Un rapport publié ce lundi alerte sur les IBAN virtuels, ces identifiants bancaires qui imitent un numéro de compte classique mais redirigent les fonds vers un compte unique. Des outils légaux et répandus, de plus en plus détournés par des réseaux criminels.
Les IBAN virtuels, ces numéros de compte qui redirigent discrètement les paiements vers un compte bancaire unique, font l'objet d'une mise en garde officielle. Dans un rapport publié ce lundi 13 avril 2026, l'Autorité de contrôle prudentiel et de résolution (ACPR) et la cellule de renseignement financier Tracfin détaillent comment certains de ces outils fintech, pourtant légaux et très répandus, sont exploités par des réseaux criminels pour dissimuler l'origine de fonds illicites, contourner les sanctions financières et escroquer des particuliers à grande échelle.
Qu'est-ce qu'un IBAN virtuel et pourquoi les autorités françaises s'en inquiètent
Un IBAN virtuel, ou vIBAN, ressemble trait pour trait à un numéro de compte bancaire classique, sauf qu'il n'existe pas vraiment. Il sert uniquement à recevoir des paiements, qu'il redirige automatiquement vers un vrai compte unique, dit « compte maître », tenu par une banque ou un prestataire de paiement. Une mécanique proposée en France depuis une dizaine d'années maintenant, et encadrée depuis peu par la réglementation européenne.
On n'est pas sur quelque chose de marginal ici. Fin 2022, 400 000 clients utilisaient des vIBAN en France, des particuliers pour l'essentiel, pour un total de 1,7 million d'identifiants actifs. En janvier 2023 seul, les transactions réalisées via ces numéros virtuels atteignaient 4 milliards d'euros en un mois. Des chiffres qui ont conduit l'ACPR (l'Autorité de contrôle prudentiel et de résolution) et Tracfin (le service de renseignement financier de Bercy) à mener l'enquête.
Dans l'immense majorité des cas, les vIBAN rendent de vrais services. Un bailleur immobilier peut attribuer un identifiant différent à chacun de ses locataires pour savoir instantanément qui a payé son loyer. Une entreprise s'en sert pour trier automatiquement ses dépenses par catégorie. Un groupe international centralise ainsi la trésorerie de toutes ses filiales sur un seul compte. Des usages pratiques, reconnus et jugés à faible risque par l'ACPR elle-même.
La réattribution en cascade, le schéma qui rend les flux bancaires introuvables
Les ennuis commencent avec deux usages jugés à haut risque. Le premier, baptisé « réattribution en cascade », fonctionne comme une chaîne. Ici, une banque fournit des vIBAN à un prestataire de paiement, qui les redistribue à ses propres clients, lesquels peuvent à leur tour les redistribuer aux leurs. À chaque maillon supplémentaire, la banque d'origine perd un peu plus la trace de qui utilise réellement ces identifiants, ce qui ouvre la porte à des abus difficiles à détecter.
Le deuxième cas est encore plus retors. Certains vIBAN affichent un code pays (« FR » pour la France, par exemple), qui ne reflète pas l'endroit où l'argent est réellement déposé. Concrètement, une victime vire de l'argent vers ce qui ressemble à un compte français, se croit en terrain connu, et découvre trop tard que les fonds ont en réalité atterri sur un compte à l'étranger, là où les autorités françaises ne peuvent plus intervenir facilement.
Des cas concrets ont déjà été documentés par Tracfin, qui a remonté des circuits de blanchiment mêlant plusieurs prestataires d'IBAN virtuels français et des portefeuilles capables de jongler entre différentes devises. Imaginez qu'en 2022, les quelques acteurs proposant ces IBAN multi-pays étaient impliqués dans environ 20 % de la valeur des virements signalés comme frauduleux en France, alors qu'ils ne représentaient pas même 0,5 % du total des paiements reçus dans le pays. Une disproportion qui pose question.
Un arsenal réglementaire qui se met enfin en ordre de marche
La bonne nouvelle, c'est que l'Europe commence à combler le vide juridique. Deux textes adoptés en 2024 posent enfin des règles claires. Le premier oblige les banques et prestataires de paiement à identifier précisément qui se cache derrière chaque vIBAN, et à fournir cette information en moins de cinq jours ouvrables si une autorité la réclame. Le second impose d'inscrire tous les IBAN virtuels dans les registres officiels des comptes bancaires nationaux, comme n'importe quel compte classique. Ces deux obligations entreront d'ailleurs en vigueur le 10 juillet 2027.
Du côté français, l'ACPR est tout aussi ferme. Les vIBAN qui affichent un code pays étranger ou réattribués en cascade ne doivent plus être traités comme de simples identifiants techniques. Ce sont, selon elle, de vrais comptes de paiement à part entière. Une distinction qui n'est pas anodine, puisqu'elle oblige les établissements financiers à appliquer à ces comptes les mêmes règles strictes qu'à n'importe quel compte classique, c'est-à-dire vérifier l'identité du client, surveiller ses transactions, et signaler tout comportement suspect.
L'ACPR et Tracfin voudraient aller encore plus loin et rendre les vIBAN reconnaissables à vue dans la chaîne de paiement, grâce à un format standardisé qui permettrait à n'importe quel acteur financier de les identifier immédiatement, comme on reconnaît un numéro de sécurité sociale à sa structure. Une ambition qui impliquerait de modifier la norme ISO internationale régissant le format des IBAN, ce qui pourrait être un chantier colossal. Mais face à des réseaux criminels qui exploitent ces failles depuis des années, les deux autorités estiment que l'attente n'est plus une option.
