La Verification of Payee devait rassurer l’Europe des paiements. Avant un virement, la banque vérifie que le nom du bénéficiaire correspond bien à l’IBAN saisi. Est-ce utile ? Oui. Suffisant ? Absolument pas. Car VoP ne vérifie ni la légitimité d’une facture, ni l’identité réelle d’un fournisseur, ni le contexte d’un changement de RIB. Et c’est précisément dans cet zone d’ombre que les fraudeurs savent travailler.
Le dispositif VoP part d’une bonne idée, empêcher qu’un virement parte vers un compte qui ne correspond pas au bénéficiaire indiqué. Depuis octobre 2025, les prestataires de services de paiement de la zone euro doivent proposer gratuitement ce service pour les virements standards et instantanés. Le payeur reçoit alors un signal avant validation : correspondance, correspondance proche, absence de correspondance ou vérification impossible.
Mais il ne s’agit que d’un contrôle de cohérence entre un nom et un identifiant de compte. Pas d’un contrôle antifraude complet. VoP ne dit pas : “ce fournisseur est légitime”. Il dit : “le nom indiqué ressemble, ou non, au nom rattaché à cet IBAN”. Ce n’est pas la même chose.
Or quand une réglementation s’applique à environ 2 700 PSP différents en Europe, avec des algorithmes de rapprochement hétérogènes, on ne crée pas une vérité unique. On crée une mécanique de signalement, avec ses incohérences, ses zones d’incertitude et ses angles morts.
Là où l’algorithme hésite, le fraudeur insiste
Le premier contournement consiste à jouer avec les marges du “close match”. Une entreprise peut avoir plusieurs dénominations : raison sociale, nom commercial, filiale, branche locale, acronyme, ancienne appellation, libellé tronqué. Entre “ABC Ltd”, “ABC Limited”, “ABC France” ou “ABC Consulting”, le système peut hésiter. L’Euro Banking Association a d’ailleurs pointé l’absence de logique standardisée de name-matching sur l’ensemble du marché, chaque PSP pouvant appliquer ses propres critères.
Le deuxième contournement passe par l’homonymie. Le fraudeur n’a pas forcément besoin d’obtenir une correspondance parfaite. Il peut créer ou utiliser une entité dont le nom ressemble suffisamment à celui attendu pour provoquer une ambiguïté acceptable. Le payeur reçoit un avertissement, mais pas nécessairement un signal assez fort pour bloquer son geste. Dans un service comptable sous pression, avec des dizaines de virements à traiter, un “close match” peut vite devenir une formalité.
Le troisième contournement est psychologique. Plus les utilisateurs voient des alertes, moins ils les respectent. Si 30 ou 40 % des vérifications produisent des “close match”, “no match” ou “verification impossible” à traiter, le dispositif risque de générer une fatigue de l’alerte. À force d’être avertis pour de mauvaises raisons, les collaborateurs finissent par ignorer les bonnes alertes.
Et là, les fraudeurs n’ont même plus besoin de contourner la technologie. Ils contournent l’attention humaine.
VoP ne bloque pas forcément le paiement
Rappelons par ailleurs que VoP informe, mais ne verrouille pas toujours. L’EPC précise que le PSP doit communiquer la réponse au payeur et l’avertir du risque en cas de “no match” ou de vérification impossible. Mais c’est ensuite le payeur qui décide de poursuivre ou non. Empêcher automatiquement l’exécution d’un virement à cause du résultat VoP serait même contraire aux rulebooks VoP et SCT/SCT Inst.
Autrement dit, le dispositif transfère une partie de la décision vers l’utilisateur. Et donc, mécaniquement, vers le processus interne de l’entreprise. C’est là que les scénarios de fraude restent ouverts : faux changement d’IBAN, usurpation de fournisseur, compromission d’une boîte mail, fausse facture, manipulation d’un collaborateur, pression d’urgence, relance téléphonique, faux dirigeant. Dans tous ces cas, VoP ne voit qu’un fragment du problème. Il voit le nom et l’IBAN. Il ne voit pas l’histoire qui a conduit à saisir cet IBAN.
La vraie bataille se joue avant le virement
VoP n’est donc pas une réponse magique à la fraude au paiement. La vraie sécurité commence avant l’ordre de virement : dans la qualité du référentiel fournisseurs, la vérification KYC/KYB, la traçabilité des changements de coordonnées bancaires, la séparation des rôles, la validation hors canal, la détection des comportements inhabituels et la capacité à suspendre un paiement douteux avant qu’il ne parte.
VoP doit devenir un signal parmi d’autres. Pas le juge suprême. VoP est une barrière utile. Mais une barrière qui laisse encore passer ceux qui savent se présenter avec le bon nom, au bon moment, dans le bon angle mort.
