FNC-RF : comment se connecter au dispositif de partage des IBAN frauduleux de la Banque de France

La Banque de France met en place le Fichier national des comptes signalés pour risque de fraude (FNC-RF), une base centralisée recensant les comptes bancaires (IBAN) suspectés d’être utilisés à des fins frauduleuses. Ce dispositif de partage de données anti-fraude, opéré par la Banque de France, vise à mieux protéger le système bancaire contre les arnaques au virement et autres escroqueries.

Instauré par la loi du 6 novembre 2025, le FNC-RF entrera en vigueur début mai 2026. Il offrira aux prestataires de services de paiement (PSP) un nouvel outil de lutte anti-fraude bancaire pour détecter et partager les IBAN frauduleux, en complément d’autres mesures de sécurité déjà en place.

MISP : la plateforme choisie pour le partage des IBAN frauduleux

La Banque de France s’appuie sur MISP (Malware Information Sharing Platform), une plateforme open source initialement conçue pour le partage d’indicateurs de cybermenaces. MISP est largement utilisé par les communautés de sécurité informatique et désormais dans le secteur financier pour mutualiser des informations de fraude. Concrètement, il permet à plusieurs acteurs de partager des alertes tels que des adresses IP malveillantes ou des identifiants bancaires compromis.

La Banque de France a adapté cette solution MISP à son cas d’usage du FNC-RF. Concrètement, la Banque centrale a déployé sa propre instance MISP pour centraliser et redistribuer les alertes sur les comptes frauduleux. La Banque de France, en tant qu’opérateur du dispositif, joue justement ce rôle de tiers de confiance pour agréger les signalements des PSP et les diffuser à l’ensemble des participants.

Qui peut s’enregistrer au FNC-RF et comment ?

La participation au FNC-RF est ouverte à l’ensemble des prestataires de services de paiement (PSP) opérant en France. Cela inclut concrètement les établissements de crédit (banques), les établissements de monnaie électronique (EME) et les établissements de paiement (EP), à l’exception des AISP et PISP. Ces entités peuvent s’enregistrer afin d’accéder au dispositif et de contribuer au partage des données de fraude.

Pour s’inscrire, le PSP doit en faire la demande auprès de la Banque de France via un formulaire d’adhésion spécifique au dispositif FNC-RF. Ce formulaire peut être obtenu sur demande en contactant Qombo à l’adresse contact@qombo.tech pour être aiguillé dans la démarche.

Une fois l’inscription validée, l’établissement reçoit les informations de connexion nécessaires (identifiants, certificats, documentation, URL du service, etc.) lui permettant de se connecter à la plateforme et de commencer à échanger des alertes sur les IBAN frauduleux.

Les options de connexion au dispositif FNC-RF

Selon son profil et ses ressources, chaque PSP dispose de plusieurs options pour se raccorder techniquement au FNC-RF :

Option 1 : Connecter sa propre instance MISP

Un PSP peut choisir d’installer et d’opérer sa propre instance de MISP en interne, puis de la synchroniser avec celle de la Banque de France. MISP permet en effet la synchronisation de données entre instances distinctes, afin d’importer automatiquement les nouveaux événements (IBAN frauduleux signalés) depuis son serveur central vers le serveur de la Banque de France.

L’avantage de cette approche est de garder la maîtrise complète des données au sein de son système d’information, avec la possibilité d’intégrer MISP à ses outils internes (outils anti-fraude, SIEM, SOC, etc.). En revanche, cela implique de mobiliser des ressources techniques pour déployer et maintenir la plateforme – gestion de serveur, mises à jour, surveillance – ce qui la réserve plutôt aux grandes banques ou aux PSP disposant déjà d’une expertise en cybersécurité.

Option 2 : Intégrer l’API MISP de la Banque de France

Plutôt que de déployer une plateforme, un PSP peut choisir de consommer directement les données du FNC-RF via l’API exposée par la Banque de France (celle de son instance MISP). Cette API permet par exemple de récupérer la liste à jour des IBAN frauduleux partagés, de soumettre de nouveaux signalements, ou de vérifier à la demande si un IBAN donné figure dans le fichier. L’intégration via l’API présente l’avantage d’être plus légère en terme d’infrastructure : il suffit de développer des requêtes depuis son propre système d’information vers l’API pour exploiter les données du FNC-RF.

Cette solution convient aux acteurs disposant d’une équipe de développement capable de s’interfacer avec l’API et de traiter les données (par exemple pour les injecter dans un moteur de règles anti-fraude interne et bloquer un virement suspect en temps réel). Toutefois, il faut mettre en place un processus de mise à jour régulière ou de veille des nouvelles alertes (l’API ne pousse pas spontanément les changements), et gérer localement le stockage, la déduplication et la visualisation des IBAN frauduleux.

Option 3 : Utiliser une solution clé en main comme Qombo

Enfin, un PSP peut opter pour une solution SaaS prête à l’emploi, proposée par un fournisseur spécialisé, pour se connecter au FNC-RF sans effort technique. Par exemple, la plateforme Qombo offre un connecteur natif vers la Banque de France et se présente comme une plateforme de supervision anti-fraude centralisée. Ce type de solution clé en main présente plusieurs avantages : déploiement très rapide (quelques jours suffisent), absence de maintenance technique à la charge du PSP, et ajout de fonctionnalités avancées pour exploiter les données du FNC-RF.

Qombo propose une interface complète permettant de vérifier en temps réel chaque IBAN bénéficiaire avant exécution d’un virement, avec retour d’informations enrichies (ancienneté du compte, fréquence d’utilisation, présence sur listes blanches/noires, score de risque, etc.). La plateforme envoie également des alertes instantanées en cas de détection de fraude, via le canal choisi (notification par email, Slack, webhook, etc.). Elle centralise toutes les alertes reçues et émises afin d’offrir une vue consolidée par IBAN et des tableaux de bord de suivi pour l’équipe fraude et le régulateur.

Ce type de solution assure la conformité réglementaire « by design » sans que l’établissement ait à développer sa propre infrastructure. Cette approche convient particulièrement aux établissements qui recherchent une intégration immédiate et plug-and-play pour répondre aux obligations de la loi.

Environnement technique

La Banque de France met à disposition deux environnements techniques pour le FNC-RF : un environnement d’homologation (sandbox) et un environnement de production. Le sandbox permet aux PSP de réaliser des tests d’intégration en amont, avec des données fictives afin de valider la connexion au FNC-RF et le bon fonctionnement de l’intégration. L’environnement de production du FNC-RF sera pleinement opérationnel à compter de mai 2026, date à laquelle la participation de tous les PSP deviendra effective conformément à la loi.

MISP pour le partage de comptes bancaires : quelques limites techniques

Si la solution MISP mutualisée par la Banque de France constitue une avancée, elle présente également certaines limites pratiques qu’il convient d’avoir en tête :

• Absence de console de supervision dédiée – La plateforme MISP n’offre pas de plateforme de supervision pour visualiser et piloter l’ensemble des alertes de fraude.
• Pas de notifications PUSH ni de temps réel – Par défaut, MISP ne push pas d’alertes automatisées vers les utilisateurs lors de nouvelles alertes. Les PSP doivent donc développer leur propre mécanisme pour être informés des nouveaux IBAN frauduleux signalés en programmant une extraction du fichier centralisé à intervalle régulier.
• Pas de vue consolidée par IBAN – Il n’est pas possible d’avoir une vue agrégée par compte bancaire avec l’historique des alertes au sein de MISP. Un même IBAN frauduleux peut être signalé dans plusieurs événements distincts, via création d’une alerte ou ajout d’un “sighting”, ce qui complique le suivi et peut provoquer des doublons.

La mise en œuvre du FNC-RF marque un tournant dans la lutte contre la fraude au virement en France. Chaque PSP devra choisir son mode de connexion en fonction de ses ressources et de sa maturité technologique, tout en veillant à exploiter pleinement les données du fichier pour protéger ses clients. Une intégration bien pensée du dispositif FNC-RF avec ses systèmes d’information est une opportunité pour améliorer son dispositif anti-fraude au-delà de l’exigence réglementaire.