Fraude au président par deepfake : récupérer les fonds et engager les recours

Un appel visio de votre PDG, sa voix, son visage, son ton pressé : il vous demande de régler « en urgence et de manière confidentielle » un virement vers un compte étranger, pour boucler une acquisition dont vous n’avez pas entendu parler. Vous exécutez. Quelques heures plus tard, le vrai dirigeant tombe des nues. L’argent est parti. C’est une fraude au président, cette fois « augmentée » par un clonage vocal ou vidéo généré par intelligence artificielle.

Personne ne se demande sérieusement comment vous avez pu être trompé : les meilleures directions financières le sont. Ce qui va se jouer, c’est de savoir qui supporte la perte. Vous, l’entreprise ? La banque ? L’escroc, si on le retrouve un jour ? La réponse ne dépend ni de votre bonne foi, ni du montant, ni même de la sophistication du deepfake. Elle dépend d’un point technique que la quasi-totalité des articles disponibles passe sous silence : la manière exacte dont l’argent est sorti du compte.

L’essentiel : le remboursement par la banque se joue sur une seule distinction. Si le virement constitue une opération de paiement non autorisée, la banque doit vous rembourser de plein droit (article L. 133-18 du Code monétaire et financier), sauf à prouver votre négligence grave. Si vous avez vous-même validé l’ordre avec vos identifiants de sécurité, l’opération est autorisée : ce régime protecteur ne joue pas, et vous n’agissez plus que sur le terrain, bien plus étroit, du devoir de vigilance du banquier. Tout le contentieux se concentre sur cette frontière, tracée par l’article L. 133-6 du même code.

Comment fonctionne la fraude au président « augmentée » par l’IA

La fraude au président repose sur un ressort constant : l’autorité et l’urgence. Un tiers se fait passer pour le dirigeant ou un mandataire de confiance, invoque une opération secrète (rachat d’entreprise, contrôle fiscal, intervention d’un « avocat »), impose la confidentialité pour couper la victime de toute vérification, et pousse à un virement immédiat vers un compte souvent situé à l’étranger.

L’intelligence artificielle ne change pas ce ressort : elle en supprime le dernier garde-fou, le doute. Le clonage vocal reproduit la voix du dirigeant à partir de quelques secondes d’enregistrement public (interview, conférence, message vocal). Le deepfake vidéo va plus loin : un faux dirigeant apparaît en visioconférence, en direct, et répond aux objections. Le collaborateur qui « reconnaît » son patron perd le réflexe de contre-vérification qui l’aurait sauvé face à un simple courriel.

Ces montages s’appuient presque toujours sur un travail de renseignement préalable : compromission d’une boîte mail, connaissance de l’organigramme, du calendrier des dirigeants et des procédures internes. Le deepfake n’est que la couche finale, la plus spectaculaire, d’une ingénierie sociale patiemment préparée.

L’ampleur du phénomène n’a rien d’anecdotique. Selon l’Observatoire de la sécurité des moyens de paiement de la Banque de France, la fraude aux virements a atteint 351 millions d’euros en 2024, en hausse de 12 % sur un an, et la fraude dite « par manipulation » — celle qui englobe la fraude au président et les faux ordres de virement — pèse désormais près d’un tiers du montant total de la fraude aux paiements. Le cas le plus retentissant reste celui d’un groupe d’ingénierie dont un salarié, à Hong Kong, a exécuté des virements pour l’équivalent de plus de 25 millions de dollars après une visioconférence où le dirigeant et les collègues n’étaient que des deepfakes. La cible n’est plus la seule multinationale : la PME, moins outillée en procédures de contrôle, est un terrain de choix.

Liste des escroqueries en ligne et sur internet

Les premières heures : bloquer, alerter, tracer les fonds

Dans une fraude au virement, le nerf de la guerre est le temps. Un virement SEPA ou international ne devient pas irréversible instantanément, mais les fonds sont généralement dispersés en cascade sur d’autres comptes dans les heures qui suivent. Chaque heure perdue réduit vos chances de récupération matérielle des sommes.

Trois actions se mènent en parallèle, jamais l’une après l’autre : alerter votre banque par écrit, demander le rappel des fonds, déposer plainte. Prévenez immédiatement votre banque, par téléphone puis par écrit (courriel, puis courrier recommandé), pour signaler l’opération et demander un rappel des fonds auprès de la banque du bénéficiaire. Ce rappel de fonds est une procédure interbancaire : dans la pratique, son succès dépend de la rapidité de la demande et de la présence, ou non, des sommes sur le compte destinataire. En parallèle, faites opposition sur tout virement programmé non encore exécuté.

Faut-il d’abord prévenir la banque ou déposer plainte ?

Les deux, sans hiérarchie et sans attendre. L’alerte écrite à la banque est prioritaire sur le plan juridique : c’est elle qui déclenche le régime de responsabilité du Code monétaire et financier et fait courir votre droit au remboursement. La plainte, elle, est indispensable pour l’enquête, pour l’assurance et pour toute action ultérieure. L’une ne remplace jamais l’autre.

La plainte se dépose au commissariat, à la gendarmerie ou directement par courrier au procureur de la République. La plateforme THESEE est conçue pour les particuliers victimes d’e-escroqueries : une entreprise victime d’une fraude au président relève du dépôt de plainte classique. Conservez et horodatez toutes les preuves : l’enregistrement de l’appel ou de la visio si vous l’avez, les courriels, les faux ordres, l’IBAN de destination, la chronologie précise des échanges et des validations. Ce sont ces éléments qui feront la différence, tant au pénal que face à la banque.

Escroquerie, faux, usurpation d’identité : ce que dit le droit pénal

La fraude au président par deepfake réunit plusieurs infractions. L’infraction centrale est l’escroquerie (article 313-1 du Code pénal) : tromper une personne par l’usage d’une fausse qualité ou l’emploi de manœuvres frauduleuses, et la déterminer à remettre des fonds. Elle est punie de cinq ans d’emprisonnement et de 375 000 euros d’amende. Le clonage vocal ou vidéo d’un dirigeant constitue précisément la manœuvre frauduleuse et la fausse qualité que vise le texte.

Commise en bande organisée, hypothèse fréquente pour ces montages internationaux structurés, l’escroquerie est portée à dix ans d’emprisonnement et 1 000 000 euros d’amende (article 313-2 du Code pénal). Les faux documents produits pour crédibiliser l’ordre (faux courriel signé du dirigeant, faux mandat, faux contrat d’acquisition) relèvent du faux et usage de faux (article 441-1 du Code pénal) : l’altération frauduleuse de la vérité dans un écrit ayant des conséquences juridiques, punie de trois ans d’emprisonnement et 45 000 euros d’amende.

L’usurpation d’identité (article 226-4-1 du Code pénal) est souvent invoquée : usurper l’identité d’un tiers ou faire usage de données permettant de l’identifier est puni d’un an d’emprisonnement et 15 000 euros d’amende. La voix et le visage clonés du dirigeant sont bien de telles données. Cette qualification appelle une nuance : le texte suppose une intention de troubler la tranquillité de la personne ou de porter atteinte à son honneur, alors que la finalité de la fraude au président est purement patrimoniale. En pratique, l’escroquerie reste la qualification principale, les autres venant en concours.

Le deepfake tombe par ailleurs sous une incrimination spécifique, souvent négligée. Depuis la loi du 21 mai 2024, l’article 226-8 du Code pénal réprime le fait de porter à la connaissance du public ou d’un tiers un contenu visuel ou sonore généré par un traitement algorithmique et reproduisant l’image ou la voix d’une personne sans son consentement, dès lors qu’il n’apparaît pas à l’évidence, ou qu’il n’est pas expressément mentionné, qu’il s’agit d’un contenu généré algorithmiquement : un an d’emprisonnement et 15 000 euros d’amende, portés à deux ans et 45 000 euros lorsque le contenu est diffusé par un service de communication au public en ligne. Le clonage vidéo ou vocal du dirigeant, présenté à un collaborateur comme authentique, entre dans cette définition. La qualification vient s’ajouter à l’escroquerie, sans s’y substituer.

Déposer une plainte n’est pas une formalité. Sur un dossier de cette complexité, une plainte avec constitution de partie civile devant le doyen des juges d’instruction permet, en cas d’inertie du parquet, de forcer l’ouverture d’une information judiciaire et d’accéder à des moyens d’enquête (réquisitions bancaires, coopération internationale) hors de portée d’une plainte simple. Encore faut-il mesurer la place réelle de la victime dans le procès pénal : la procédure vise d’abord l’infraction et son auteur, la réparation civile suivant un chemin propre.

Se faire rembourser par la banque : la distinction qui décide de tout

C’est ici que se gagnent ou se perdent les dossiers. Le remboursement ne dépend pas de savoir si vous avez été « imprudent » au sens courant, mais de la qualification de l’opération au regard de l’article L. 133-6 du Code monétaire et financier : le virement était-il une opération de paiement autorisée, ou non autorisée ? Deux régimes radicalement différents en découlent. Un avocat qui n’établit pas d’abord cette qualification travaille à l’aveugle.

Le réflexe qui conditionne tout : signaler l’opération sans tarder

Aucune stratégie de remboursement ne tient si le signalement est tardif. L’article L. 133-24 du Code monétaire et financier impose de signaler l’opération non autorisée à sa banque sans tarder, et au plus tard dans les treize mois suivant le débit, sous peine de forclusion. Passé ce délai, le droit au remboursement s’éteint, sauf si la banque ne vous a pas fourni les informations sur l’opération.

Ne vous fiez pas au confort apparent des treize mois. La Cour de cassation juge que l’obligation de signaler naît dès la connaissance de l’opération, et qu’un retard fautif, commis délibérément ou par négligence grave, prive le payeur de son droit à correction même à l’intérieur du délai de treize mois (chambre commerciale, 14 janvier 2026, pourvoi n° 22-14.822). La règle pratique est simple : signalez par écrit le jour même où la fraude est découverte, et datez tout.

Virement non autorisé : le remboursement de plein droit

Lorsque l’ordre n’émane pas réellement du titulaire du compte ou de la personne habilitée, l’opération est non autorisée. La banque doit alors rembourser immédiatement le montant débité et rétablir le compte dans son état antérieur (article L. 133-18 du Code monétaire et financier). C’est un remboursement de plein droit : l’absence de faute de la banque ne l’exonère pas.

Point décisif et souvent ignoré : ce régime est exclusif du droit commun. La chambre commerciale l’a posé sans ambiguïté. Dès lors que la responsabilité de la banque est recherchée pour une opération non autorisée, seul s’applique le régime des articles L. 133-18 à L. 133-24 du Code monétaire et financier, à l’exclusion de tout régime alternatif de responsabilité de droit national (Cass. com., 15 janvier 2025, pourvoi n° 23-13.579).

La Cour a fait produire à cette règle ses pleins effets dans un cas de fraude au président par faux ordre de virement. Une comptable avait transmis à la banque un ordre papier prétendument signé par le dirigeant, en réalité faux dès l’origine, au profit d’un compte à l’étranger. Les juges du fond avaient refusé le remboursement en relevant l’absence d’anomalie apparente et les défaillances internes de la société (échanges non sécurisés, absence de processus de contrôle). Cassation : ayant constaté que l’opération n’était pas autorisée, la cour d’appel devait en tirer les conséquences légales, sans opposer ces considérations étrangères au régime spécial (Cass. com., 4 février 2026, pourvoi n° 24-22.320). Face à un faux ordre de virement, ni le devoir de non-immixtion de la banque ni vos propres carences de contrôle internes ne la dispensent de rembourser.

Cette exclusivité a fait disparaître le confortable partage de responsabilité d’antan. Avant, le juge pouvait laisser une part de la perte à la charge de la société trop crédule et l’autre à la banque négligente : deux tiers pour la banque qui avait négligé des indices d’anomalie sur des faux ordres transmis par télécopie, par exemple (Cass. com., 31 janvier 2017, pourvoi n° 15-17.498). Désormais, quand l’opération est non autorisée, c’est tout ou rien.

Ce que la banque devra prouver avant de refuser : l’authentification, puis votre négligence grave

La banque ne peut pas se contenter d’affirmer que vous avez été négligent. Avant de faire peser la perte sur vous, elle doit d’abord prouver que l’opération a été authentifiée, dûment enregistrée, comptabilisée, et non affectée d’une déficience technique (article L. 133-23 du Code monétaire et financier ; Cass. com., 20 novembre 2024, pourvoi n° 23-15.099). La charge de la preuve pèse sur elle, pas sur vous. Le même texte ajoute une précision décisive : l’enregistrement de l’utilisation de l’instrument de paiement ne suffit pas, à lui seul, à établir que vous avez autorisé l’opération ni que vous avez commis une négligence grave. Autrement dit, exhiber une authentification technique réussie ne clôt pas le débat.

Sa seule véritable échappatoire est la négligence grave du payeur (article L. 133-19, IV, du Code monétaire et financier), qui lui fait supporter l’intégralité des pertes. Encore faut-il que cette négligence soit caractérisée, ce que la jurisprudence apprécie strictement :

  • Le spoofing (usurpation du numéro d’appel de la banque) qui met la victime en confiance ne constitue pas une négligence grave, y compris lorsque c’est une salariée qui, trompée par un faux technicien, manipule elle-même le dispositif de sécurité : la banque reste tenue de rembourser (Cass. com., 12 juin 2025, pourvoi n° 24-13.777 ; déjà Cass. com., 23 octobre 2024, pourvoi n° 23-16.267).
  • À l’inverse, répondre à un courriel de phishing présentant de sérieuses anomalies caractérise la négligence grave, et prive de tout remboursement (Cass. com., 1er juillet 2020, pourvoi n° 18-21.487).

Ces solutions ouvrent un argument fort, mais qui reste à plaider : si un simple appel téléphonique usurpant le numéro de la banque n’est pas une négligence grave, un deepfake vidéo, plus trompeur encore, ne devrait pas davantage en constituer une. C’est un raisonnement a fortiori, non une règle acquise : aucune décision publiée ne s’est encore prononcée sur le deepfake lui-même.

Ce point commande une conséquence rude et rarement expliquée : dans le régime de l’opération non autorisée, c’est tout ou rien. Si la négligence grave est retenue, vous supportez seul l’intégralité de la perte ; le juge ne peut plus opérer de partage de responsabilité avec la banque au titre d’un manquement de droit commun à son devoir de vigilance (Cass. com., 15 janvier 2025, précité).

Fraude au conseiller bancaire (spoofing) : comment se faire rembourser par sa banque ?

Virement que vous avez vous-même validé : le terrain difficile du devoir de vigilance

C’est le cas le plus fréquent dans la fraude au président par deepfake, et le plus délicat. Si le comptable, convaincu par la visio, se connecte lui-même à l’espace bancaire et valide le virement avec ses identifiants et son authentification forte, l’opération est, du point de vue de la banque, autorisée : elle émane de la personne habilitée. Le remboursement de plein droit de l’article L. 133-18 ne joue alors pas.

C’est là que se mesure la limite de l’authentification forte. Depuis la deuxième directive sur les services de paiement (DSP2), transposée aux articles L. 133-4 et L. 133-44 du Code monétaire et financier, la banque doit soumettre l’accès au compte et l’initiation d’un paiement à une authentification forte du client — au moins deux facteurs indépendants et, pour les paiements à distance, un lien dynamique entre l’opération, le montant et le bénéficiaire. Ce dispositif protège contre le vol des identifiants, non contre la manipulation : si vous authentifiez vous-même un virement que le deepfake vous a convaincu d’ordonner, l’authentification forte a parfaitement fonctionné, et l’opération est autorisée. L’ingénierie sociale déplace précisément l’attaque du système vers l’humain, là où l’authentification forte n’a plus de prise. Un cadre européen plus strict est en préparation pour mieux répartir la charge des fraudes par usurpation, mais il ne bouleverse pas, à ce jour, la distinction qui commande votre dossier.

Il reste une voie, mais elle est étroite : la responsabilité de la banque de droit commun, pour manquement à son devoir de vigilance en présence d’une anomalie apparente de l’ordre de paiement. Ce devoir est bordé par le principe de non-immixtion : la banque n’a pas à s’ingérer dans les affaires de son client et exécute les ordres réguliers (Cass. com., 12 juin 2024, pourvoi n° 22-19.779). Il faut donc démontrer une anomalie qu’elle aurait dû détecter : bénéficiaire inhabituel, compte à l’étranger sans lien avec l’activité, montant sans rapport avec le fonctionnement habituel du compte.

La jurisprudence la plus récente montre que ce devoir n’est pas théorique, y compris lorsque l’ordre a été validé par le dispositif de sécurité du dirigeant. La chambre commerciale a approuvé la condamnation d’une banque qui avait exécuté sept virements, pour plus de 2,1 millions d’euros, vers un compte à Hong Kong : leur caractère répété et rapproché, leurs montants sans commune mesure avec les opérations habituelles du compte et une destination hors de l’espace d’activité de la société constituaient autant d’anomalies apparentes. Face à ces indices d’une possible fraude au président, la banque devait vérifier la régularité des ordres directement auprès du dirigeant, seule personne habilitée à les valider ; s’être contentée d’appeler la comptable qui avait techniquement passé les ordres ne suffisait pas (Cass. com., 2 octobre 2024, pourvoi n° 23-13.282). La perte a été partagée par moitié entre la banque et la société : sur ce terrain de droit commun, et à la différence de l’opération non autorisée, le juge module l’indemnisation en fonction des fautes respectives. C’est un enseignement pratique fort : la contre-vérification à opérer est un appel au dirigeant lui-même, jamais à celui qui a transmis l’ordre.

Sur ce terrain de droit commun, et sur lui seul, un partage de responsabilité reste concevable, car votre propre faute entre en compte. C’est la ligne de fracture à retenir : la qualification de l’opération, qui dépend de la manière très concrète dont l’ordre est parti — faux ordre transmis à la banque, ou validation par vos propres soins via le dispositif de sécurité — commande à elle seule l’issue. C’est le premier fait à établir, avant toute discussion sur la faute.

Après la fraude : responsabilité interne et prévention

Une fois la question du remboursement traitée, reste celle des responsabilités internes. Le salarié qui a exécuté le virement n’engage, en principe, sa responsabilité civile envers l’employeur qu’en cas de faute lourde, tant la jurisprudence sociale protège le salarié de bonne foi. Un licenciement disciplinaire est juridiquement possible mais rarement solide lorsque le collaborateur a été victime d’un montage indétectable et qu’aucune procédure de contrôle n’existait dans l’entreprise.

Le dirigeant, lui, s’expose à voir discuter une faute s’il n’a mis en place aucun dispositif de vérification alors que le risque était connu. La chambre commerciale retient d’ailleurs, en matière de détournements internes, que l’absence totale de contrôle interne caractérise une faute ayant facilité la fraude et contribué au préjudice (Cass. com., 12 juin 2024, pourvoi n° 22-19.779, précité).

La prévention est ici moins une affaire de technologie que de procédure. Les mesures qui tiennent devant un juge, et qui coupent court à la fraude, sont simples : double validation obligatoire au-delà d’un certain seuil, procédure de rappel (callback) sur un numéro connu et jamais celui indiqué dans la demande, interdiction de principe des virements « urgents et confidentiels » sortant du circuit habituel, vérification systématique de tout changement d’IBAN par un canal indépendant. Une procédure écrite, connue et opposable transforme le collaborateur pressé par un faux dirigeant en rempart, non en maillon faible.

Ce cadre rejoint une autre question, celle des actes accomplis au nom de la société par un faux dirigeant sur la foi d’un faux procès-verbal d’assemblée générale, où l’apparence peut engager la société. Dans tous ces cas, la sécurité juridique passe par des procédures internes robustes et vérifiables.

Questions fréquentes

L’assurance de l’entreprise rembourse-t-elle une fraude au président ?

Rarement de plein droit. Les polices multirisque et les garanties « fraude » couvrent surtout le détournement commis par un salarié ou l’intrusion informatique, et excluent fréquemment le faux ordre de virement exécuté par un préposé trompé, analysé comme une remise volontaire des fonds. Une garantie dédiée aux faux ordres de virement, souvent adossée à une police cyber, existe, mais subordonne l’indemnisation au respect des procédures internes de contrôle prévues au contrat. Vérifiez l’étendue exacte de vos garanties et déclarez le sinistre sans délai.

Peut-on récupérer des fonds virés sur un compte à l’étranger ?

C’est possible, mais rare et affaire d’heures. La première voie est le rappel de fonds interbancaire, efficace seulement si les sommes n’ont pas déjà été redispersées. Au-delà, la récupération suppose une enquête pénale, l’entraide judiciaire internationale et d’éventuelles saisies, dont l’issue dépend largement du pays de destination. Plus le signalement est tardif, plus les fonds sont dilués en cascade et hors d’atteinte.

Un deepfake très réaliste prive-t-il du droit au remboursement ?

Non, en principe. Le caractère perfectionné de la tromperie ne caractérise pas, à lui seul, la négligence grave. La Cour de cassation juge qu’une victime mise en confiance par l’usurpation du numéro de sa banque ne commet pas de négligence grave ; un deepfake, plus trompeur encore, ne devrait pas davantage en constituer. Aucune décision publiée ne s’est toutefois prononcée directement sur le deepfake : l’argument se plaide.

Ce que la règle générale ne dit pas

Tout ce qui précède décrit le cadre. Un dossier de fraude au président se gagne pourtant sur les faits : la manière exacte dont l’ordre a quitté le compte, la date et la forme de votre signalement, les indices d’anomalie que la banque a laissés passer, la qualité des preuves conservées. Deux dossiers voisins, l’un qualifié d’opération non autorisée, l’autre d’opération autorisée, connaissent des issues opposées pour un même montant.

C’est là, dans la qualification et la construction du dossier face à la banque comme au pénal, que se joue la récupération des fonds. Les faits comptent autant que le droit, et c’est le rôle de l’avocat de les faire produire leur plein effet.

Valentin Simonnet est avocat au Barreau de Paris. Il intervient en contentieux des affaires et en droit pénal des affaires.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *