Loi Labaronne : comment le partage d’IBAN douteux doit révolutionner la lutte contre la fraude bancaire en France

La proposition de loi visant à renforcer la lutte contre la fraude bancaire — surnommée loi Labaronne — adoptée par l’Assemblée nationale le 31 mars 2025 et actuellement examinée au Sénat, instaure un fichier national des comptes susceptibles d’être frauduleux. Dans le six mois qui suivront sa promulgation, tous les prestataires de services de paiement (PSP) exerçant en France devront déclarer les IBAN douteux qu’ils détectent et consulter régulièrement cette base gérée par la Banque de France.

Cette réforme, poussée par la communauté bancaire depuis plusieurs années, s’appuie sur une solution open‑source bien connue des équipes cybersécurité : MISP (Malware Information Sharing Platform). Décryptage juridique, technique et stratégique de ce dispositif que les banques et fintechs devront mettre en place dans les prochains mois.

Ce que prévoit la loi Labaronne

Création d’un fichier national des IBAN frauduleux

L’article 1 prévoit la création d’un fichier recensant « les comptes de paiement et de dépôt que les PSP établis ou exerçant en France estiment susceptibles d’être frauduleux » et confie la gestion de ce fichier à la Banque de France .

Les PSPs se doivent de déclarer sans délai les comptes suspects et de rectifier les données si le soupçon disparaît . Il peuvent également accéder au fichier à tout moment mais ne doivent pas le diffuser en dehors des acteurs autorisés.

En agissant comme un référentiel unique, le dispositif alimente l’intelligence collective du secteur et permet de neutraliser rapidement les « mules » ou autres comptes bancaires prisés des fraudeurs.

Périmètre des acteurs concernés

• Inclus : Établissement de paiement (EP), établissement de monnaie électronique (EME) ou établissement de crédit (EC) autorisé à fournir des services de paiement en Europe, exerçant en France, y compris les entités étrangères opérant sous le passeport européen.
• Exclus : PISP et AISP (services d’initiation et d’information sur les comptes).

L’architecture technique : MISP sous l’égide de la Banque de France

Pourquoi MISP ?

Déjà adoptée par plus de 1 000 organisations financières dans le monde, la plateforme MISP offre un format standardisé d’événements (taxonomies, objets, galaxies) et une API REST robuste pour pousser/consommer les données partagées.

Grâce au marquage TLP (Traffic Light Protocol) et aux niveaux de diffusion prévus par l’architecture MISP (organisation , communauté, écosystème élargi…), chaque IBAN signalé peut être partagé avec un périmètre spécifique, garantissant la confidentialité des données sensibles.

L’adaptation « Financial Sector MISP »

Des communautés verticales existent déjà (CIRCL Financial Sector MISP sharing groups). Elles ont enrichi le schéma de données avec des attributs bancaires : IBAN, BIC, BIN, numéros de cartes, etc. La Banque de France capitalise sur ces extensions pour bâtir son propre « MISP de place » comme l’Italie l’a fait avec CertFin ou les pays nordiques avec le Nordic Financial CERT.

Modes de connexion pour les Banques et Fintechs

Trois solutions s’offrent aux institutions financières qui doivent se connecter à MISP :

1. Connexion API en direct avec l’instance Banque de France.
2. Synchronisation avec une instance MISP existante : le PSP déploie sa propre instance (on‑prem ou cloud) et la relie.
3. Recours à une plateforme tierce : délégation de la connexion et de la gestion du service à un prestataire spécialisé (comme Qombo) avec une plateforme personnalisable et une API prête à l’emploi.

Obligations opérationnelles des banques & fintechs

Dès lors qu’un IBAN est considéré comme frauduleux, le PSP doit créer sans attendre un événement MISP pour le déclarer, puis retirer ou annoter cet événement aussitôt que le soupçon est levé.

Parallèlement, l’établissement importe quotidiennement la base consolidée mise à disposition par la Banque de France afin d’alimenter en continu ses moteurs de screening (virements, prélèvements, cartes).

Enfin, il lui revient de pouvoir démontrer à tout moment aux superviseurs que l’ensemble des déclarations est exhaustif et que chaque consultation de la base est parfaitement tracée, garantissant ainsi une auditabilité permanente du dispositif.

Pourquoi se connecter au plus vite ?

Plusieurs facteurs convergents plaident pour une mise en œuvre rapide du dispositif par l’ensemble des PSP opérant en France. D’une part, le projet est déjà structuré autour d’un groupe de travail actif, piloté par les principales banques françaises — BNP Paribas, Arkéa, Crédit Agricole, Banque Postale… — qui jouent un rôle moteur dans la conception et l’industrialisation du dispositif.

D’autre part, l’entrée en vigueur prochaine du Payment Services Regulation (PSR) renforce l’urgence d’agir. Son article 83 prévoit un élargissement du périmètre de données à partager en cas de suspicion de fraude, incluant des identifiants tels que l’adresse e-mail, le numéro de téléphone ou le device ID. Disposer d’un MISP opérationnel dès aujourd’hui permettra de faciliter cette extension réglementaire tout en maîtrisant l’effort d’intégration.

Enfin, les bénéfices opérationnels sont immédiats : chaque IBAN signalé par un confrère vient enrichir les mécanismes internes de scoring et améliore la détection sans coût supplémentaire. Dans un contexte où les virements instantanés deviennent la norme, disposer d’une information en temps réel est essentiel pour bloquer les opérations suspectes avant qu’elles ne soient exécutées — et donc éviter toute perte.

Conclusion

Le partage d’IBAN douteux imposé par la loi Labaronne marque un tournant majeur dans la lutte contre la fraude bancaire en France. En combinant un cadre légal strict et une infrastructure ouverte éprouvée (MISP), le dispositif pousse les acteurs du paiement vers une collaboration systématique — condition sine qua non pour contrer des réseaux de fraude toujours plus agiles.