Pendant longtemps, les banques se sont retrouvées dans une situation paradoxale. Lorsqu’un établissement identifiait un compte bancaire utilisé dans le cadre d’une escroquerie, cette information demeurait largement confinée à ses propres systèmes d’information. Le fraudeur pouvait alors poursuivre ses opérations auprès d’autres établissements qui ignoraient totalement le risque. Cette époque touche désormais à sa fin.
Le 7 mai 2026, le ministère de l’Économie et la Banque de France ont mis en service le Fichier National des Comptes signalés pour Risque de Fraude (FNC-RF), un registre centralisé destiné à mutualiser les signalements d’IBAN suspects entre les banques et les prestataires de services de paiement. L’objectif affiché est clair : freiner l’explosion des fraudes aux virements qui coûtent chaque année plusieurs centaines de millions d’euros aux particuliers et aux entreprises.
À première vue, cette initiative pourrait sembler éloignée des préoccupations quotidiennes des intermédiaires en opérations de banque et en services de paiement. Pourtant, les IOBSP seraient bien inspirés de s’intéresser de près à cette évolution. Car derrière la question des IBAN frauduleux se cache une réalité beaucoup plus inquiétante : la profession est aujourd’hui exposée à des attaques sophistiquées qui exploitent directement les informations contenues dans les dossiers de crédit.
Une fraude qui ne repose plus sur la technique mais sur la confiance
Lorsque l’on évoque le piratage informatique, l’imaginaire collectif se représente encore souvent un individu tentant de pénétrer illégalement dans un système informatique sécurisé. Dans la réalité, la fraude moderne repose moins sur la technologie que sur la psychologie.
Le fraudeur ne cherche plus nécessairement à contourner les mécanismes de sécurité bancaire. Il cherche à convaincre sa victime d’effectuer elle-même le virement.
Cette approche, que les spécialistes qualifient de fraude par manipulation, connaît une croissance spectaculaire. Les montants détournés atteignent désormais des niveaux préoccupants. Les fraudeurs se présentent comme un notaire, un constructeur, un promoteur immobilier, un artisan, un fournisseur ou même un conseiller bancaire. Ils adressent à leur victime un message parfaitement crédible indiquant qu’un changement de coordonnées bancaires est intervenu et qu’il convient désormais d’utiliser un nouvel IBAN.
Le résultat est souvent dramatique. Convaincu d’agir conformément aux instructions reçues, le client effectue lui-même le virement vers le compte contrôlé par les escrocs.
Dans un dossier immobilier, le préjudice peut atteindre plusieurs dizaines de milliers d’euros. Dans certains cas, ce sont l’apport personnel, les frais de notaire ou même des appels de fonds complets qui disparaissent.
Le nouveau risque : lorsque le pirate connaît déjà votre dossier
Mais le phénomène évolue encore. La véritable menace pour les années à venir n’est probablement pas le simple courriel frauduleux envoyé au hasard. Le danger réside dans la capacité croissante des cybercriminels à s’introduire discrètement dans les systèmes d’information des entreprises. Un cheval de Troie installé sur l’ordinateur d’un collaborateur, un mot de passe compromis, une boîte mail piratée ou un accès frauduleux au CRM peuvent permettre à un attaquant d’observer silencieusement l’activité d’un cabinet pendant plusieurs semaines.
Contrairement à l’image du pirate qui agit brutalement, le cybercriminel moderne sait attendre. Il consulte les échanges. Il identifie les intervenants. Il comprend la chronologie du dossier. Il repère le moment où le prêt est accepté. Il observe la signature de l’offre. Il sait quand le notaire prépare l’acte authentique. Il connaît le montant de l’apport personnel. Il sait parfois même à quelle date les fonds doivent être versés.
Le scénario devient alors redoutablement efficace. Le client reçoit un message parfaitement cohérent avec l’état d’avancement de son dossier. Le montant demandé correspond exactement à celui attendu. Le calendrier est crédible. Les références du dossier sont exactes. Les interlocuteurs mentionnés existent réellement. Pour la victime, tous les éléments semblent confirmer l’authenticité de la demande. En réalité, elle échange avec un escroc qui dispose simplement de davantage d’informations qu’auparavant.
Le danger n’est plus seulement informatique. Il devient opérationnel.
Pourquoi les IOBSP sont particulièrement exposés
Les cabinets de courtage manipulent quotidiennement une quantité considérable de données personnelles :
- Relevés de comptes.
- Avis d’imposition.
- Bulletins de salaire.
- Compromis de vente.
- Tableaux d’amortissement.
- Coordonnées bancaires.
- Correspondances notariales.
- Mandats.
- Pièces d’identité.
L’ensemble de ces informations possède une valeur considérable pour les fraudeurs.
Un cybercriminel qui accède à un dossier de crédit dispose immédiatement d’une vision très précise de la situation financière du client et des flux financiers à venir. Dans certains cas, les informations disponibles dans un CRM de courtage sont même plus complètes que celles détenues par certains partenaires du dossier.
Cette concentration d’informations fait des IOBSP des cibles privilégiées.
Le registre des IBAN frauduleux : une avancée utile
C’est dans ce contexte que s’inscrit le nouveau fichier administré par la Banque de France. Le principe est relativement simple : lorsqu’une banque ou un prestataire de paiement identifie un compte susceptible d’être utilisé dans une fraude, l’IBAN concerné peut être signalé dans une base de données centralisée. Les autres établissements participants peuvent ensuite consulter cette base avant d’exécuter un virement.
L’objectif est de permettre une réaction beaucoup plus rapide face à des comptes déjà identifiés comme suspects. Le dispositif prévoit également un mécanisme d’échange entre établissements afin d’accélérer les vérifications et les blocages préventifs.
Sur le papier, l’initiative apparaît particulièrement pertinente. Elle met fin à une situation dans laquelle chaque établissement luttait isolément contre des fraudeurs extrêmement mobiles.
Une arme utile mais insuffisante
Pour autant, il serait dangereux de considérer ce nouveau registre comme une solution miracle.
La première limite est évidente. Un compte bancaire ne peut être signalé qu’après avoir été utilisé ou identifié comme suspect. Autrement dit, une fraude doit généralement avoir déjà eu lieu. Le système permet d’éviter certaines récidives mais ne protège pas nécessairement contre la première attaque.
La seconde limite tient à l’évolution rapide des pratiques criminelles. L’ouverture de comptes auprès de certains établissements de paiement ou l’utilisation de structures internationales permet parfois aux fraudeurs de renouveler rapidement leurs coordonnées bancaires. Le risque est alors de voir les établissements courir en permanence derrière des identifiants déjà abandonnés.
Enfin, demeure la question sensible des erreurs de signalement. L’inscription injustifiée d’un IBAN légitime pourrait entraîner des conséquences importantes pour son titulaire, notamment en matière de blocage de paiements ou de contrôles renforcés.
La vraie question : quelles procédures internes dans les cabinets de courtage ?
Le débat le plus intéressant pour la profession n’est peut-être pas celui du registre lui-même. Il est ailleurs.
Combien de cabinets disposent aujourd’hui d’une procédure écrite imposant une vérification systématique lors d’un changement de coordonnées bancaires ?
Combien exigent une confirmation téléphonique indépendante avant tout virement important?
Combien sensibilisent régulièrement leurs collaborateurs aux techniques de fraude par manipulation ?
Combien réalisent des audits de cybersécurité de leur CRM ou de leur messagerie ?
La lutte contre les IBAN frauduleux ne se résume pas à une question bancaire.
Elle devient progressivement une problématique de gouvernance, d’organisation interne, de cybersécurité et de protection de la clientèle.
Une nouvelle obligation morale de vigilance
Le nouveau fichier des IBAN frauduleux constitue sans aucun doute une avancée bienvenue. Mais il ne doit pas conduire les professionnels à relâcher leur vigilance.
Dans l’univers du crédit immobilier, les sommes en jeu sont considérables. Les fraudeurs le savent parfaitement. Ils savent également que les clients sont particulièrement vulnérables lorsqu’ils approchent de la signature définitive de leur acquisition.
La meilleure protection restera toujours la combinaison de plusieurs mécanismes : procédures internes robustes, sensibilisation des collaborateurs, sécurisation des systèmes d’information, vérifications humaines et coopération entre établissements financiers.
Le registre de la Banque de France apporte une nouvelle ligne de défense. Il ne remplacera jamais la prudence. Et c’est peut-être là la principale leçon que les IOBSP doivent retenir de cette réforme : à l’heure où les cybercriminels deviennent capables de suivre un dossier presque aussi bien que le professionnel qui le gère, la sécurité ne relève plus uniquement de l’informatique. Elle devient un élément à part entière de la relation client.
Marc MILESI
Juriste à l’iepb
