La lutte contre la fraude à l’IBAN prend un nouvel élan

Nouvelle arme de taille pour la place financière. Dès jeudi 7 mai, la Banque de France partagera son dossier d’IBAN frauduleux, nommé FNC RF, avec tous les prestataires de services de paiement (PSP). Tous pourront y participer et ainsi signaler les IBAN potentiellement illégaux.

Jusqu’à présent, chaque PSP utilisait ses propres systèmes de détection de la fraude afin de protéger ses clients, sans pouvoir partager ces informations en raison du secret bancaire. « Historiquement, on protégeait davantage la vie privée des fraudeurs que les victimes : nous ne pouvions pas dialoguer entre fintechs, ni entre banques et fintechs. Les banques communiquaient entre elles comme elles le pouvaient, mais sans sécurité juridique », explique Fanny Rodriguez, présidente de l’Association Française des Etablissements de Paiement et de Monnaie Electronique (Afepame), se félicitant de ce nouveau cadre.

Dans le fonctionnement, lorsqu’un compte se retrouve inscrit dans le fichier, le prestataire de services de paiement qui tient ce compte effectuera « sans délai, l’ensemble des diligences visant à évaluer son caractère frauduleux », précise la Banque de France. Si les raisons de soupçonner la fraude disparaissent, le prestataire devra « procéder à une déclaration corrective et demander à la Banque de France la radiation de l’évènement de fraude ». Progressivement, près de 225 établissements financiers seront raccordés à la plateforme.

Progression de la fraude à la manipulation

Ce dossier était particulièrement attendu par l’ensemble des acteurs du secteur, alors que les virements représentaient 37 % des montants des fraudes au premier semestre 2025, soit environ 228 millions d’euros, selon les derniers chiffres de l’Observatoire de la Sécurité des Moyens de Paiement (OSMP). « Les fraudeurs bénéficiaient de cette absence de communication entre les acteurs : ils faisaient circuler les mêmes IBAN frauduleux d’une banque à l’autre. Ce dossier est une réelle rupture historique, qui aurait dû avoir lieu il y a dix ans », estime Patrice Bouexel, general manager Europe chez Sis ID, une fintech française spécialisée dans la lutte contre la fraude.

Le secteur doit faire face à l’essor de la fraude par manipulation. Ce phénomène d’escroquerie, souvent initiée par une publicité mensongère reçue par SMS ou présente sur un réseau social, s’intensifie. Il représentait 40 % des montants fraudés au premier semestre, contre 32 % en 2023 et 2024. Avec une augmentation significative sur les virements réalisés depuis une banque en ligne : 31 % sur six mois et 54 % sur l’année, selon les chiffres de l’OSMP.

A lire aussi : La fraude par manipulation s'installe sur les réseaux sociaux

Ce fichier est complémentaire à d’autres dispositifs promus par l’OSMP pour limiter la casse, tels que la vérification du bénéficiaire (VoP, Verification of Payee) entrée en vigueur le 9 octobre dernier, qui vérifie la concordance entre le nom du bénéficiaire et l’IBAN directement sur l’application bancaire ou le mécanisme d’authentification des numéros qui vise à lutter contre l’usurpation de numéros de téléphone.

Frauder le dossier des Iban frauduleux

La Banque de France envisage à terme une expansion du dispositif à l'échelle européenne. La troisième directive européenne sur les services de paiement (DSP3), qui devrait entrer en vigueur dans le courant de l’année, prévoit en effet un dossier de partage d’informations dans le cadre de la lutte contre la fraude.

Une inquiétude demeure en revanche sur le risque de fraude… du fameux dossier des IBAN frauduleux. « Ce fichier public a un vrai intérêt s’il est sécurisé correctement. Récemment, il y a un nombre de fichiers issus de l'État qui se sont retrouvés pénétrés par des fraudeurs, des données ont été volées, là où normalement, cela n’aurait jamais dû arriver. Cela va être le plus gros enjeu du fichier national : sinon toutes les données vont perdre leur valeur», met en garde Patrice Bouexel.

Fin janvier 2026, un acteur malveillant a en effet usurpé les identifiants d’un fonctionnaire disposant d’accès au fichier national des comptes bancaires et assimilés, Ficoba. Ce fichier recense l’ensemble des comptes bancaires ouverts dans les établissements bancaires français et contient de multiples données personnelles (coordonnées bancaires (RIB / IBAN), identité du titulaire, adresse et, dans certains cas, l’identifiant fiscal de l’usager). Plus d’un million de données ont ainsi été consultées et extraites de la base.

Réticence de la Cnil

Fin avril, la Commission nationale de l’informatique et des libertés (Cnil) a publié un avis plutôt réticent concernant le partage du FNC RF. « La nature et le fonctionnement du FNC-RF, qui mutualise des suspicions de fraude, sont susceptibles d’engendrer des risques d’inexactitude des données qu’il contient et ainsi des conséquences importantes pour les droits des personnes concernées », a précisé la gardienne des données personnelles.

A lire aussi : L'ACPR et Tracfin alertent sur des cas d'usage d'IBAN virtuels menant au blanchiment de capitaux

Celle-ci émet des réserves concernant l’architecture technique pour le dossier : « le partage de copies intégrales et synchronisées des données en clair avec les PSP et leurs éventuels prestataires accroît fortement la surface d’exposition des données et, par conséquent, le risque de fuite, d’accès non autorisé ou de réutilisation indue ».

Elle précise également regretter que les modalités techniques aient été déterminées avant qu’elle ne soit saisie et n’intègrent pas davantage des « mesures techniques pour contribuer à la protection de la vie privée des personnes concernées ».

La FBF lance un appel aux réseaux sociaux

De son côté, la Fédération Bancaire Française (FBF) se félicite du nouvel outil, « projet de longue date de la profession bancaire », tout en indiquant qu’ « il faut désormais aller au-delà de cette plateforme ». Et notamment remonter aux sources du problème.

A ce titre, l’organisation professionnelle a lancé un appel aux autorités françaises et européennes fin janvier pour que les plateformes de réseaux sociaux et les hébergeurs de boites mails « participent de façon opérationnelle à prévenir, éviter et lutter contre la fraude ou contre les escroqueries, notamment aux investissements ».

A lire aussi : La balance penche en faveur des banques en matière de fraude aux faux placements

Selon le régulateur britannique, au Royaume-Uni, en 2023, plus de la moitié des escroqueries impliquaient Meta. Une proportion de 10 % du chiffre d’affaires de la multinationale américaine provenait de publicités pour des escroqueries, des investissements frauduleux, en 2024 selon Reuters.