Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog
Syndicat Force Ouvrière des Services Publics de la Marne

SECURITE ET NUMERIQUE

28 Décembre 2024 , Rédigé par FO Services Publics 51

Fraude au RIB : les collectivités pleinement responsables de la vérification des informations bancaires

Une récente décision du Conseil d'Etat confirme la responsabilité des administrations en cas de paiement frauduleux. Obligées de régler malgré tout leur fournisseur, elles se retrouvent donc à payer deux fois la même facture. Et si les possibilités de recours existent, elles exigent des preuves solides.

En matière de risques cyber, la fraude au RIB, appelée aussi "fraude au président", fait partie des plus coûteuses pour les collectivités. Dans cette attaque, les escrocs usurpent l'identité d'un fournisseur pour détourner un paiement. Concrètement, il s'agit souvent d'un mail de relance sur une facture contenant le RIB d'un escroc. Les fraudes passent parfois par une ingénierie sociale plus sophistiquée où l'escroc appelle le service comptable en se faisant passer pour un prestataire ou un collaborateur demandant en urgence le lancement d'une procédure de paiement. Si ces fraudes ont diminué avec la fin des factures papier et l'usage de plateformes sécurisées comme Chorus Pro, elles persistent à faire des dégâts, notamment dans les petites communes qui sous-estiment les risques cyber (notre article du 19 novembre2024).

Facture payée deux fois

En pratique, cela signifie que la collectivité victime d'une fraude au RIB se retrouve obligée de payer deux fois une facture, comme vient de le confirmer le Conseil d'Etat dans une décision datée du 21 octobre 2024(Lien sortant, nouvelle fenêtre). Dans cette affaire, le Grand port maritime de Bordeaux avait versé des paiements dus à son cocontractant sur un compte bancaire frauduleux, suite à une usurpation d'identité. Le port estimait que ces paiements le libéraient de son obligation envers le véritable créancier. Le Conseil d'État a jugé que la vérification des informations de paiement incombait à l'administration et que cette dernière était tenue de s'acquitter de ses obligations contractuelles envers le véritable cocontractant, même en cas de fraude entraînant un détournement des paiements.

Au juge de décider d'une éventuelle compensation

De plus, le Conseil d'État a précisé que la personne publique ne peut invoquer les dispositions de l'article 1342-3 du Code civil relatives au créancier apparent, ni les éventuels manquements du cocontractant ayant facilité la fraude, pour contester son obligation de paiement. Toutefois, l'administration peut engager une action en responsabilité (action dite "récursoire") contre l'auteur de la fraude ou contre le prestataire si ce dernier a commis des négligences ayant contribué à la fraude, afin d'obtenir réparation du préjudice subi.

Il reviendra alors au juge de déterminer le montant de l'éventuelle compensation. La compensation pour négligence n'a cependant rien d'automatique comme l'analyse le cabinet Landot(Lien sortant, nouvelle fenêtre) en s'appuyant sur une récente décision(Lien sortant, nouvelle fenêtre) de la Cour de Cassation. Dans cette affaire de "spoofing" (usurpation de la ligne téléphonique d'une banque), la Cour a jugé que le client, induit en erreur par l'apparente authenticité de l'appel, n'avait pas commis de négligence grave. La banque a donc dû rembourser les montants frauduleusement débités. 

Sensibilisation aux risques cyber 

En conséquence, les collectivités sont invitées à prendre toutes les mesures utiles pour se prémunir de ce type d'attaque en se référant aux guides de l'Anssi ou de Cyber malveillance. Il s'agit notamment de contacter directement l’émetteur d'une demande de paiement, en particulier lorsqu'il y a un changement de coordonnées bancaires. Les collectivités doivent aussi rappeler régulièrement à leurs agents les risques liés à ces fraudes et les bonnes pratiques pour repérer les mails ou appels frauduleux. Une exigence d'autant plus forte que l'intelligence artificielle, voire les "deepfakes" audio, accroissent ce risque d'arnaque en rendant moins détectables les messages frauduleux.

LOCALTIS : Article publié le vendredi 13 décembre 2024 & Olivier DEVILLERS

 

Partager cet article
Repost0
Pour être informé des derniers articles, inscrivez vous :
Commenter cet article