Selon le ministère de l’Intérieur, les escroqueries et abus de confiance en matière de délinquance financière ont augmenté de 24% entre 2013 et 2018. En 2022, 1 entreprise sur 2 a subi au moins une tentative de fraude. Les entreprise sont la cible prioritaire de nombreux types d’escrocs et sont soumises à de nombreuses menaces comme l’arnaque au RIB. En combinant ingénierie sociale et cyberfraude, ces derniers arrivent à extorquer les sommes substantielles aux entreprises de toutes tailles. Zoom sur l’arnaque au RIB en entreprise et les manières de s’en prémunir efficacement.
Trustpair bloque l’arnaque au RIB en contrôlant les tiers et leurs coordonnées bancaires automatiquement tout au long de la chaîne de paiement. Contactez un expert pour en savoir plus et éradiquer la fraude!
Arnaque au RIB : de quoi s’agit-il ?
L’escroquerie au faux RIB consiste en un changement frauduleux des coordonnées de paiement d’un fournisseur au profit d’un tiers escroc ou complice. Ce type d’arnaque appartient à la grande famille des arnaques au virement bancaire. L’escroc, par divers procédés frauduleux, va se faire passer pour un partenaire habituel de l’entreprise. Il effectue alors un changement de coordonnées bancaires à son profit. Le virement arrive ainsi jusqu’à son compte bancaire.
En pratique, ce type d’arnaque est particulièrement redoutable, surtout qu’il est généralement détectée tardivement. La fraude au RIB exploite le processus normal de paiement de l’entreprise victime, ce qui nécessite d’adopter quelques bonnes pratiques pour s’en prémunir efficacement. Selon une étude menée par Euler Hermès DFCG en 2021, 2 entreprises sur 3 ont subi au moins ce type de tentative de fraude.
Lorsque le vrai fournisseur émettra une facture, son règlement interviendra sur les nouvelles coordonnées bancaires objet de l’escroquerie. Selon la méthode des escrocs, au RIB frauduleux peuvent être jointes une ou plusieurs fausse(s) facture(s), on parlera alors de fraude aux faux fournisseurs.
Mode de fonctionnement de la fraude au RIB
Contrairement à la fraude au président, ce type d’escroquerie est relativement facile à mettre en œuvre puisqu’il ne nécessite aucune information confidentielle sur l’entreprise. Il suffit simplement de créer une fausse adresse mail et un RIB. De simples connaissances basiques en ingénierie sociale suffisent généralement pour tromper la vigilance des entreprises les moins protégées.
Les escrocs qui sévissent par ce biais récupèrent généralement des informations en accès libre sur le web, concernant notamment les relations commerciales entretenues par l’entreprise. Par exemple, il est possible de déterminer d’éventuels fournisseurs partenaires grâce aux références client. De même, l’adresse de domiciliation de l’entreprise peut permettre, après quelques recherches, d’identifier le bailleur.
De plus, le cybercriminel a besoin d’un point d’entrée dans l’entreprise cible. Il doit déterminer en amont une personne ayant le pouvoir d’administrer le fichier des RIB fournisseurs de l’entreprise. Or, ces personnes sont facilement identifiables grâce à quelques recherches sur les réseaux sociaux professionnels.
Arnaque au RIB et fraude au faux fournisseur
Ce type de fraude est basé sur une arnaque RIB et peut facilement s’avérer plus redoutable. Cela explique pourquoi la fraude au faux fournisseur est aujourd’hui la menace n°1 en entreprise.
Selon le baromètre Euler Hermès DFCG 2021, ce type de fraude est « cité par 46% des répondants ».
La technique est relativement simple et bien rodée. Elle s’articule en deux temps :
- l’escroc va se faire passer pour un responsable de l’entreprise cliente (expert comptable, trésorier, directeur financier…) auprès du fournisseur et lui demander des informations sur les factures en attente de paiement
- le cybercriminel contacte l’entreprise cliente et effectue une arnaque au RIB en joignant au mail les factures correspondantes. Il peut même pratiquer un escompte afin d’inciter l’entreprise à effectuer le paiement immédiatement : plus le laps de temps entre le début de l’escroquerie et le paiement effectif est court, plus les chances de réussite de l’arnaque au faux fournisseur sont élevées.
Arnaque au RIB : pourquoi est-elle si dangereuse pour votre entreprise ?
L’arnaque RIB est une fraude redoutable pour plusieurs raisons :
- elle exploite les processus normaux de paiements d’une entreprise contrairement à la fraude au président qui relève d’une situation exceptionnelle pouvant attirer la suspicion des parties prenantes ;
- sa détection peut être tardive, du moins jusqu’à la relance pour absence de paiement du véritable fournisseur. Dès lors, il est impossible pour l’entreprise d’effectuer un recall de virement ;
- la plupart des opérateurs ignorent que la banque n’a aucune obligation de vérification du destinataire du paiement. Elle n’a donc pas théoriquement à se soucier des rapports sous-jacents entre le donneur d’ordre et le bénéficiaire du paiement.
Comment se prémunir contre les arnaques RIB ?
La prévention est la seule solution viable pour lutter contre les arnaques au RIB. Chaque maillon de l’entreprise disposant d’un droit d’édition sur les coordonnées bancaires doit être sensibilisé à ce type de fraude. Outre la sensibilisation, l’entreprise doit mettre en place de solides procédures de KYC (Know Your Customer) et KYS (know your suppliers) au moyen d’outils adaptés.
Fraude au RIB et sensibilisation des collaborateurs
Une des solutions pour éviter une arnaque au RIB est bien entendu la sensibilisation de ses collaborateurs. Il s’agit de les tenir informés des principales techniques employées par les fraudeurs et des bonnes pratiques à adopter en cas de doute.
Cela passe par une vérification scrupuleuse des coordonnées bancaires avant de procéder au virement. Si un fournisseur informe d’un changement d’IBAN, il convient de lui demander un RIB et de l’appeler via son numéro de téléphone habituel afin de s’assurer qu’il est l’auteur du mail en question.
Le process KYS contre les arnaques RIB
Afin de protéger l’entreprise contre la fraude au prélèvement SEPA et de déceler les cas de fraudes, il apparaît opportun de mettre en place des process, notamment via :
- le contre-appel du fournisseur ;
- la validation du changement de RIB.
Ainsi, lorsqu’une demande de changement de RIB fournisseur est instruite, un des processus classiques de protection contre la fraude financière implique d’effectuer un contre appel auprès de l’interlocuteur habituel du fournisseur (et non celui identifié sur la nouvelle facture). Il sera aisé pour ce dernier de confirmer ou d’infirmer le changement de domiciliation bancaire et de la véracité de la facture reçue.
A noter que la procédure de contre appel doit aussi être mise en place en cas de changement d’interlocuteur responsable de la facturation côté fournisseur.
De même, les changements de domiciliation bancaire doivent faire l’objet d’une seconde validation. Elle peut être réalisée par une personne formée et/ou sensibilisée à la fraude aux entreprises (un manager expérimenté par exemple). Sur ce point, il apparaît opportun de dispenser des formations adaptées. Les thèmes abordés sont alors la cybercriminalité et la protection contre la fraude pour rendre efficaces les doubles vérifications.
Pour éviter la vérification manuelle de chaque donnée fournisseur, longue et chronophage, vous pouvez vous doter d’outils modernes et efficaces. La solution Trustpair vous permet de détecter en temps réel les anomalies contenues dans votre base, de garder la preuve des contrôles effectués et de conserver une base de données fournisseurs saine suite à l’ajout ou au changement des coordonnées d’un tiers.
Les outils KYS contre la fraude au RIB
Pour augmenter leur chance de réussite et éviter les recall de virement SEPA, les escrocs peuvent privilégier des comptes étrangers. De plus, dans certains pays, les processus d’ouverture de compte sont facilités de sorte qu’il est plus facilement possible d’usurper une identité.
Or, il est aujourd’hui possible de connaître la domiciliation étrangère à partir d’un IBAN figurant sur le RIB. La vérification de l’identité bancaire du bénéficiaire permet de renforcer l’efficacité des process de contrôle.
En effet, l’IBAN comporte dans ces deux premiers caractères le code BIC. Celui-ci permet d’identifier le pays de l’établissement bancaire (FR pour la France) dans lequel le compte a été ouvert. Avec un peu d’acuité visuelle et une certaine vigilance, il est aisé de déterminer le changement de domiciliation bancaire vers un pays étranger, de quoi éveiller des suspicions légitimes.
Toutefois, conscient de ces facilités, de plus en plus d’escrocs s’orientent vers l’ouverture de compte en France afin de renforcer la crédibilité de l’escroquerie au RIB.
Dès lors, d’autres outils de vérification automatiques des coordonnées bancaires comme Trustpair peuvent être utilisés pour contrer l’arnaque au RIB. Ces outils réalisent des vérifications de concordances entre les entreprises enregistrées et les coordonnées bancaires associées. En cas d’incohérence, l’outil alerte immédiatement l’utilisateur.
Comment obtenir le remboursement d’une arnaque RIB ?
Au regard des caractéristiques d’une arnaque RIB, la banque ne peut voir sa responsabilité engagée pour obtenir un remboursement. Il est toutefois possible d’envisager dans des cas limités la procédure de recall de virement, ou rappel des fonds, prévue par le Règlement européen 260/2012.
Il s’agit d’une procédure spécifique prévue dans l’espace unique de paiement en euros (SEPA). Le recall consiste pour le titulaire du compte à demander à son établissement bancaire de récupérer les sommes auprès de la banque du bénéficiaire, notamment en cas de fraude de ce dernier.
Les conditions d’une telle action sont doubles :
- les sommes sont encore disponibles sur le compte du bénéficiaire ;
- la banque de ce dernier appartient à l’espace SEPA.
En pratique, l’escroc utilise souvent un compte offshore hors espace SEPA lors d’une fraude au RIB ou d’un changement frauduleux de domiciliation bancaire. Cela, en plus d’un laps de temps souvent important entre l’erreur de virement et sa découverte puisque l’escroquerie est généralement découverte quand le véritable fournisseur sollicite le paiement de sa facture.
Dès lors, l’escroc ayant déjà eu le temps de faire transiter les sommes litigieuses à maintes reprises sur divers comptes, il apparaît impossible de les récupérer via le mécanisme du recall. Il est fortement recommandé de collecter un maximum de preuves qui vous permettront de prouver l’existence de cette arnaque. Vous pouvez également déposer plainte au commissariat ou à la gendarmerie et envoyer une copie de cette plainte à votre banque.
Remarque : A noter que la contestation et l’opposition ne sont pas possibles dans le cadre d’une arnaque RIB ou d’une fraude au faux fournisseur.
Pour conclure…
- Les escroqueries et abus de confiance en matière de délinquance financière ont augmenté de 24% entre 2013 et 2018.
- L’arnaque au RIB est une escroquerie facile à mettre en oeuvre et extrêmement lucrative.
- Conscients de ces facilités, de plus en plus d’escrocs s’orientent vers l’ouverture de comptes en France. Leur objectif est de renforcer la crédibilité de l’escroquerie au RIB.
- Difficilement décelée par l’entreprise, seule la prévention permet de lutter efficacement contre ces arnaques.
- Le recall est possible dans lorsque les sommes sont encore disponibles sur le compte du bénéficiaire et que la banque de ce dernier appartienne à l’espace SEPA.
- Afin de protéger l’entreprise contre la fraude au RIB et de déceler les cas de fraudes, il est préférable d’automatiser les contrôles des données de tiers avec une solution comme Trustpair.
