L’Autorité bancaire européenne (ABE) a mené une enquête sur les IBANs virtuels (vIBANs), émis et utilisés par les prestataires de services de paiement (PSPs).
Pour réaliser cette étude, l’ABE a consulté les autorités nationales compétentes et a mené des entretiens avec une vingtaine de PSPs. Elle s’est également appuyée sur ses travaux antérieurs et sur des informations fournies par la Commission européenne et Europol.
Publié le 24 mai 2024, le rapport de l’ABE met en lumière l’absence de cadre commun lié aux vIBANs, entraînant des pratiques et régulations hétérogènes au sein de l’Union européenne. Il identifie également les principaux risques liés aux vIBANs, notamment en matière de blanchiment d’argent et de financement du terrorisme.
Caractéristiques et cas d’usage des vIBANs
Un IBAN (International Bank Account Number) est un numéro de compte de paiement qui identifie sans équivoque un compte de paiement individuel ouvert dans un Etat membre, et dont les éléments sont spécifiés par l’Organisation internationale de normalisation (ISO).
Il se compose d’un code pays en deux lettres, de deux chiffres de contrôle, et de jusqu’à 30 caractères alphanumériques pour le BBAN (Basic Bank Account Number) correspondant à l’institution financière qui gère le compte.
Un vIBAN, bien qu’ayant le même format qu’un IBAN régulier, n’a pas la capacité de contenir un solde réel. Il n’est utilisé que pour rediriger les paiements entrants vers un IBAN régulier lié à un compte bancaire physique. Cette définition reprend celle donnée par l’ABE l’an dernier dans son rapport sur les risques de blanchiment de capitaux et de financement du terrorisme (BC-FT) associés aux établissements de paiement (EBA/REP/2023/18, 16 juin 2023).
L’ABE dresse une liste de six cas d’usage des vIBANs :
- Un PSP ayant une succursale dans un État membre peut proposer à ses clients des vIBANs avec le code pays de cet État, le compte principal étant détenu et géré dans l’État membre d’origine.
- Plutôt que d’ouvrir une succursale (processus long et coûteux), un PSP peut s’associer à un autre PSP pour offrir des vIBANs émis par ce dernier, avec l’identifiant et le code pays du PSP partenaire.
- Un PSP peut collaborer avec une banque pour offrir des vIBANs émis par cette dernière, avec le code pays commun aux deux entités. Cela permet notamment de surmonter les problématiques liées à l’accès direct aux systèmes de paiement.
- Les institutions hors UE offrent à leurs clients hors UE des vIBANs émis par un PSP partenaire, avec l’identifiant du PSP partenaire et le code pays de l’État membre où le PSP partenaire est agréé.
- Les institutions hors UE offrent à leurs clients mondiaux des vIBANs émis par un PSP partenaire, avec l’identifiant du PSP partenaire et le code pays de l’État membre où le PSP partenaire est agréé.
- Les PSPs offrent des vIBANs aux entreprises gérant les paiements pour le compte d’autres sociétés du groupe, et ces vIBANs sont attribués aux filiales du groupe.
Les vIBANs facilitent la réconciliation des paiements, réduisent la discrimination à l’IBAN, centralisent les paiements au sein d’un groupe, diminuent les coûts liés à l’ouverture et la gestion de comptes bancaires multiples et réduisent les frais de conversion pour les paiements multidevises.
Sur le cas particulier des discriminations à l’IBAN, il convient de rappeler qu’il s’agit d’une situation dans laquelle un PSP (une banque par exemple) refuse d’accepter un IBAN dont le code pays est celui d’un Etat autre que celui où ledit PSP est situé. Cela entraîne l’impossibilité pour l’utilisateur de réaliser des opérations de paiement SEPA. Cette pratique est pourtant prohibée par le Règlement SEPA : à ce titre, l’ABE rappelle que la jurisprudence de la Cour de justice de l’Union européenne (CJUE) confirme une telle infraction. Cependant, cette pratique persiste dans l’UE et affecte de nombreuses fintechs.
Principaux risques et enjeux
L’ABE a identifié plusieurs risques liés aux vIBANs, principalement causés par les divergences dans leur reconnaissance et régulation entre les États membres. Ce manque de consensus entraîne une application inégale des réglementations, augmentant ainsi les risques de BC-FT, en particulier en cas de fourniture transfrontalière de vIBANs.
Cette divergence concerne également l’application de la nouvelle règle de l’IBAN-Check (introduite par le Règlement sur les paiements instantanés) lorsque le bénéficiaire utilisant un vIBAN n’est pas le titulaire du compte principal.
Pour les PSPs, les risques de BC-FT sont dus au manque de visibilité sur l’identité des utilisateurs finaux des vIBANs et aux lacunes dans la surveillance des transactions. Le PSP fournissant le compte principal et les vIBANs doit s’assurer que le PSP proposant les vIBANs à ses clients (clients finaux) dispose d’un système robuste de LCB-FT et comprend bien la nature des services fournis ainsi que la composition de sa clientèle.
De plus, certains PSPs ont exprimé des préoccupations concernant le choix de l’unité de renseignement financier à laquelle soumettre une déclaration de transaction suspecte : celle de l’État membre mentionné dans le code pays du vIBAN et où le PSP a une succursale, ou celle de l’État membre où le compte principal est détenu et géré.
Les autorités nationales, quant à elles, signalent un manque de visibilité sur les offres de vIBANs des PSPs dans leur juridiction, les enquêtes menées en la matière étant encore très lacunaires.
Du côté des utilisateurs finaux, il existe des risques lorsque ceux-ci ne sont pas les titulaires du compte principal, du fait des interprétations divergentes entre les autorités sur la qualification des services de paiement concernés dans ces cas.
Par ailleurs, l’absence de cadre commun peut conduire les acteurs à choisir des juridictions plus laxistes, créant ainsi des déséquilibres concurrentiels sur le marché européen.
Facteurs de risque BC-FT associés aux vIBANs
Dans une annexe au rapport, l’ABE liste des facteurs d’augmentation et d’atténuation des risques que les autorités nationales peuvent utiliser pour évaluer les risques de BC-FT associés aux vIBANs.
Facteurs d’augmentation du risque BC-FT | Facteurs d’atténuation du risque LCB-FT |
Absence de relation contractuelle entre le PSP gérant le compte principal et émettant les vIBANs et les utilisateurs finaux des vIBANs, ce qui signifie que l’identité ou la localisation de l’utilisateur final peut ne pas être connue du PSP gérant le compte principal | Relation commerciale directe entre le PSP gérant le compte principal et l’utilisateur final du vIBAN, qui est identifié et vérifié. |
Manque de transparence des transactions des utilisateurs finaux | Lorsque le PSP gérant le compte principal et émettant les vIBANs est différent du PSP offrant les vIBANs aux utilisateurs finaux :
|
Absence de limitations appliquées par un PSP sur le nombre de vIBANs pouvant être détenus par l’utilisateur final | Utilisateurs finaux et compte principal basés dans l’UE |
Titulaire de compte principal ou, si différent, utilisateur final de vIBAN basé dans un pays hors UE à haut risque ou dans un pays où les règles de LCB-FT sont moins strictes que celles définies par la directive AMLD. | Le PSP offrant des vIBANs aux utilisateurs finaux est un organisme assujetti en vertu de la directive AMLD et dispose de systèmes LCB-FT et de contrôles efficaces |
Documents associant le vIBAN à des noms de tiers autres que le titulaire vérifié du compte principal, ou toute caractéristique induisant en erreur sur l’identité du titulaire du compte. | PSP imposant des limitations sur le type de paiements traités via le vIBAN (par exemple, rechargement de compte de monnaie électronique) |
Possibilité pour les clients de créer, supprimer ou désactiver des vIBANs sans l’intervention du PSP émettant les vIBANs et une surveillance limitée de leur utilisation réelle (avec accès direct via une API, par exemple). | PSP gérant le compte principal limitant la fourniture de vIBANs par les seuls agents enregistrés. |
Une clarification souhaitée
L’ABE recommande de clarifier la définition des vIBANs ainsi que leur interaction avec les réglementations européennes existantes, telles que le Règlement SEPA, la DSP2, la CRD et le Règlement sur les paiements instantanés.
En particulier, il est préconisé de préciser la notion de « compte de paiement » et de déterminer si les utilisateurs de vIBANs, qui ne sont pas les titulaires du compte principal, sont considérés comme possédant un compte de paiement au sens de la DSP2. Cette initiative de l’ABE devrait nourrir les échanges du législateur européen en vue d’une version finale de la DSP3 et du RSP.
Il est également souhaitable de renforcer la surveillance des PSPs émettant et utilisant des vIBANs. Les autorités nationales doivent améliorer leur coopération et les échanges d’informations, tant lors de la délivrance du passeport européen que dans le cadre de la supervision continue des activités des PSPs.
Le futur Règlement LCB-FT, dans sa dernière version, présente quelques avancées :
- Il définit l’IBAN virtuel comme étant « un identifiant qui a pour effet de rediriger les paiements vers un compte de paiement identifié par un IBAN différent de cet identifiant ».
- L’article 22 relatif à l’identification et vérification de l’identité du client et du bénéficiaire effectif dispose que l’établissement de crédit ou l’institution financière gérant le compte principal vers lequel un vIBAN redirige des paiements doit pouvoir obtenir sans retard, et au plus tard dans les cinq jours ouvrables suivant la demande, des informations de l’établissement émetteur permettant d’identifier et de vérifier l’identité de l’utilisateur final du vIBAN.