Flash BankNews | IBAN virtuels : ACPR et Tracfin alertent sur des pratiques risquées en matière de LCB-FT

Le rapport se base sur un questionnaire adressé par l’ACPR en 2023 à 23 établissements, dont 14 établissements de crédit, 5 établissements de monnaie électronique et 4 établissements de paiement, français ou étrangers exerçant une activité en France. Il s’appuie également sur des constats réalisés par l’ACPR dans le cadre de ses contrôles et a été enrichi par les analyses menées par Tracfin.

Ces travaux ont permis d’identifier les principaux cas d’usage des IBAN virtuels et de mettre en évidence différents niveaux de risque en matière de LCB-FT, à travers la présentation de 18 cas illustratifs.

vIBAN : une adoption massive accélérée par des besoins croissants d’automatisation et d’optimisation des flux

Les IBAN virtuels (ou vIBAN) désignent des identifiants bancaires secondaires ayant l’apparence formelle d’un IBAN, associés à un compte de paiement unique, dit « compte maître », sur lequel est enregistré l’ensemble des opérations réalisées à partir de ces identifiants.

Ce dispositif est notamment utilisé pour répondre à des besoins de réconciliation des paiements, de comptabilité analytique et de gestion de trésorerie.

Déployés en France depuis une dizaine d’années, les services de vIBAN ont connu un développement significatif, porté par des besoins croissants d’automatisation et d’optimisation des flux financiers. L’étude menée par l’ACPR met en évidence une adoption importante de ces dispositifs par divers acteurs, incluant notamment les institutions financières, les entreprises et les particuliers.

A fin 2022, environ 1,7 million de vIBAN actifs étaient recensés en France, pour près de 400 000 clients et un volume transactionnel mensuel de 4 milliards d’euros.

Des usages majoritairement légitimes présentant des risques faibles à modérés

Dans la grande majorité des cas observés, les services de vIBAN sont utilisés pour répondre à des besoins opérationnels légitimes. Le rapport analyse ainsi plusieurs usages classiques, notamment en matière de réconciliation des paiements, de comptabilité analytique et de gestion de trésorerie au sein de groupes de sociétés.

Ces dispositifs permettent d’automatiser le rapprochement des flux, de structurer leur suivi et de centraliser les opérations au niveau d’un compte maître, facilitant ainsi la gestion financière des acteurs concernés. Dans ce cadre, ils sont généralement appréhendés comme des subdivisions d’un même compte de paiement, et non comme des comptes distincts, dès lors qu’ils présentent des caractéristiques homogènes et sont associés à un même client.

A titre d’illustration, un acteur peut attribuer un vIBAN distinct à chacun de ses clients afin d’identifier automatiquement l’origine des paiements reçus, sans avoir à effectuer de rapprochement manuel. De même, dans un groupe de sociétés, une entité centralisatrice peut utiliser des vIBAN pour distinguer les flux de ses différentes filiales tout en conservant un compte unique.

Toutefois, l’ACPR souligne que ces usages, bien que légitimes, présentent certaines limites, générant des risques globalement faibles à modérés. Dans le cadre de schémas de centralisation de trésorerie, l’établissement peut ne pas disposer d’une connaissance directe des entités opérationnelles utilisant les vIBAN, notamment les filiales, en l’absence de relation d’affaires avec celles-ci. Les flux peuvent également être mal attribués entre les entités d’un groupe, ce qui complique l’identification du bénéficiaire réel.

Par ailleurs, l’utilisation de vIBAN peut notamment altérer la lisibilité et la compréhension des opérations, en particulier pour les établissements tiers, en donnant une vision partielle ou inexacte de leur finalité. Ainsi, un virement peut apparaître comme adressé à un particulier alors qu’il est en réalité destiné à un intermédiaire, ce qui peut conduire à une appréciation incomplète du risque associé à l’opération.

Enfin, l’utilisation de vIBAN peut masquer la dimension internationale de certaines opérations et ainsi fausser l’appréciation du risque géographique, en donnant l’apparence de flux domestiques alors que les opérations concernent en réalité plusieurs juridictions.

Identification de deux catégories de services présentant des risques LBC-FT accrus

Au-delà des usages légitimes, le rapport identifie deux cas plus complexes de services d’IBAN virtuels, présentant des niveaux de risque significativement plus élevés :

-       La réattribution en cascade de vIBAN 

-       La fourniture de vIBAN avec un code de pays différent du pays dans lequel le compte est tenu. 

En effet, le rapport met en évidence que ces configurations peuvent conduire à une opacification des flux financiers, en fragmentant l’information entre plusieurs acteurs ou en altérant les données utilisées pour l’analyse des opérations. Cette perte de lisibilité constitue un facteur de risque majeur, en particulier dans un contexte où les dispositifs de lutte contre le blanchiment reposent largement sur la qualité et la cohérence des informations disponibles.

La réattribution en cascade, un facteur de perte de visibilité sur les utilisateurs finaux

Le premier type de configuration à risque concerne les mécanismes de réattribution en cascade des IBAN virtuels. Dans ces situations, un établissement met des vIBAN à disposition d’un prestataire de services de paiement, qui peut lui-même les redistribuer à ses propres clients, voire à plusieurs niveaux successifs. Ce type d’organisation rompt le lien direct entre l’établissement émetteur et les utilisateurs finaux des vIBAN.

Par exemple, un établissement peut fournir des vIBAN à un PSP, qui les attribue à des commerçants, eux-mêmes susceptibles de les utiliser pour collecter des fonds pour le compte de leurs propres clients. Dans ce schéma, l’établissement initial ne dispose plus d’une vision directe des utilisateurs finaux ni de la finalité des flux.

Dans ce cadre, l’établissement ne dispose pas d’une connaissance complète des clients utilisant effectivement les vIBAN, et dépend d’intermédiaires pour la mise en œuvre des obligations de vigilance. Cette organisation peut entraîner une fragmentation de l’information, une perte de visibilité sur les flux et une difficulté à reconstituer l’activité réelle d’un utilisateur.

En pratique, ces dispositifs peuvent conduire à l’utilisation de vIBAN comme de véritables comptes de paiement, sans que les exigences associées en matière de connaissance client et de surveillance des opérations ne soient pleinement appliquées. Ils peuvent également faciliter l’exercice d’activités de fourniture de services de paiement par des acteurs ne disposant pas des agréments.

Une altération de l’information géographique pouvant fausser l’appréciation des risques

Un second type de configuration à risque concerne les vIBAN dont le code pays diffère du pays de tenue du compte principal. Dans ces situations, l’IBAN utilisé dans les échanges ne reflète pas la localisation réelle des fonds.

A titre d’illustration, un client peut être invité à effectuer un virement vers un IBAN français, alors que les fonds sont en réalité crédités sur un compte situé dans une autre juridiction. Ce mécanisme peut donner l’apparence domestique alors qu’il est en réalité transfrontalier.

Ce type de dispositif peut altérer significativement l’appréciation du risque géographique et limiter l’efficacité des dispositifs de filtrage, en particulier en matière de sanctions financières.

Par ailleurs, cette dissociation entre le code pays de l’IBAN et la localisation réelle des fonds peut être exploitée dans des schémas frauduleux, en donnant aux contreparties une impression trompeuse de proximité ou de sécurité. Elle peut également compliquer l’action des autorités, en retardant l’identification de la juridiction compétente ou en faussant l’analyse des flux.

Une maturité encore hétérogène des pratiques et l’identification de limites structurelles dans la maitrise des risques par les établissements

Le rapport met en évidence une hétérogénéité marquée des pratiques des établissements en matière de services d’IBAN virtuels. Les modalités de mise en œuvre, les périmètres d’utilisation et les dispositifs d’encadrement varient significativement d’un acteur à l’autre, traduisant un niveau de maturité encore inégal sur ces sujets.

Cette diversité se reflète notamment dans la manière dont les établissements appréhendent la nature des vIBAN. Si certains les utilisent comme de simples outils de gestion des flux, d’autres les intègrent dans des configurations plus complexes, susceptibles de se rapprocher de comptes de paiement. Cette absence d’approche homogène contribue à une lecture parfois ambiguë de ces dispositifs.

Par ailleurs, les limites observées dans les configurations à risque ne relèvent pas uniquement de cas isolés, mais traduisent des fragilités plus structurelles dans la maîtrise des dispositifs de vIBAN.

En particulier, les difficultés de connaissance des utilisateurs finaux, déjà observées dans les schémas de réattribution en cascade, ainsi que les biais introduits par l’utilisation du code pays de l’IBAN dans l’analyse des flux, illustrent les limites des dispositifs actuels de vigilance.

Ces constats mettent en lumière une inadéquation partielle entre les outils de contrôle existants et les spécificités des services de vIBAN, notamment lorsque ceux-ci s’inscrivent dans des chaînes d’intermédiation complexes ou reposent sur des informations qui ne reflètent pas la réalité des opérations.

Un renforcement attendu du cadre réglementaire et opérationnel

Au regard de ces constats, l’ACPR souligne la nécessité de renforcer l’encadrement des services d’IBAN virtuels, en particulier en matière de connaissance client, de traçabilité des flux et de maîtrise des schémas d’intermédiation.

Ces attentes s’inscrivent dans le cadre du nouveau dispositif européen de lutte contre le blanchiment, notamment le règlement (UE) 2024/1624, dont l’entrée en application est prévue à compter du 10 juillet 2027. Ce règlement, en particulier à travers ses articles 2, 16 et 22, renforce les exigences applicables aux prestataires de services de paiement en matière d’identification des clients et de compréhension de la finalité et de la nature des opérations.

Dans ce contexte, les établissements proposant des services de vIBAN devront s’assurer qu’ils conservent une visibilité suffisante sur les utilisateurs finaux, y compris en présence d’intermédiaires, et qu’ils sont en mesure de reconstituer la chaîne des opérations et d’en comprendre la finalité économique.

Par ailleurs, le rapport évoque les réflexions en cours sur l’évolution des normes de messagerie de paiement, notamment dans le cadre des standards ISO, afin de mieux refléter la réalité des flux et des acteurs impliqués. Ces évolutions pourraient conduire à un renforcement des exigences en matière de qualité, de granularité et de cohérence des données utilisées pour l’analyse des transactions.

Plus largement, ces transformations devraient conduire à une utilisation plus encadrée et plus transparente des vIBAN, en limitant les configurations les plus complexes susceptibles de fragiliser la chaîne de contrôle. Dans ce contexte, les établissements devront adapter leurs dispositifs afin de garantir une maîtrise effective des flux et d’anticiper les exigences du futur cadre réglementaire.

Nos équipes sont disponibles pour vous aider à structurer vos dispositifs afin d’assurer une bonne maitrise des risques liés à l’utilisation des IBAN virtuels.

RESTEZ INFORMÉ(E) DE L'ACTUALITÉ BANCAIRE, ABONNEZ-VOUS AUX FLASH BANKNEWS.