Dans une étude consacrée aux services d’IBAN virtuels en France sous l’angle de la lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT), l’ACPR, enrichie par les constats de Tracfin, s’est penchée sur les usages et les risques associés à ces dispositifs. L’analyse repose sur un questionnaire adressé à 23 établissements présents en France, parmi lesquels des établissements de crédit, de monnaie électronique et de paiement.
RegSharp vous propose une analyse synthétique du rapport conjoint intitulé « Panorama et analyse des services d’IBAN virtuels offerts en France ».
L’étude conjointe de l’ACPR et de TRACFIN s’inscrit dans la continuité de deux rapports de l’EBA, l’un sur les risques émergents de LCB-FT associés aux établissements de paiement, le deuxième sur les IBANs virtuels, que nous avions analysés.
Un IBAN virtuel (vIBAN) est un identifiant bancaire ayant l’apparence d’un IBAN classique, mais rattaché à un compte de paiement unique, dit compte maître. Une définition est consacrée par le Règlement LCB-FT applicable en 2027 : « un identifiant qui a pour effet de rediriger les paiements vers un compte de paiement identifié par un IBAN différent de cet identifiant. »
En pratique, plusieurs IBAN peuvent ainsi renvoyer vers un seul et même compte, les virements émis ou reçus par ces identifiants étant tous enregistrés sur ce compte central. L’étude vise également des pratiques similaires commercialisées sous d’autres appellations, comme l’« IBAN-as-a-service », dès lors qu’elles impliquent la France.
L’étude montre que les IBAN virtuels répondent, dans la majorité des cas, à des besoins opérationnels légitimes. Cinq principaux cas d’usage sont distingués :
(1) la réconciliation des paiements,
(2) la comptabilité analytique,
(3) la centralisation de trésorerie au sein des groupes de sociétés,
(4) la réattribution en cascade de vIBAN
(5) la fourniture d’IBAN dont le code pays diffère du lieu de tenue du compte maître.
Les trois premiers usages semblent correspondre à un usage légitime, sous réserve toutefois d’un encadrement, tandis que la réattribution en escalade de vIBAN et la fourniture d’IBAN dont le code pays diffère du lieu de tenue du compte maître apparaissent plus risqué du point de vue de la LCB-FT.
Enfin, certains établissements soulignent l’utilisation de vIBANs comme un moyen de réduire les frais de tenue de compte. En effet, certains acteurs pratiquent des frais réduits, dès lors que ces comptes ne présentent pas de solde et n’engendrent pas les frais de gestion de comptes habituels. A ce titre, le recours à des vIBANs s’inscrit dans la politique tarifaire des établissements concernés.
l ) Les IBAN virtuels à faible risque
1) La réconciliation des paiements (affectation des paiements aux contreparties, chaque payeur se voyant attribuer un IBAN différent)
L’idée est la suivante : un client attribue un IBAN virtuel différent à chacun de ses débiteurs. cela permet de rapprocher plus facilement les encaissements de factures, sans dépendre du libellé du virement ou du nom du donneur d’ordre
Cet usage répond particulièrement aux besoins des acteurs qui reçoivent de nombreux paiements, comme les bailleurs, les marketplaces, mais aussi certains casinos en ligne ou prestataires de services sur crypto-actifs (PSCA), pour lesquels le vIBAN permet de fluidifier l’identification des flux entrants et à automatiser leur affectation.
2) La comptabilité analytique (différents IBAN utilisés par les différentes lignes métier)
L’usage analytique des IBAN virtuels consiste à attribuer un vIBAN à une catégorie d’opérations du client, plutôt qu’à une personne. L’objectif est de mieux organiser les flux entrants et sortants sans multiplier les sous-comptes : un IBAN peut ainsi correspondre à une branche d’activité, à un type de dépense, à une catégorie de clients, à un régime fiscal (exemple : appliquer un taux de TVA à une catégorie d’opérations) ou à une devise. Cet usage concerne surtout les sociétés non financières, qui utilisent les vIBAN comme un outil de gestion interne
L’ACPR considère que cet usage présente un niveau de risque faible, bien qu’il complexifie le suivi des transactions pour les tiers. Ainsi, deux risques sont décrits :
→ La lecture des flux : lorsqu’un même compte est associé à un grand nombre d’IBAN virtuels, plusieurs paiements peuvent sembler adressés à des comptes distincts alors qu’ils convergent en réalité vers un seul bénéficiaire. Cette configuration peut rendre plus difficile la détection de certains schémas de fractionnement : un virement important peut, par exemple, être divisé en plusieurs opérations vers différents vIBAN afin d’échapper plus facilement aux mécanismes de surveillance automatique.
→ : la qualité des informations figurant dans les messages de paiement : lorsque les IBAN virtuels sont utilisés pour émettre ou recevoir des flux, ils peuvent donner une image incomplète de l’opération et masquer sa finalité réelle. C’est notamment le cas lorsqu’un virement paraît adressé à un client final, alors qu’il bénéficie en réalité, économiquement, à un intermédiaire comme un prestataire de services sur crypto-actifs (PSCA). Dans une telle hypothèse, la banque contrepartie peut identifier le destinataire apparent des fonds, sans pour autant comprendre l’objet exact de l’opération, ce qui affaiblit la vigilance.
Toutefois, différentes mesures d’atténuations sont possibles :
- La mention obligatoire de l’identifiant d’entité juridique (IEJ/LEI) dans les paiements pourrait aider à repérer que plusieurs IBAN différents renvoient en réalité à une même société, mais uniquement lorsque le bénéficiaire est une personne morale.
- limiter le service d’iban virtuels aux seuls clients dont le besoin est justifié
- La déclaration des vIBAN aux registres de comptes bancaires nationaux
- obligation pour les établissements bénéficiaires de vérifier que les informations relatives au bénéficiaire figurant dans le message de paiement concordent avec celles enregistrées dans leurs propres bases.
- L’utilisation du champ « bénéficiaire ultime », en complément du champ bénéficiaire, dans les messages qui le permettent, pourrait faciliter l’identification du client final.
2) La gestion de trésorerie par des « centrales de trésorerie » qui opèrent des transactions financières pour plusieurs filiales au sein de groupes de sociétés.
Les IBAN virtuels peuvent également être utilisés dans le cadre de la centralisation de trésorerie au sein d’un groupe de sociétés. Dans ce schéma, un IBAN virtuel est attribué à chaque filiale, mais l’ensemble des opérations est enregistré sur un compte maître ouvert au nom de l’entité chargée de centraliser la trésorerie.
Ce cas d’usage est toutefois présenté comme à risque modéré, en raison des points suivants :
- Il existe un risque de mauvaise affectation des fonds, ceux-ci pouvant être attribués à tort soit à la filiale, soit à l’entité centralisatrice.
- le recours aux vIBAN peut atténuer la visibilité du risque géographique lorsque la centrale de paiement regroupe des sociétés situées dans plusieurs pays.
Il est rappelé par ailleurs que l’établissement qui émet les vIBAN n’est pas en relation directe avec les filiales du groupe et n’a donc pas, en principe, à recueillir sur elles les informations de connaissance client. Cela n’est toutefois acceptable que si l’entité qui centralise la trésorerie est bien autorisée à recevoir des fonds pour le compte des filiales, et si celles-ci n’utilisent pas directement les vIBAN comme leurs propres comptes. En revanche, les sociétés concernées doivent malgré tout être identifiées afin de permettre une bonne compréhension des opérations et de leurs bénéficiaires effectifs.
II. Cas d’utilisation d’IBAN virtuels illégitimes
Si les IBAN virtuels répondent à des usages opérationnels légitimes, le rapport conjoint de l’ACPR et de Tracfin met en évidence l’émergence de configurations présentant des risques élevés en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT). Ces situations reposent principalement sur un détournement des fonctionnalités des vIBAN, conduisant à une perte de transparence sur les flux financiers et à une complexification des dispositifs de vigilance.
1. La réattribution en cascade de vIBAN
Le premier cas d’usage à risque identifié correspond à la réattribution en cascade des IBAN virtuels. Dans ce schéma, un établissement met à disposition des IBAN virtuels à un client, généralement un prestataire de services de paiement, qui les redistribue ensuite à ses propres clients, lesquels peuvent eux-mêmes les affecter à des tiers. Cette succession d’intermédiaires conduit à une dissociation entre l’établissement teneur du compte principal et les utilisateurs finaux des IBAN virtuels.
Une telle structuration fragilise la chaîne de connaissance client. En effet, l’établissement émetteur des IBAN virtuels ne dispose en pratique que d’informations sur son client direct, sans visibilité suffisante sur les bénéficiaires économiques réels des opérations. Cette fragmentation de la relation d’affaires limite la capacité à apprécier la cohérence des flux et à détecter des opérations atypiques, notamment lorsque les paiements sont réalisés pour le compte de tiers.
Par ailleurs, la multiplication des IBAN virtuels pour un même utilisateur contribue à disperser son activité transactionnelle. Les flux apparaissent répartis entre plusieurs identifiants, ce qui rend plus difficile l’identification d’un comportement financier global et peut réduire l’efficacité des dispositifs de surveillance, en particulier face à des stratégies de fractionnement des opérations.
Ce type de montage peut également altérer la lisibilité des flux pour les établissements tiers. Dans certaines configurations, les paiements semblent être réalisés au bénéfice d’un utilisateur final, alors qu’ils sont en réalité centralisés sur le compte d’un intermédiaire. Cette dissociation entre l’apparence et la réalité économique des opérations complique l’analyse des transactions et peut masquer leur finalité réelle.
Enfin, la réattribution en cascade est susceptible de faciliter l’exercice non autorisé d’activités de services de paiement. En permettant à certains acteurs de proposer des services assimilables à de l’encaissement pour compte de tiers sans disposer des agréments requis, ces dispositifs peuvent conduire à une utilisation des IBAN virtuels comme de véritables comptes de paiement, sans que les exigences associées en matière de conformité ne soient respectées.
2. La fourniture d’IBAN identifiés dans un pays différent du compte maître
Le second cas d’usage à risque concerne la fourniture d’IBAN virtuels dont le code pays diffère de celui du compte principal auquel ils sont rattachés. Ces dispositifs permettent à un utilisateur de disposer d’un IBAN présentant les caractéristiques d’un compte local, alors même que les fonds sont en réalité détenus dans une autre juridiction.
Cette dissociation entre l’identifiant bancaire et la localisation effective des fonds porte directement atteinte à l’évaluation du risque géographique. Les contreparties peuvent être induites en erreur sur la nature domestique ou transfrontalière des opérations, ce qui est susceptible de conduire à une sous-estimation du niveau de risque et à l’absence de mise en œuvre de mesures de vigilance appropriées.
Ces mécanismes peuvent ainsi être exploités dans des schémas frauduleux. L’utilisation d’un IBAN présentant un code pays familier renforce la crédibilité de certaines escroqueries, les victimes étant davantage enclines à effectuer des virements vers ce type d’identifiant. Les fonds sont toutefois redirigés vers des comptes situés dans d’autres juridictions, ce qui complique leur traçabilité et leur éventuelle récupération.
L’utilisation d’IBAN virtuels « multi-pays » engendre également des incertitudes en matière de sanctions financières et de cadre réglementaire applicable. La détermination de la juridiction compétente et des obligations de filtrage peut s’en trouver affectée, créant des zones de risque dans les dispositifs de contrôle.
Sur le plan opérationnel, ces montages complexifient significativement le travail des autorités. A cet égard, l’identification de l’établissement effectivement teneur du compte et du pays dans lequel les fonds sont détenus peut nécessiter plusieurs étapes de coopération internationale, allongeant les délais d’enquête et réduisant l’efficacité des actions engagées, notamment dans les situations de fraude où la rapidité d’intervention est déterminante.
Enfin, ces dispositifs peuvent s’inscrire dans des circuits de blanchiment plus complexes, reposant sur la multiplication des intermédiaires et des juridictions. L’utilisation successive de différents IBAN virtuels et de comptes multidevises permet donc de brouiller progressivement la traçabilité des flux, rendant plus difficile l’identification de leur origine et de leur destination.
3. L’analyse de l’ACPR sur la réglementation et les pratiques d’atténuation des risques liés aux IBAN virtuels
Face à ces constats, l’ACPR adopte une approche fondée sur la réalité des services fournis plutôt que sur leur seule qualification technique. Lorsque les IBAN virtuels présentent des caractéristiques proches de celles d’un compte de paiement, notamment lorsqu’ils permettent de recevoir ou d’émettre des fonds pour le compte de tiers, ils doivent être analysés comme tels et soumis aux obligations réglementaires correspondantes. Cette position vise à limiter les effets d’opacité induits par certains montages et à garantir une application cohérente des exigences en matière de LCB-FT.
Au-delà de cette approche, le rapport met en avant plusieurs pratiques d’atténuation des risques. Celles-ci reposent notamment sur un renforcement des dispositifs de connaissance client, en particulier dans les situations impliquant des chaînes d’intermédiation. Les établissements sont ainsi incités à mieux appréhender les conditions dans lesquelles leurs clients utilisent les IBAN virtuels et, le cas échéant, à s’assurer de la qualité des dispositifs de vigilance mis en œuvre par ces derniers à l’égard de leurs propres clients.
Le rapport souligne également la nécessité d’encadrer les usages des IBAN virtuels. Cela peut passer par une limitation des fonctionnalités offertes ou par une restriction de leur utilisation aux cas présentant un besoin économique clairement identifié, afin d’éviter toute assimilation à des comptes de paiement autonomes.
Enfin, une attention particulière doit être portée au suivi des flux. Celui-ci doit reposer à la fois sur une vision consolidée du compte principal et sur une analyse des opérations associées à chaque IBAN virtuel, afin de vérifier leur cohérence avec le profil du client et l’usage déclaré. Cette approche vise à restaurer un niveau de transparence suffisant pour permettre une détection effective des opérations suspectes et répondre aux exigences du cadre LCB-FT.
La qualification de compte de paiement
L’ACPR considère que certains vIBANs ne sont pas de simples outils de routage, mais doivent être requalifiés en comptes de paiement dès lors qu’ils offrent une autonomie de gestion similaire à un compte classique. Deux critères majeurs entraînent cette requalification :
- Le critère géographique : pour l’ACPR, tout vIBAN affichant un code pays différent de celui où est tenu le compte principal est systématiquement assimilé à un compte de paiement.
- Le critère fonctionnel (Indice d’autonomie) : même si le code pays concorde avec celui du compte principal, un vIBAN perd sa qualification de « virtuel » (au sens du règlement UE 2024/1624) s’il présente des caractéristiques propres à la tenue de compte. Les indices retenus sont :
- La délivrance d’un RIB au nom d’une personne autre que le titulaire du compte principal ;
- La production de relevés de compte affichant un solde propre (qui n’est pas un simple sous-ensemble du compte principal) ;
- L’exécution d’opérations vers des contreparties distinctes du titulaire final.
- La possibilité d’initier des paiements depuis le vIBAN vers des tiers librement choisis. D’où la nécessité de paramétrer des règles qui interdisent par exemple les payouts vers des tiers, ou une limitation des payouts vers un compte bancaire au nom dudit client ;
- Les transferts de fonds entre différents vIBAN appartenant à un même client.
Une telle requalification semble importante pour éviter les pratiques de contournement des règles relatives à la fourniture d’un service de paiement sans être titulaire du statut adéquat. L’ACPR donne l’exemple d’un établissement régulé qui a dû faire une déclaration de soupçon relativement à l’un de ses agents ayant utilisé des vIBAN rattachés à son propre compte de paiement pour se faire passer pour un PSP et faire croire à ses victimes qu’il pouvait créer des comptes.
Conséquences opérationnelles
Pour éviter qu’un vIBAN ne soit requalifié en compte de paiement, les établissements doivent limiter l’usage de ces identifiants. Cela implique notamment :
- L’interdiction des payouts vers des tiers.
- La restriction des virements sortants vers un compte bancaire externe détenu exclusivement au nom du client.
La question des IBANs locaux & passeporting
Plusieurs établissements interrogés par l’ACPR justifient l’utilisation de vIBANs pour faire échec aux pratiques de discrimination à l’IBAN. Pour rappel, il s’agit d’une situation où des clients de fintechs européennes se voient refuser leur IBAN par des commerçants. Une telle pratique est illicite.
La fourniture d’IBAN avec un code de pays spécifique ne devrait être possible que pour les PSPs disposant d’un “établissement” (siège social ou une succursale) dans le pays concerné, conformément au principe de liberté d’établissement au titre du passeport européen.
Cela découle du fait que les registres nationaux ne peuvent techniquement attribuer un code interbancaire, qui est un élément clé des IBAN, qu’aux seuls établissements locaux.
Par conséquent, un établissement souhaitant proposer un IBAN FR à sa clientèle doit ouvrir une succursale en France soumise à la réglementation financière sectorielle. La fourniture d’un IBAN FR à une clientèle de consommateurs déclenche l’application du socle protecteur du droit de la consommation français. Le PSP doit notamment garantir l’accès au médiateur français compétent., S’assurer que l’ensemble des procédures de contrôle interne intègre les exigences de protection du client final selon les normes de l’État d’accueil.
Enfin, afin de prévenir tout conflit de normes transfrontalier et d’assurer la clarté des flux, l’ACPR impose une restriction structurelle importante à travers la prohibition du multi-IBAN : le refus le rattachement de plusieurs IBAN présentant des codes pays différents (ex: FR et DE) à un seul et même compte principal (compte maître). Chaque identifiant national doit correspondre à une structure de compte distincte, garantissant une vision claire et non équivoque des flux de paiement.
