Loi contre la fraude bancaire : comment le partage d’IBAN douteux pourrait révolutionner les pratiques des banques

La proposition de loi visant à renforcer la lutte contre la fraude bancaire — portée par le député Daniel Labaronne et adoptée par l’Assemblée nationale le 31 mars 2025 est actuellement examinée au Sénat. Celle-ci prévoit l'instauration d'un fichier national des comptes suspects / frauduleux.

Cette réforme, poussée par la communauté bancaire depuis plusieurs années, s’appuie sur un dispositif piloté par la Banque de France et qui doit connecter dans les prochains mois, tous les prestataires de services de paiement (PSP) exerçant en France.

Ceux-ci pourront alors déclarer les IBANs qu'ils jugent frauduleux et consulter la base centralisée, administrée par la Banque de France. Décryptage de ce dispositif que les banques et fintechs régulées devront mettre en place dans les prochains mois.

Ce que prévoit la loi 

Création d’un fichier national des IBAN frauduleux

L’article 1 prévoit la création d’un fichier recensant « les comptes de paiement et de dépôt que les PSP établis ou exerçant en France estiment susceptibles d’être frauduleux » et confie la gestion de ce fichier à la Banque de France .

Les PSPs se doivent de déclarer sans délai les comptes suspects et de rectifier les données si le soupçon disparaît . Il peuvent également accéder au fichier à tout moment mais ne doivent pas le diffuser en dehors des acteurs autorisés.

En agissant comme un référentiel unique, le dispositif alimente l’intelligence collective du secteur et permet de neutraliser rapidement les « mules » ou autres comptes bancaires prisés des fraudeurs.

Périmètre des acteurs concernés

• Inclus : Établissement de paiement (EP), établissement de monnaie électronique (EME) ou établissement de crédit (EC) autorisé à fournir des services de paiement en Europe, et exerçant une activité en France.
• Exclus : PISP et AISP (services d’initiation et d’information sur les comptes).

L’architecture technique : MISP sous l’égide de la Banque de France

Pourquoi MISP ?

Déjà adoptée par plus de 1 000 organisations financières dans le monde, la plateforme MISP offre un format standardisé d’événements (taxonomies, objets, galaxies) et une API REST robuste pour pousser/consommer les données partagées.

Grâce aux niveaux de diffusion prévus par l’architecture MISP (organisation , communauté, écosystème élargi…), chaque IBAN signalé peut être partagé avec un périmètre spécifique, garantissant la confidentialité des données sensibles.

L’adaptation « Financial Sector MISP »

Des communautés verticales existent déjà (CIRCL Financial Sector MISP sharing groups). Elles ont enrichi le schéma de données avec des attributs bancaires : IBAN, BIC, BIN, numéros de cartes, etc. La Banque de France capitalise sur ces extensions pour bâtir son propre « MISP de place » comme l’Italie l’a fait avec CertFin ou les pays nordiques avec le Nordic Financial CERT.

Modes de connexion pour les Banques et Fintechs

Trois solutions s’offrent aux institutions financières qui doivent se connecter à MISP :

1. Connexion API en direct avec l’instance Banque de France.
2. Synchronisation avec une instance MISP existante : le PSP déploie sa propre instance et la relie.
3. Recours à une plateforme tierce : délégation de la connexion et de la gestion du service à un prestataire spécialisé (comme Qombo) avec une plateforme personnalisable et une API prête à l’emploi.

Obligations opérationnelles des banques & fintechs

Dès lors qu’un IBAN est considéré comme douteux, le PSP doit créer sans attendre un "événement MISP" pour le déclarer, puis retirer ou annoter cet événement si le soupçon est levé.

Parallèlement, chaque établissement importe quotidiennement la base consolidée mise à disposition par la Banque de France afin d’alimenter ses moteurs de screening.

Enfin, il lui revient de pouvoir démontrer à tout moment aux superviseurs que l’ensemble des déclarations est exhaustif et que chaque consultation de la base est parfaitement tracée, garantissant ainsi un audit du dispositif.

Pourquoi se connecter au plus vite ?

Plusieurs facteurs plaident pour une mise en œuvre rapide du dispositif. D’une part, le projet est déjà structuré autour d’un groupe de travail actif, piloté par les principales banques françaises (BNP Paribas, Crédit Agricole, Banque Postale).

D’autre part, l’entrée en vigueur prochaine du Payment Services Regulation (PSR) renforce l’urgence d’agir. Il prévoit un élargissement du périmètre de données à partager en cas de suspicion de fraude, incluant des identifiants tels que l’adresse e-mail, le numéro de téléphone ou le device ID. Disposer d’un MISP opérationnel dès aujourd’hui permettra de faciliter cette extension européenne.

Enfin, les bénéfices opérationnels sont immédiats : chaque IBAN signalé vient enrichir les mécanismes internes de scoring des participants et améliore la détection sans coût supplémentaire. Dans un contexte où les virements instantanés deviennent la norme, disposer d’une information en temps réel est essentiel pour bloquer les opérations suspectes avant qu’elles ne soient exécutées.

Conclusion

Le partage d’IBAN douteux marque un tournant majeur dans la lutte contre la fraude bancaire en France. En combinant un cadre légal strict et une infrastructure de place, le dispositif pousse les acteurs du paiement vers une collaboration systématique — condition sine qua non pour contrer des réseaux de fraude toujours plus agiles.