sur un numéro déjà connu — jamais celui du nouveau document. Troisièmement, vérifier le code banque et la clé de contrôle nationale par rapport à la liste BNB avant mise à jour dans l'ERP. Quatrièmement, analyser les métadonnées du PDF pour repérer un logiciel d'édition incohérent ou une date de modification suspecte. Cinquièmement, documenter chaque validation — vérificateur, date, canal — pour disposer d'un journal exploitable en cas de litige.

Une part significative des fraudes documentaires échappe aux contrôles manuels : selon l'ACFE, seuls 37 % des cas de fraude occupationnelle sont détectés par des contrôles actifs, contre un délai moyen de détection de 87 jours, d'après le Report to the Nations 2024 de l'ACFE — un délai incompatible avec un virement déjà exécuté et des fonds dispersés.

Pour les équipes qui traitent aussi les factures, le protocole de rapprochement à trois voies et de vérification des identifiants fournisseurs complète les contrôles spécifiques au RIB.

Cadre réglementaire et déclaratif applicable en Belgique

Une entreprise victime dispose de recours limités mais définis par le droit belge et européen, à condition d'agir vite. La qualification pénale de faux en écritures et usage de faux (articles 193, 196 et 197 du Code pénal belge) s'applique à la fabrication d'un IBAN falsifié, indépendamment de la responsabilité bancaire. Pour les entités assujetties aux obligations LCB-FT au titre de la loi du 18 septembre 2017 relative à la prévention du blanchiment de capitaux, toute opération suspecte liée à un changement de coordonnées bancaires doit faire l'objet, sans délai, d'une déclaration à la CTIF-CFI via le portail goAML.

Selon les enquêtes de PwC sur la criminalité économique, la fraude figure de manière récurrente parmi les types de criminalité les plus fréquemment déclarés par les entreprises belges, la cybercriminalité représentant à elle seule 65 % des cas signalés en Belgique (PwC Belgique). La FSMA et la BNB, qui partagent la surveillance prudentielle des établissements financiers, recommandent d'intégrer les typologies de fraude au président dans le dispositif de surveillance des paiements.

Comment CheckFile complète vos contrôles anti-fraude

Un outil de vérification documentaire ne remplace pas le contre-appel téléphonique ni la vigilance humaine : il réduit le temps et la charge cognitive nécessaires pour traiter chaque changement de RIB avec la même rigueur. La plateforme CheckFile automatise le contrôle du code banque, la vérification de la clé de l'IBAN et l'analyse des métadonnées.

CheckFile analyse vos dossiers et signale les indices de contenu généré par IA, en complément de vos contrôles existants. Cette couche ne prétend pas intercepter la totalité des faux RIB en circulation — aucun outil ne peut raisonnablement le garantir — mais elle réduit la dépendance exclusive au jugement visuel d'un opérateur sous pression de délai. Pour les obligations KYC renforcées, la solution CheckFile pour le secteur bancaire applique la même logique aux justificatifs d'identité et aux relevés de compte.

Voir aussi la détection de documents générés par IA et deepfakes, et pour une vue d'ensemble sectorielle, notre guide de la vérification documentaire par industrie. Les tarifs sont disponibles pour évaluer un pilote.

Questions fréquemment posées

Comment reconnaître un faux RIB généré par IA avant de valider un virement ?

Vérifiez que le code banque à trois chiffres correspond à un établissement actif dans la liste BNB, que la clé de contrôle nationale respecte l'algorithme modulo 97, et confirmez le changement par un appel sur un numéro déjà enregistré — jamais celui du document reçu. L'examen visuel seul ne suffit pas : les outils de génération d'image reproduisent fidèlement les en-têtes bancaires.

Que faire immédiatement après un virement frauduleux vers un faux IBAN ?

Contactez votre banque pour demander un blocage ou un rappel de fonds, même si les chances de succès diminuent avec le temps. Signalez l'opération à la CTIF-CFI si votre organisation y est assujettie, déposez plainte auprès de la police, et conservez les e-mails et métadonnées du dossier.

Une entreprise non soumise à la LCB-FT doit-elle signaler une fraude au RIB à la CTIF-CFI ?

Non, les entreprises qui ne figurent pas parmi les entités assujetties énumérées par la loi du 18 septembre 2017 n'ont pas d'obligation légale envers la CTIF-CFI. Elles sont toutefois encouragées à déposer plainte rapidement, d'autant que certains contrats de cyberassurance conditionnent l'indemnisation à un signalement dans des délais précis.

Un IBAN techniquement valide peut-il quand même être frauduleux ?

Oui. Un fraudeur peut ouvrir un compte sous une fausse identité ou via un compte mule et obtenir un IBAN parfaitement valide selon l'algorithme de contrôle. Sa validité mathématique ne garantit ni la légitimité du titulaire ni l'authenticité de la demande — seule la vérification directe auprès du fournisseur habituel lève ce doute.

Restez informé

Recevez nos analyses conformité et guides pratiques, directement dans votre boîte mail.

Prêt à automatiser vos vérifications ?

Pilote gratuit sur vos propres documents. Résultats en 48 h.