Pour endiguer la fraude aux virements, la Banque de France lance un fichier national des IBAN suspects

Le 7 mai dernier, le ministère de l'Économie et la Banque de France ont déployé le fichier national des comptes signalés pour risque de fraude, évoqué depuis plusieurs mois. Ce dispositif inédit permet aux banques et aux prestataires de paiement de mutualiser leurs signalements sur les comptes douteux – et in fine de mieux lutter contre un mécanisme de fraude qui s’est fortement développé ces dernières années.

Les escroqueries à l’IBAN frauduleux, une pratique qui croît fortement

Le constat initial est désormais bien connu : la fraude dite « par manipulation » - celle où le fraudeur pousse la victime à effectuer elle-même le virement – a récemment explosé, atteignant 245 millions d’euros au premier trimestre 2025, selon les chiffres de l'Observatoire de la sécurité des moyens de paiement (OSMP) de la Banque de France. Or, un vide juridique limitait les capacités des établissements bancaires dans leur lutte contre l’usurpation des coordonnées bancaires : jusqu’à présent, aucun mécanisme ne permettait aux établissements bancaires de partager entre eux leurs signalements sur des comptes suspects. Dès lors, un compte identifié comme frauduleux par la BNP Paribas restait inconnu de la Société Générale ou du Crédit Agricole, laissant les fraudeurs libres d'opérer d'un établissement à l'autre.

C’est pour répondre à cette problématique qu’a été adoptée la loi du 6 novembre 2025 visant à renforcer la lutte contre la fraude bancaire, et finalement la création du fichier national des comptes signalés pour risque de fraude (FNC-RF).

Comment fonctionne le registre ?

Le principe de ce nouveau registre est simple : il s’agit d’une base de données centralisée, hébergée par la Banque de France, au sein de laquelle les établissements de paiement et les prestataires de services de paiement (PSP) peuvent à la fois déposer et consulter des signalements portant sur des IBAN suspects.

Concrètement, lorsqu'un établissement détecte, via ses propres dispositifs de contrôle ou à l’issue d’un échange avec un de ses clients, qu'un compte bancaire est susceptible d'être utilisé à des fins frauduleuses, il peut l'inscrire dans le fichier via son numéro IBAN. Les autres membres de l'écosystème peuvent ensuite consulter ce registre en temps réel avant d'exécuter un virement, et le cas échéant décider de bloquer les opérations à destination d’un compte listé.

La loi prévoit également un mécanisme de dialogue inter-établissements : lorsqu'un PSP signale un IBAN suspect, l'établissement teneur du compte concerné est alerté et doit répondre dans un délai contraint, en confirmant ou infirmant la suspicion. Ce circuit d'alerte accélère la détection et permet des blocages préventifs. Certaines administrations - l’URSSAF en particulier - pourront également signaler des comptes suspects dans le fichier, ouvrant la voie à une utilisation plus large dans la lutte contre les fraudes sociale et fiscale.

Le dispositif représente une charge opérationnelle nouvelle pour les banques, qui doivent désormais alimenter et consulter le registre, mais constitue également un outil pertinent pour mieux protéger leurs clients.

Il convient par ailleurs de noter que le FNC-RF a été conçu pour pouvoir s'interconnecter à un dispositif équivalent à l'échelle européenne, qui pourrait voir le jour dans les prochaines années.

Une initiative intéressante, mais des limites majeures

Si ce registre ambitieux et simple d’utilisation paraît enthousiasmant pour freiner les fraudes au virement, on peut d’ores et déjà identifier quelques réserves.

Se pose d’abord la question de la protection des données : la sécurisation du registre relève de la Banque de France, et seuls les IBAN y sont enregistrés – aucune donnée nominative n’y figure donc. Malgré ces garanties, la CNIL a fait part de son inquiétude, estimant que le registre revêtait « une sensibilité particulière ». En outre, l’inscription erronée d’un IBAN légitime pourrait avoir des conséquences sérieuses pour le titulaire du compte.

Ensuite, le FNC-RF pourrait n’être qu’un coup d’épée dans l’eau face à une pratique qui évolue sans cesse : par construction, le registre sera alimenté par les IBAN ayant été signalés après avoir été déjà utilisés au moins une fois. Son utilisation consiste donc à accepter d’avoir déjà un train de retard sur le fraudeur. Surtout, avec la facilité à générer des IBAN virtuels, qui peut vraiment croire qu’un fraudeur utiliserait plusieurs fois les mêmes identifiants bancaires ?

L’utilité du registre dépendra de la célérité des banques et de l’évolution des pratiques frauduleuses. Il faudra suivre de près les tendances en matière de fraude pour savoir s’il s’agit d’un outil crédible, ou si l’initiative est au contraire d’ores et déjà dépassée.