Partage des IBAN frauduleux : comment fonctionne le dispositif FNC-RF ?

Arthur Legourd - QomboArthur Legourd | Mis à jour le 19/01/2026 | 4 min de lecture

Avec l’entrée en vigueur du FNC-RF en mai 2026, la lutte contre la fraude au virement change d’échelle. Pour la première fois, les prestataires de services de paiement (PSP) disposent d’un dispositif national de partage des IBAN frauduleux, opéré par la Banque de France.

Au-delà du cadre réglementaire, une question revient systématiquement : comment fonctionne réellement le dispositif au quotidien ? Création d’une alerte, consultation du fichier, réponse à un signalement… Voici un décryptage complet des grandes fonctionnalités du FNC-RF.

Un fichier centralisé, mais une exploitation décentralisée

Le FNC-RF repose sur un fichier central administré par la Banque de France et accessible aux PSP via une API sécurisée. Chaque établissement peut :

  1. déclarer un compte bancaire suspect,
  2. réagir lorsqu’un IBAN de son établissement est signalé,
  3. consulter régulièrement la liste des comptes signalés.

Point clé : le dispositif n’est pas conçu pour des vérifications unitaires en temps réel. Les PSP doivent extraire régulièrement le contenu du fichier et reconstituer leur propre référentiel local pour l’exploiter dans leurs outils internes.

Créer une alerte : déclarer un IBAN frauduleux

Lorsqu’un PSP identifie un compte bancaire impliqué dans une fraude, il doit créer un “événement MISP”, équivalent à une alerte pour suspicion de fraude. Cette déclaration repose sur une codification précise imposée par la Banque de France. Elle inclut notamment :

  1. l’IBAN et le BIC concernés
  2. la date supposée de la fraude
  3. le type d’opération (virement SCT, SCT Inst, etc.)
  4. la catégorie de fraude (fraude au président, ingénierie sociale, etc.)

Des informations contextuelles facultatives peuvent compléter l’alerte (canal utilisé, source de la fraude). Ces éléments permettent aux autres établissements d’apprécier plus finement le risque.

Éviter les doublons : créer un “sighting” plutôt qu’une nouvelle alerte

Avant de déclarer un IBAN, le PSP doit vérifier s’il n’est pas déjà présent dans le fichier.

  1. Si l’IBAN est déjà signalé, il est interdit de créer une nouvelle alerte (mais il n’existe pas de blocage en cas de tentative). Le PSP doit ajouter un “sighting”, c’est-à-dire une confirmation que le compte est à nouveau impliqué dans un schéma de fraude.
  2. Si l’IBAN n’a jamais été signalé, une nouvelle alerte peut être créée.

Cette distinction est essentielle pour maintenir la qualité du fichier et éviter une inflation d’alertes redondantes.

Modifier ou retirer une alerte : un cadre strict

Une fois une alerte publiée, les possibilités de modification sont très limitées :

  1. seules certaines informations contextuelles peuvent être mises à jour
  2. l’IBAN, le type de fraude ou la catégorie ne sont plus modifiables

La suppression directe est interdite. Lorsqu’un signalement n’est plus justifié, le PSP doit ajouter un tag spécifique de suppression. La prise en compte de cette suppression par la Banque de France n’est pas immédiate et dépend du cycle de mise à jour du fichier central (batch overnight).

Réagir à un signalement : la qualification par le teneur de compte

Lorsqu’un IBAN d’un établissement est signalé par un PSP tiers, le PSP teneur du compte doit obligatoirement réagir. Il doit publier une Note de qualification MISP, normalisée, indiquant la situation réelle du compte :

  1. compte frauduleux
  2. compte clos
  3. compte légitime
  4. compte de commerçant
  5. erreur d’attribution

Cette qualification est déterminante : elle conditionne la manière dont les autres PSP interprètent le signalement et la durée de validité associée. Sans réponse, le risque est de laisser perdurer un doute injustifié sur un compte légitime.

Consulter le fichier FNC-RF : une extraction régulière indispensable

Chaque PSP doit mettre en place une consultation régulière du fichier central via l’API.

Les bonnes pratiques recommandées incluent :

  1. extraire les nouveaux événements et mises à jour,
  2. nettoyer les doublons et intégrer les sightings,
  3. mettre à jour le référentiel interne de comptes suspects,
  4. diffuser ces informations dans les moteurs de détection de fraude internes.

Toutes les consultations doivent être tracées afin de répondre aux exigences d’audit et de contrôle du régulateur.

Un dispositif collaboratif qui impose une discipline opérationnelle

Ce dispositif de place repose sur un principe clé : la responsabilité collective. Chaque PSP est à la fois contributeur, utilisateur et garant de la qualité des données. La création d’alertes, la gestion des doublons, la réactivité dans la réponse aux signalements et la tenue d’un référentiel à jour en local conditionnent l’efficacité globale du dispositif.

Conclusion

La réussite du FNC-RF repose moins sur la technologie elle-même que sur la capacité des banques et fintechs à l’intégrer correctement dans leurs processus métier, à outiller leurs équipes et à maintenir un haut niveau de discipline opérationnelle.

Bien exploité, le FNC-RF devient un levier puissant de prévention, complémentaire aux dispositifs existants, et un socle solide pour les futures évolutions européennes en matière de partage de données de fraude, notamment pour le PSR.

Partager l'article

Qombo logo
AccueilBlogGuide d'implémentation VOPLivre blancPolitique de confidentialitéContactez-nous