Fausses coordonnées bancaires par IA : détecter avant virement
Coordonnées bancaires falsifiées par IA et fraude au fournisseur : comment les équipes finance les détectent avant un virement, entre CANAFE et Loi 25.

Résumer cet article avec
Des coordonnées bancaires falsifiées ou modifiées par IA se détectent en croisant trois signaux : la cohérence structurelle du document, ses métadonnées, et la confirmation directe auprès du fournisseur par un canal indépendant de celui qui a transmis la demande. Cette fraude, souvent associée à une compromission de courriels d'affaires (BEC), redirige un virement légitime vers un compte du fraudeur — sans que la facture d'origine soit fausse.
Cet article est fourni à titre informatif et ne constitue pas un conseil juridique ou réglementaire.
Comment fonctionne la fraude au changement de coordonnées bancaires combinée au BEC
La fraude au changement de coordonnées bancaires consiste à intercepter ou imiter une communication d'un fournisseur pour faire accepter de nouvelles coordonnées, alors que la facture sous-jacente est réelle. Le fraudeur ne fabrique pas un service fictif : il détourne un paiement légitime en substituant son propre compte au dernier moment.
Deux scénarios dominent : la boîte courriel du fournisseur compromise, ou un domaine visuellement proche, avec un courriel de « mise à jour de nos informations bancaires » ; et la fraude du président, où l'usurpation de l'identité d'un dirigeant ordonne un virement urgent, un relevé de compte joint donnant une apparence de légitimité.
En 2024, le CAFC a reçu 108 878 signalements de fraude totalisant plus de 638 millions de dollars de pertes, dont 481,6 millions liés à la fraude cybernétique (75 % du total) — catégorie qui inclut la compromission de courriels d'affaires et les changements de coordonnées frauduleux —, selon le rapport statistique annuel 2024 du CAFC. Le virement reste le moyen le plus rentable à détourner, car il est pratiquement irrévocable.
La Gendarmerie royale du Canada décrit ce schéma comme une fraude ciblant les entreprises ayant une relation établie avec un fournisseur, via un courriel demandant une modification du dépôt direct. Contrairement à Tracfin en France, le CANAFE n'a pas de pouvoir direct de blocage d'urgence : l'entreprise victime doit d'abord contacter sa propre institution pour tenter un rappel de fonds, une démarche dont les chances de succès diminuent vite.
Coordonnées bancaires canadiennes : une structure différente du RIB et de l'IBAN
Contrairement au RIB français, qui combine code banque, code guichet, compte et clé Mod-97 dans un IBAN unique, le système canadien repose sur trois éléments distincts, sans calcul de vérification intégré.
| Élément | Longueur | Référentiel |
|---|---|---|
| Institution (banque, ex. 003 = RBC, 815 = Desjardins) | 3 chiffres | BSIF |
| Transit (succursale) | 5 chiffres | Paiements Canada |
| Compte (folio) | 7 à 12 chiffres | Confirmation directe |
Une combinaison institution/transit/compte peut donc être plausible sans qu'aucun algorithme ne la valide — contrairement à l'IBAN.
Le rôle de l'IA générative dans les fausses coordonnées bancaires modernes
L'IA générative abaisse le coût et le temps nécessaires pour produire un relevé ou un formulaire de dépôt direct crédible, sans compétences graphiques ni accès à un original.
Un modèle de génération d'image reproduit l'en-tête, le logo et la mise en page d'une institution canadienne à partir de quelques exemples trouvés en ligne, réutilisable pour plusieurs cibles. Un grand modèle de langage rédige le courriel dans un français impeccable, même pour des fraudeurs non francophones — un enjeu particulier au Québec, où une correspondance soignée inspire confiance. Des outils d'édition de PDF permettent aussi de modifier un seul champ, le transit ou le compte, sur un document authentique intercepté.
Le Centre canadien pour la cybersécurité recommande une double signature et une vérification par un canal distinct pour toute demande de virement. La recommandation n'a pas changé avec l'IA générative — elle est devenue plus urgente, le contenu du courriel n'étant plus un indicateur fiable.
Notre approche combine analyse structurelle, vérification des métadonnées et validation croisée sur plusieurs champs par document ; une couche additionnelle de signaux de génération IA peut être activée selon la configuration retenue, en complément des contrôles existants.
Prêt à automatiser vos vérifications ?
Pilote gratuit sur vos propres documents. Résultats en 48 h.
Demander un pilote gratuitLes signaux d'alerte à vérifier avant tout virement
Des coordonnées bancaires falsifiées par IA se repèrent rarement à la qualité visuelle du document : elles se repèrent à la cohérence entre le document, son historique de transmission et les référentiels bancaires officiels.
Le numéro d'institution correspond-il à un établissement réellement actif ?
Le numéro d'institution doit correspondre à un établissement recensé au registre du BSIF, et le transit à une succursale active répertoriée par Paiements Canada. Un numéro attribué à un établissement fusionné ou fermé est un signal immédiat, détaillé dans notre guide sur la vérification des coordonnées bancaires canadiennes.
Le canal de communication a-t-il changé sans justification ?
Une demande reçue uniquement par courriel, sans confirmation orale via un numéro de cellulaire déjà enregistré, doit être considérée comme suspecte : les fraudeurs exploitent la routine d'un service comptable qui traite souvent ces demandes comme banales.
Les métadonnées du PDF sont-elles cohérentes avec l'expéditeur déclaré ?
Un document authentique porte des métadonnées cohérentes avec l'infrastructure de l'émetteur. Un fichier édité avec un logiciel générique, ou dont la modification est postérieure de plusieurs semaines à l'émission apparente, trahit une manipulation — même si le rendu visuel est irréprochable.
La demande s'accompagne-t-elle d'une pression temporelle inhabituelle ?
Une urgence artificielle (« le virement doit partir aujourd'hui », « notre ancien compte est bloqué ») est l'un des marqueurs les plus constants de ce type de fraude. Selon KPMG, 81 % des dirigeants canadiens victimes de fraude en douze mois attribuent l'attaque à l'IA, d'après les données KPMG Canada de 2026 — un contexte qui rend la sensibilisation continue d'autant plus nécessaire.
Étapes de la fraude et signaux d'alerte correspondants
| Étape | Ce qui se passe | Signal d'alerte | Action |
|---|---|---|---|
| Reconnaissance | Repérage d'un fournisseur et son contact comptable | Aucun signal visible | Limiter la diffusion des contacts |
| Usurpation | Courriel piraté ou domaine proche (typosquatting) | Adresse différente de l'historique | Vérifier le domaine caractère par caractère |
| Envoi des fausses coordonnées | Formulaire de dépôt direct doctoré par IA | Institution inconnue, transit incohérent | Vérification BSIF/Paiements Canada |
| Pression à l'exécution | Urgence ou blocage de compte invoqué | Délai anormalement court | Contre-appel sur un numéro enregistré |
| Virement exécuté | Fonds dispersés vers des comptes mules | Paiement déjà validé | Alerte banque + signalement au CAFC |
Le virement étant pratiquement impossible à annuler une fois exécuté, l'essentiel de la prévention doit intervenir avant l'étape finale du tableau, un principe que rappelle le Centre antifraude du Canada.
Ce que les entreprises victimes se demandent après coup
Les entreprises victimes s'interrogent souvent sur la responsabilité de leur institution financière, dont les obligations varient selon qu'il s'agit d'une banque à charte fédérale ou d'une caisse relevant d'un régime provincial. D'autres s'interrogent sur les chances de récupérer les fonds — elles chutent vite, le temps que les sommes soient réparties sur des comptes de rebond, d'où l'insistance des autorités sur la rapidité du signalement. Une troisième question récurrente porte sur l'assurabilité du sinistre : certaines polices excluent la fraude au virement sans procédure de double vérification documentée.
Protocole de vérification pour les équipes comptabilité fournisseurs
Un protocole structuré transforme une vigilance individuelle en un contrôle systématique. Premièrement, isoler tout changement de coordonnées du flux normal des factures : aucune modification ne doit être enregistrée par la personne qui l'a reçue. Deuxièmement, appliquer un contre-appel sur un numéro déjà connu, jamais celui du nouveau document. Troisièmement, vérifier institution et transit par rapport aux référentiels du BSIF et de Paiements Canada avant mise à jour dans l'ERP. Quatrièmement, analyser les métadonnées du document pour repérer un logiciel d'édition incohérent. Cinquièmement, documenter chaque validation — vérificateur, date, canal — pour un journal exploitable en cas de litige avec l'assureur.
Une part significative des fraudes documentaires échappe aux contrôles manuels : selon l'ACFE, seuls 37 % des cas de fraude occupationnelle sont détectés par des contrôles actifs, contre un délai moyen de détection de 87 jours, d'après le Report to the Nations 2024 de l'ACFE — un délai incompatible avec un virement déjà exécuté. La FCEI rapporte que la moitié des PME canadiennes ont subi une fraude en douze mois.
Pour les équipes qui traitent aussi les factures, le protocole de rapprochement à trois voies et de vérification des identifiants fournisseurs complète ces contrôles, notamment lorsque facture et changement de compte arrivent dans le même envoi.
Cadre réglementaire et déclaratif applicable au Canada et au Québec
Une entreprise victime dispose de recours limités mais définis, à condition d'agir vite. La qualification criminelle de faux (article 366 et suivants du Code criminel du Canada) s'applique à la fabrication de coordonnées falsifiées, indépendamment de la responsabilité de l'institution financière. Pour les entités assujetties à la LRPCFAT, toute opération suspecte liée à un changement de coordonnées doit faire l'objet d'une déclaration d'opérations douteuses au CANAFE, indépendamment du succès de la tentative.
Un point de vigilance terminologique s'impose : l'Autorité des marchés financiers du Québec (AMF Québec), qui encadre l'assurance, les valeurs mobilières et les institutions de dépôt autres que les banques, porte le même nom que l'Autorité des marchés financiers française — un régulateur boursier sans lien institutionnel avec son homonyme québécois, source de confusion fréquente pour les groupes transatlantiques.
Si des renseignements personnels sont compromis, la Loi 25 impose de tenir un registre des incidents de confidentialité et de notifier la Commission d'accès à l'information (CAI) et les personnes concernées si le risque de préjudice est sérieux — une obligation distincte, sous la LPRPDE, pour les entreprises fédérales.
Comment CheckFile complète vos contrôles anti-fraude
Un outil de vérification documentaire ne remplace pas le contre-appel téléphonique ni la vigilance humaine : il réduit le temps et la charge cognitive nécessaires pour traiter chaque changement de coordonnées avec la même rigueur, quel que soit le volume du jour. La plateforme CheckFile automatise le contrôle de l'institution, du transit et l'analyse des métadonnées.
CheckFile analyse vos dossiers et signale les indices de contenu généré par IA, en complément de vos contrôles existants. Cette couche ne prétend pas intercepter la totalité des fausses coordonnées en circulation — aucun outil ne peut raisonnablement le garantir — mais elle réduit la dépendance exclusive au jugement visuel d'un opérateur sous pression de délai. Pour les obligations KYC renforcées, la solution CheckFile pour le secteur bancaire applique la même logique aux justificatifs d'identité et aux relevés de compte.
Voir aussi la détection de documents générés par IA et deepfakes, et pour une vue d'ensemble sectorielle, notre guide de la vérification documentaire par industrie. Les tarifs sont disponibles pour évaluer un pilote.
Questions fréquemment posées
Comment reconnaître de fausses coordonnées bancaires générées par IA avant un virement ?
Vérifiez que l'institution correspond à un établissement actif au registre du BSIF et que le transit correspond à une succursale réelle répertoriée par Paiements Canada, puis confirmez le changement par un appel sur un numéro déjà enregistré — jamais celui du document reçu. L'examen visuel seul ne suffit pas : la génération d'image reproduit fidèlement les en-têtes bancaires.
Que faire immédiatement après un virement frauduleux vers un compte falsifié ?
Contactez votre institution financière pour demander un rappel de fonds, même si les chances de succès diminuent avec le temps. Signalez l'opération au Centre antifraude du Canada, déposez une déclaration au CANAFE si votre organisation y est assujettie, conservez courriels et métadonnées, et déposez plainte à la police.
Quelles sont les obligations d'une entreprise québécoise en matière de Loi 25 après cette fraude ?
Si des renseignements personnels ont été compromis, l'entreprise doit consigner l'événement dans son registre des incidents de confidentialité, évaluer le risque de préjudice sérieux et, le cas échéant, notifier la Commission d'accès à l'information et les personnes concernées — une obligation distincte de la question du remboursement des fonds.
Des coordonnées bancaires syntaxiquement valides peuvent-elles quand même être frauduleuses ?
Oui. Un fraudeur peut ouvrir un compte sous une fausse identité et obtenir une institution, un transit et un numéro de compte conformes au format attendu. La validité du format ne garantit ni la légitimité du titulaire ni l'authenticité de la demande — seule la vérification directe auprès du fournisseur lève ce doute.
Restez informé
Recevez nos analyses conformité et guides pratiques, directement dans votre boîte mail.