FNC-RF : que prévoit l’arrêté du 24 avril 2026 ?

À l’approche du déploiement du Fichier national des comptes signalés pour risque de fraude (FNC-RF), l’arrêté du 24 avril 2026 vient préciser les modalités techniques du dispositif pour les Prestataires de Services de Paiement (PSP).

Ce texte, qui s’inscrit dans la continuité de la loi Labaronne, définit les obligations et règles à suivre par les PSP dans la gestion du dispositif au quotidien. Voici une synthèse des sujets traités.

Quelles institutions financières sont concernées par le dispositif ?

Tous les PSP exerçant en France sont concernés, qu’il s’agisse d’établissements de crédit, d’établissements de paiement (hors AISP/PISP) ou d’établissements de monnaie électronique. Cette obligation s’étend également aux succursales et filiales françaises de PSP étrangers.

L’arrêté précise que le dispositif s’applique aussi dans les territoires d’outre-mer, incluant la Nouvelle-Calédonie et la Polynésie française.

Quel est le rôle de la Banque de France dans ce dispositif ?

Le fichier FNC-RF est administré par la Banque de France, qui en assure la gestion et la centralisation. Concrètement, elle agit comme tiers de confiance en agrégeant les signalements transmis par les PSP et en les rendant accessibles aux autres participants connectés.

Quel est le rôle des PSP ?

Chaque PSP participant doit à la fois contribuer au fichier en déclarant les comptes suspects, répondant aux alertes qui concerne ses comptes, mais aussi en exploiter la donnée dans ses propres dispositifs de détection. Le fonctionnement repose donc sur une logique de partage d’information, où la valeur du système dépend directement de la qualité et de la réactivité des contributions.

Comment les PSP peuvent-ils se raccorder au dispositif ?

Le raccordement au FNC-RF peut se faire de manière directe, via une intégration technique avec la Banque de France, ou indirecte, en s’appuyant sur un prestataire technique mandaté.

L’arrêté encadre explicitement cette seconde option, en précisant que le prestataire agit au nom et sous la responsabilité du PSP.

Quelles informations déclarer lors d’un signalement ?

Le contenu des alertes est encadré. Chaque déclaration doit inclure un identifiant de compte (IBAN), ainsi que le code BIC de l’établissement teneur du compte. À cela s’ajoutent la date de détection de la fraude, la catégorie de fraude identifiée (ex. : faux conseiller) et le type d’opération concernée (ex. : virement instantané).

L’arrêté introduit également des champs complémentaires facultatifs, tels que le canal d’origine de la transaction ou la source de la fraude. Bien que non obligatoires, ces informations permettent d’améliorer significativement la qualité et l’utilité des signalements.

À quel moment une alerte doit-elle être créée ?

Le déclenchement d’un signalement repose sur l’identification d’un événement suspect, tel qu’évalué dans le cadre des dispositifs internes de lutte contre la fraude. Cela signifie que chaque PSP reste responsable de ses critères de détection.

L’arrêté ne fixe pas de conditions précises, mais impose en revanche une règle structurante : chaque événement de fraude ne doit donner lieu qu’à une seule déclaration.

En pratique, si un IBAN a déjà été signalé par un autre acteur, il convient d’enrichir l’alerte existante plutôt que d’en créer une nouvelle, afin d’éviter toute duplication de l’information.

À quelle fréquence le fichier doit-il être consulté ?

Les participants doivent consulter le fichier central au moins une fois par jour.

Comment doivent être traitées les alertes reçues ?

Lorsqu’un PSP est identifié comme teneur de compte d’un IBAN signalé, il lui revient de procéder sans délai aux vérifications nécessaires. Il doit dans un premier temps indiquer qu’une investigation est en cours en apposant une note sur l’alerte afin d’informer le PSP à l’origine de l’alerte de sa prise en charge.

L'arrêté précise également qu'une fois l’analyse terminée, le résultat doit être partagé dans les meilleurs délais. Le PSP teneur de compte peut confirmer le caractère frauduleux du compte, identifier une usurpation d’identité ou conclure à un rejet du signalement, par exemple en cas d’erreur d’attribution ou de compte légitime.

Que faire lorsqu’on a signalé un compte par erreur ?

Si les raisons de soupçonner une fraude disparaissent, une demande de suppression doit être effectuée. La Banque de France procède alors à la suppression du signalement afin de limiter les faux positifs et garantir la fiabilité des données partagées dans le temps.

L’arrêté formalise ici une exigence importante : l’obligation de déclaration corrective sans délai. Chaque PSP doit en parallèle mettre à jour ou supprimer l’information dans sa propre copie locale du fichier.

Combien de temps les données sont-elles conservées ?

Les informations enregistrées dans le FNC-RF sont conservées pendant une durée de treize mois à compter de la déclaration initiale ou de sa dernière mise à jour. L’arrêté précise également que chaque prestataire reste responsable de la gestion de sa copie locale, notamment en ce qui concerne la suppression des données à l’issue de cette période.

Des obligations d’archivage peuvent néanmoins s’appliquer en complément, notamment au titre de la lutte contre le blanchiment.

Quelles obligations vis-à-vis des clients ?

L’arrêté rappelle les exigences issues du RGPD. Les participants doivent informer les titulaires de comptes de la possibilité que leurs données soient inscrites dans ce fichier en cas de suspicion de fraude, par exemple en mettant à jour leurs conditions générales.

Enfin, Les PSP doivent également préciser à leurs clients les modalités d’exercice des droits d’accès et de rectification.