Faux RIB généré par IA : comment le détecter avant de payer
Faux RIB et fraude au changement de coordonnées bancaires : comment les équipes finance détectent les documents falsifiés par IA avant un virement fournisseur.

Résumer cet article avec
Un faux RIB généré ou modifié par IA se détecte en croisant trois signaux : la cohérence structurelle du document, ses métadonnées, et la confirmation directe auprès du fournisseur par un canal indépendant de celui qui a transmis la demande. Cette fraude, souvent associée à une attaque de type Business Email Compromise (BEC), redirige un virement légitime vers un compte contrôlé par l'attaquant — sans que la facture d'origine soit fausse.
Cet article est fourni à titre informatif et ne constitue pas un conseil juridique ou réglementaire.
Comment fonctionne la fraude au changement de RIB combinée au BEC
La fraude au changement de coordonnées bancaires consiste à intercepter ou imiter une communication d'un fournisseur pour faire accepter un nouveau RIB, alors que la facture sous-jacente est réelle et le montant dû exact. L'attaquant ne fabrique pas un service fictif : il détourne un paiement dû à un tiers légitime en substituant l'IBAN au dernier moment.
Deux scénarios dominent. Le premier : compromission de la messagerie du fournisseur, ou domaine visuellement proche, avec un e-mail de "mise à jour de nos coordonnées bancaires" adressé au service comptable. Le second, proche de la fraude au président (FOVI) : usurpation de l'identité d'un dirigeant pour ordonner un virement urgent, un RIB joint donnant une apparence de légitimité administrative.
En 2024, la fraude par manipulation — catégorie qui inclut les faux ordres de virement et les changements de RIB frauduleux — représentait 32 % du montant total de la fraude aux moyens de paiement en France, soit environ 382 millions d'euros, selon le rapport annuel 2024 de l'Observatoire de la sécurité des moyens de paiement de la Banque de France. Le virement reste le moyen de paiement le plus rentable à détourner une fois la manipulation réussie, précisément parce qu'il est irrévocable dès son exécution.
Tracfin qualifie ce schéma de "faux ordre de virement" (FOVI) : sa cellule peut demander en urgence le blocage d'un compte destinataire à l'étranger, à condition d'être saisie avant que les fonds ne transitent vers des comptes de rebond — une fenêtre qui se compte souvent en heures.
Le rôle de l'IA générative dans les faux RIB modernes
L'IA générative abaisse le coût et le temps nécessaires pour produire un RIB visuellement crédible, sans compétences graphiques ni accès à un original.
Un modèle de génération d'image reproduit l'en-tête, le logo et la mise en page d'une banque française à partir de quelques exemples trouvés en ligne, produisant un gabarit réutilisable pour plusieurs cibles. Un grand modèle de langage rédige l'e-mail d'accompagnement dans un français impeccable, y compris pour des attaquants non francophones. Des outils d'édition de PDF, combinés ou non à l'IA, permettent aussi de modifier un seul champ — l'IBAN — sur un RIB authentique intercepté, sans retoucher le reste du document.
L'ANSSI, via le CERT-FR, documente depuis plusieurs années la professionnalisation des campagnes de fraude au président et recommande une double vérification par un canal distinct pour toute demande de virement ou de changement de coordonnées bancaires. La recommandation n'a pas changé avec l'IA générative — elle est devenue plus urgente, le contenu du message n'étant plus un indicateur fiable.
Notre approche combine analyse structurelle, vérification des métadonnées et validation croisée sur plusieurs champs par document ; une couche additionnelle de signaux de génération IA peut être activée selon la configuration retenue, en complément des contrôles existants.
Les signaux d'alerte à vérifier avant tout virement
Un faux RIB généré par IA se repère rarement à la qualité visuelle du document : il se repère à la cohérence entre le document, son historique de transmission et les référentiels bancaires officiels.
Le code banque correspond-il à un établissement réellement actif ?
Le code banque (cinq premiers chiffres après le code pays et la clé de contrôle dans l'IBAN) doit correspondre à un établissement recensé dans les référentiels du Comité Français d'Organisation et de Normalisation Bancaires (CFONB). Un code attribué à un établissement absorbé, fermé ou inexistant est un signal immédiat. Notre guide sur la vérification de RIB et d'IBAN détaille l'algorithme Mod-97 et les tables de correspondance à utiliser en interne.
Le canal de communication a-t-il changé sans justification ?
Une demande de changement de RIB reçue uniquement par e-mail, sans confirmation orale via un numéro déjà enregistré, doit être considérée comme suspecte : les fraudeurs exploitent la routine administrative d'un service comptable qui traite souvent ces demandes comme banales.
Les métadonnées du PDF sont-elles cohérentes avec l'expéditeur déclaré ?
Un RIB authentique porte des métadonnées cohérentes avec l'infrastructure documentaire de l'émetteur. Un fichier édité avec un logiciel de retouche générique, ou dont la modification est postérieure de plusieurs semaines à l'émission apparente, trahit une manipulation — même si le rendu visuel est irréprochable.
La demande s'accompagne-t-elle d'une pression temporelle inhabituelle ?
Une urgence artificielle ("le virement doit partir aujourd'hui", "notre ancien compte est bloqué") est l'un des marqueurs comportementaux les plus constants des fraudes au changement de RIB et des FOVI. Selon le CERT-FR, la sensibilisation continue des équipes comptabilité et trésorerie, associée à une double vérification par un canal distinct, reste la principale contre-mesure face à ces attaques, dont le mode opératoire évolue en permanence.
Prêt à automatiser vos vérifications ?
Pilote gratuit sur vos propres documents. Résultats en 48 h.
Demander un pilote gratuitÉtapes de la fraude et signaux d'alerte correspondants
| Étape | Ce qui se passe | Signal d'alerte | Action |
|---|---|---|---|
| Reconnaissance | Repérage d'un fournisseur et de son contact comptable | Aucun signal visible | Limiter la diffusion des contacts comptables |
| Usurpation | Messagerie piratée ou domaine proche (typosquatting) | E-mail différent de l'historique | Vérifier le domaine caractère par caractère |
| Envoi du faux RIB | RIB doctoré ou généré par IA joint à l'e-mail | Code banque inconnu, métadonnées incohérentes | Vérification CFONB + métadonnées |
| Pression à l'exécution | Relance invoquant urgence ou blocage de compte | Délai anormalement court | Contre-appel sur un numéro enregistré |
| Virement exécuté | Fonds dispersés vers des comptes mules en heures | Paiement déjà validé | Alerte banque + signalement Tracfin |
Le virement étant plus difficile à annuler qu'un chèque une fois exécuté, l'essentiel de la prévention doit intervenir avant l'étape finale du tableau — un principe que rappelle la fiche réflexe de cybermalveillance.gouv.fr sur les faux ordres de virement.
Ce que les entreprises victimes se demandent après coup
Les échanges sur les forums bancaires grand public et les retours d'associations de consommateurs font remonter les mêmes interrogations, une fois la fraude constatée. Les entreprises victimes s'interrogent souvent sur la responsabilité de leur banque, qui doit désormais vérifier la concordance du nom du bénéficiaire pour les virements SEPA (Verification of Payee), sans effet rétroactif sur les virements déjà exécutés. D'autres s'interrogent sur les chances réelles de récupérer les fonds — elles chutent fortement après les premières heures, le temps que les fonds soient répartis sur des comptes de rebond, d'où l'insistance de Tracfin sur la rapidité du signalement. Une troisième question récurrente porte sur l'assurabilité du sinistre : certaines polices de cyberassurance excluent la fraude au virement lorsque l'entreprise n'a pas respecté une procédure de double vérification documentée.
Protocole de vérification pour les équipes comptabilité fournisseurs
Un protocole structuré transforme une vigilance individuelle, dépendante de la charge du jour, en un contrôle systématique. Premièrement, isoler tout changement de RIB du flux normal des factures : aucune modification ne doit être enregistrée par la personne qui l'a reçue. Deuxièmement, appliquer un contre-appel sur un numéro déjà connu — jamais celui figurant sur le nouveau document. Troisièmement, vérifier le code banque et la clé RIB par rapport aux référentiels CFONB avant mise à jour dans l'ERP. Quatrièmement, analyser les métadonnées du PDF reçu pour repérer un logiciel d'édition incohérent ou une date de modification suspecte. Cinquièmement, documenter chaque validation — vérificateur, date, canal — pour disposer d'un journal exploitable en cas de contrôle ou de litige avec l'assureur.
Une part significative des fraudes documentaires échappe aux contrôles manuels : selon l'ACFE, seuls 37 % des cas de fraude occupationnelle sont détectés par des contrôles actifs, contre un délai moyen de détection de 87 jours toutes causes confondues, d'après le Report to the Nations 2024 de l'ACFE — un délai incompatible avec un virement déjà exécuté et des fonds déjà dispersés.
Pour les équipes qui traitent aussi les factures, le protocole de rapprochement à trois voies et de vérification des identifiants fournisseurs complète les contrôles spécifiques au RIB, notamment lorsque facture et changement de coordonnées arrivent dans le même envoi.
Cadre réglementaire et déclaratif applicable en France
Une entreprise victime d'un virement frauduleux dispose de recours limités mais définis par le droit français et européen, à condition d'agir vite et de documenter sa démarche. La qualification pénale de faux et usage de faux (articles 441-1 et suivants du Code pénal) s'applique à la fabrication d'un RIB falsifié, indépendamment de la responsabilité bancaire. Pour les entités assujetties aux obligations LCB-FT au titre de l'article L.561-2 du Code monétaire et financier, toute opération suspecte liée à un changement de coordonnées bancaires doit faire l'objet d'une déclaration à Tracfin, indépendamment du succès de la tentative.
Selon PwC, une large majorité des entreprises françaises interrogées déclare avoir été confrontée à au moins une tentative de fraude ces dernières années, d'après les publications de PwC France sur la fraude en entreprise. L'ACPR recommande aux établissements de crédit d'intégrer les typologies de FOVI dans leur dispositif de surveillance, en cohérence avec les orientations du GAFI sur les risques liés à l'IA dans la fraude financière.
Comment CheckFile complète vos contrôles anti-fraude
Un outil de vérification documentaire ne remplace pas le contre-appel téléphonique ni la vigilance humaine : il réduit le temps et la charge cognitive nécessaires pour traiter chaque changement de RIB avec la même rigueur, quel que soit le volume du jour. La plateforme CheckFile automatise le contrôle du code banque, la vérification de la clé RIB et l'analyse des métadonnées.
CheckFile analyse vos dossiers et signale les indices de contenu généré par IA, en complément de vos contrôles existants. Cette couche ne prétend pas intercepter la totalité des faux RIB en circulation — aucun outil ne peut raisonnablement le garantir face à des méthodes en constante évolution — mais elle réduit la dépendance exclusive au jugement visuel d'un opérateur sous pression de délai. Pour les obligations KYC renforcées, la solution CheckFile pour le secteur bancaire applique la même logique de validation croisée aux justificatifs d'identité et aux relevés de compte.
Voir aussi la détection de documents générés par IA et deepfakes, et pour une vue d'ensemble sectorielle, notre guide de la vérification documentaire par industrie. Les tarifs sont disponibles pour les équipes souhaitant évaluer un pilote.
Questions fréquemment posées
Comment reconnaître un faux RIB généré par IA avant de valider un virement ?
Vérifiez que le code banque correspond à un établissement actif dans les référentiels CFONB, que la clé RIB respecte l'algorithme Mod-97, et confirmez le changement par un appel sur un numéro déjà enregistré — jamais celui du document reçu. L'examen visuel seul ne suffit pas : les outils de génération d'image reproduisent fidèlement les en-têtes et logos bancaires.
Que faire immédiatement après un virement frauduleux vers un faux RIB ?
Contactez votre banque pour demander un blocage ou un rappel de fonds, même si les chances de succès diminuent avec le temps. Signalez l'opération à Tracfin si votre organisation y est assujettie, conservez les e-mails et métadonnées du dossier, et déposez plainte pour faux et usage de faux ou escroquerie.
Une entreprise non soumise à la LCB-FT doit-elle signaler une fraude au RIB ?
Non, les entreprises non assujetties à l'article L.561-2 du Code monétaire et financier n'ont pas d'obligation légale envers Tracfin. Elles sont toutefois encouragées à déposer plainte rapidement, d'autant que certains contrats de cyberassurance conditionnent l'indemnisation à un signalement dans des délais précis.
Un RIB techniquement valide peut-il quand même être frauduleux ?
Oui. Un fraudeur peut ouvrir un compte sous une fausse identité ou via un compte mule et obtenir un IBAN parfaitement valide selon l'algorithme de contrôle. La validité mathématique de l'IBAN ne garantit ni la légitimité du titulaire ni l'authenticité de la demande — seule la vérification directe auprès du fournisseur habituel lève ce doute.
Restez informé
Recevez nos analyses conformité et guides pratiques, directement dans votre boîte mail.