La France dispose désormais d’un fichier national des comptes signalés pour risque de fraude. Une avancée attendue face aux virements frauduleux, aux faux RIB et aux comptes mules. Mais derrière la promesse d’un partage d’informations entre banques se cache un défi plus complexe. Pour être efficace, ce fichier devra, en effet, être bien alimenté, bien synchronisé et correctement exploité par tous les acteurs du paiement.
Pendant des années, la fraude bancaire a profité d’une faiblesse évidente. Chaque banque voyait une partie du problème, rarement l’ensemble. Un compte suspect pouvait être repéré par un établissement, puis continuer à circuler dans les radars d’un autre. Les fraudeurs, eux, l’ont parfaitement compris. Ils exploitent la vitesse des virements, la multiplication des comptes mules et les failles de coordination entre acteurs.
C’est précisément ce verrou que le FNC-RF veut faire sauter. Depuis mai 2026, le fichier national des comptes signalés pour risque de fraude permet aux prestataires de services de paiement exerçant en France de partager les IBAN suspectés d’être utilisés dans des opérations frauduleuses. Le dispositif est géré par la Banque de France et s’inscrit dans le prolongement de la loi du 6 novembre 2025 visant à renforcer la lutte contre la fraude bancaire.
L’idée est simple. Lorsqu’un établissement détecte un compte potentiellement utilisé dans une fraude, il peut le signaler dans le fichier. Les autres banques et établissements de paiement peuvent ensuite intégrer cette information dans leurs propres contrôles. Avant d’exécuter un virement, une banque peut ainsi repérer que l’IBAN destinataire a déjà fait l’objet d’une alerte. Elle peut prévenir son client, renforcer les vérifications ou bloquer l’opération selon ses règles internes.
Et l’enjeu est loin d’être marginal. La fraude aux moyens de paiement reste proche de 1,2 milliard d’euros par an en France. La fraude par manipulation, celle où la victime est poussée à agir elle-même, représente à elle seule plusieurs centaines de millions d’euros. Faux conseiller bancaire, faux fournisseur, fraude au président, changement frauduleux d’IBAN, usurpation d’identité, le scénario varie, mais la mécanique est souvent la même. L’argent part vers un compte qui sert de point de passage, puis disparaît très vite.
Le FNC-RF ne fiche pas les personnes. Il recense des alertes liées à des comptes bancaires. Les informations portent notamment sur l’IBAN, le BIC, la date de détection, la catégorie de fraude ou encore, lorsque c’est disponible, la méthode utilisée par le fraudeur. Le dispositif n’est donc pas conçu comme un fichier noir des clients bancaires, mais comme une base d’alerte sur des coordonnées de paiement suspectes.
C’est une avancée importante, car elle marque un changement culturel. La fraude n’est plus seulement traitée comme un incident interne à chaque établissement. Elle devient un risque qui appelle une réponse collective. Dans un monde de virements instantanés et de parcours bancaires entièrement digitalisés, cette logique de mutualisation devient une condition de survie.
Le vrai défi commence après le lancement
Ce fichier est une avancée positive, mais il ne réglera pas le problème à lui seul. Un fichier partagé n’est efficace que si les données sont fiables, fraîches, bien exploitées et correctement reliées aux moteurs de détection internes.
Le FNC-RF n’est pas un simple bouton rouge sur lequel une banque appuie pour savoir instantanément si un IBAN est dangereux. Les établissements doivent se connecter au dispositif, récupérer les données, les intégrer dans leurs systèmes, éviter les doublons, tracer les consultations, gérer les alertes reçues et répondre lorsqu’un compte tenu dans leurs livres est signalé par un tiers.
Le socle technique retenu, MISP, vient du monde de la cybersécurité. Cette plateforme open source est historiquement utilisée pour partager des indicateurs de menaces. Ce choix se comprend. La fraude bancaire ressemble de plus en plus à une forme de renseignement opérationnel, où l’on partage des signaux faibles, des attributs et des événements. Mais ce choix a aussi ses limites. MISP raisonne d’abord en événements. Or les banques ont besoin d’une vision consolidée par IBAN, exploitable rapidement par leurs équipes fraude, conformité et paiement.
Et ça change tout. Si un même IBAN est signalé plusieurs fois, il ne suffit pas d’empiler les alertes. Il faut les rapprocher, les qualifier, comprendre leur contexte et décider ce qu’il faut faire. Le compte est-il réellement frauduleux ? Est-il déjà clos ? Appartient-il à un commerçant légitime victime d’un signalement abusif ? L’établissement qui reçoit l’alerte est-il bien le teneur du compte ? Sans traitement rigoureux, le dispositif peut produire du bruit, des doublons et des décisions difficiles à justifier.
Autre limite sensible, l’absence de notification automatique native. Un PSP doit interroger régulièrement le système pour repérer les nouvelles alertes qui le concernent. Cela suppose une vraie organisation. Une banque bien équipée pourra automatiser une grande partie du traitement. Une petite fintech ou un établissement de paiement avec peu de ressources devra, lui, arbitrer entre conformité, coût technique et efficacité réelle.
La qualité de donnée est un sujet tout aussi critique. Chaque acteur doit, en effet, maintenir son propre référentiel local des comptes suspects. Cela crée un risque classique dans les systèmes distribués. Plusieurs copies de la même vérité circulent, mais elles ne sont pas toujours synchronisées au même moment. Dans la lutte contre la fraude, quelques heures peuvent suffire pour vider un compte mule. Un dispositif mal synchronisé perd vite une partie de sa valeur.
Reste enfin la question de la responsabilité. Que se passera-t-il si un virement part vers un IBAN déjà signalé ? À l’inverse, comment traiter le cas d’un compte légitime bloqué ou suspecté à tort ? Qui supportera le coût opérationnel des faux positifs ? Qui démontrera, en cas d’audit, que les alertes ont été reçues, analysées et traitées dans les temps ?
Le FNC-RF est donc une bonne nouvelle, mais ce n’est pas une solution magique. C’est une infrastructure de confiance dont la valeur dépendra de l’usage qui en sera fait. Si les établissements l’alimentent mal, le consultent trop tard ou l’exploitent de manière artisanale, il deviendra une base de plus dans un paysage déjà saturé d’outils. S’ils l’intègrent au cœur de leurs processus anti-fraude, il peut au contraire devenir un levier puissant pour freiner les virements frauduleux avant que l’argent ne sorte du circuit.
La prochaine étape sera européenne. Les discussions autour du futur règlement sur les services de paiement prévoient d’élargir le partage d’informations antifraude au-delà de l’IBAN, avec d’autres indicateurs comme l’adresse e-mail, le numéro de téléphone ou l’identifiant de terminal. La France prend donc de l’avance. Mais cette avance ne vaudra que si le dispositif national prouve rapidement son efficacité.