Accéder au contenu Cybermalveillance.gouv.fr Assistance et prévention du risque numérique

L’escroquerie aux faux ordres de virement (FOVI)

Publié le 27 janv. 2021

Escroquerie extorsion Faux ordres de virement FOVI

6485 Temps de lecture : 10 min

L’escroquerie aux faux ordres de virement (FOVI) désigne un type d’arnaque qui, par persuasion, menaces ou pressions diverses, vise à amener la victime à réaliser un virement de fonds non planifié. Parfois présenté comme émanant d’un dirigeant et ayant un caractère « urgent et confidentiel », on parle alors « d’arnaque au Président ». Une variante consiste à usurper l’identité d’un fournisseur pour communiquer de nouvelles coordonnées bancaires (changement de RIB) sur lesquelles il faut effectuer un règlement. Une autre variante consiste à usurper l’identité d’un salarié de l’organisation pour demander le changement des coordonnées bancaires où virer son salaire. Le compte bancaire appartenant à l’escroc est souvent situé à l’étranger. Cette catégorie d’escroquerie est généralement réalisée par téléphone et/ou par messages électroniques, voire les deux, et concerne tous les types d’organisation.

But recherché

Escroquerie financière en usurpant l’identité d’un dirigeant, d’un fournisseur ou d’un employé visant à faire verser de l’argent sur un compte bancaire détenu par les cybercriminels. Dans certains cas, cette fraude fait suite au piratage et à l’utilisation de la messagerie de la personne ou entité usurpée.

1. Quelles sont les mesures préventives ?

  • Sensibilisez vos collaborateurs et cadres aux risques,

    notamment de réception de messages frauduleux d’hameçonnage (phishing) visant à leur dérober leurs mots de passe et en particulier si vos services de messagerie sont hébergés ou accessibles en externe.

  • Diffusez des procédures claires aux collaborateurs mandatés sur les règles d’authentification des émetteurs et de confirmation des demandes de virement

    imprévues ou de validation des changements de coordonnées bancaires.

  • Mettez en place une procédure de vérification et de validation hiérarchique interne non dérogeable

    des demandes de virement imprévues ou d’acceptation de changements de coordonnées bancaires.

  • Veillez à limiter la publication d’informations (site Internet, réseaux sociaux…) permettant d’identifier et de contacter vos collaborateurs habilités

    à réaliser des demandes de virement ou des modifications de coordonnées bancaires.

  • Généralisez l’utilisation de mots de passe solides pour les comptes de messagerie et activez la double authentification

    pour limiter les risques de piratage.

2. L’escroquerie aux faux ordres de virement : que faire si vous êtes victime ?

  1. Identifiez les virements frauduleux : identifiez immédiatement l’ensemble des virements exécutés, en instance ou à venir, qui sont à destination des coordonnées bancaires frauduleuses appartenant à l’escroc. Informez votre hiérarchie ainsi que l’ensemble du service comptable et demandez immédiatement le blocage des coordonnées bancaires frauduleuses dans les applications métiers.


  2. Alertez immédiatement votre banque en cas de transaction frauduleuse et demandez le retour des fonds : alertez au plus vite votre établissement bancaire de la transaction frauduleuse et demandez le retour des fonds. Votre dépôt de plainte sera nécessaire et augmentera vos chances d’obtenir satisfaction auprès de votre banque et ainsi de récupérer les fonds.


  3. Demandez la suspension du virement : si le virement n’est pas encore effectué, contactez immédiatement votre cabinet comptable ou votre service comptabilité pour suspendre la demande de virement frauduleuse.


  4. Conservez les preuves, notamment les numéros de téléphones, les messages ou mails que vous avez reçus, les ordres de virement, les factures ou toutes autres informations qui pourront vous servir pour signaler l’escroquerie aux autorités. Ces éléments constitueront des preuves en cas de procédures ultérieures.


  5. Si la fraude a pu être permise par le piratage d’un compte de messagerie, changez immédiatement son mot de passe : modifiez immédiatement votre mot de passe et choisissez-en un solide. Utilisez des mots de passe différents et complexes pour chaque site et application utilisés.


  6. Déposez plainte : en parallèle des démarches auprès de votre établissement bancaire, déposez plainte au commissariat de police ou à la brigade de gendarmerie dont vous dépendez en fournissant toutes les preuves en votre possession. Le dépôt de plainte doit intervenir dans les plus brefs délais après l’identification de l’escroquerie. 
    Au besoin, faites-vous assister par un avocat spécialisé qui prendra attache, si nécessaire, auprès d’un avocat résidant dans le pays où le compte bancaire sur lequel les fonds ont été versés est domicilié. Cela facilitera la mise en relation avec la banque étrangère pour récupérer les fonds et déposer plainte contre le titulaire du compte.
être mis en contact avec un prestataire labellisé ExpertCyber
En fonction du cas d’espèce, les infractions suivantes peuvent être retenues :

Escroquerie (article 313-1 du code pénal) : l’escroquerie est le fait, soit par l’usage d’un faux nom ou d’une fausse qualité, soit par l’abus d’une qualité vraie, soit par l’emploi de manœuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d’un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge. Délit passible d’une peine d’emprisonnement de cinq ans et de 375 000 euros d’amende. 
La tentative d’escroquerie est passible des mêmes peines (article 313-3 du code pénal).

Usurpation d’identité (article 226-4-1 du code pénal) : le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est passible d’une peine d’un an d’emprisonnement et de 15 000 euros d’amende. La tentative d’escroquerie est passible des mêmes peines (article 225-5 du code pénal).

Accès frauduleux à un système de traitement automatisé de données (article 323-1 du code pénal) : le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est passible de deux ans d’emprisonnement et de 60 000 euros d’amende. 
La tentative des délits prévus par les articles 323-1 à 323-3-1 est passible des mêmes peines.

Les faux ordres de virements (FOVI)
Les faux ordres de virements (FOVI)

Téléchargez notre fiche réflexe sur les faux ordres de virement (FOVI) au format PDF afin d’adopter les bonnes pratiques en matière de sécurisation numérique et savoir réagir en cas de tentative d’escroquerie.

Publié le 09/04/2021PDF 109 KoTélécharger

Pour informer et sensibiliser les publics sur les menaces numériques, Cybermalveillance.gouv.fr met à disposition divers contenus thématiques : des supports variés pour comprendre les cybermenaces et savoir comment y réagir, ainsi que des bonnes pratiques à adopter pour assurer votre sécurité numérique.
Consulter la liste de l’ensemble des ressources mises à disposition par le dispositif.

Avez-vous trouvé cette fiche intéressante ?
* le commentaire ne sera pas visible aux yeux de tous

Vous pensez être victime d'un acte de malveillance numérique ?

Lancer le diagnostic

Autres Fiches réflexes