Les chiffres publiés en septembre 2024 par l’Observatoire de la sécurité des moyens de paiement (OSMP), rattaché à la Banque de France, semblaient rassurants : la fraude sur les paiements en ligne par carte bancaire continue de reculer. En 2024, seulement 0,155 % des transactions en ligne réalisées avec des cartes bancaires françaises ont été fraudées, contre 0,160 % en 2023.
Une tendance positive, qui s’explique par le renforcement de l’authentification forte, l’amélioration des dispositifs de détection et la coopération accrue entre acteurs financiers. Mais ces bons résultats masquent une autre réalité : si la carte bancaire est de mieux en mieux protégée, la fraude se déplace vers d’autres vecteurs, en particulier le virement bancaire. Les escroqueries au faux RIB, au faux conseiller bancaire ou par hameçonnage (phishing) explosent et pèsent lourdement dans les pertes financières. En 2023, on estime que près de 150 millions d’euros ont été détournés via ce type de fraude en France.
Pour répondre à cette menace, le Parlement a adopté en mars 2025, en première lecture, une proposition de loi visant à créer un fichier national des IBAN frauduleux. L’idée est simple : identifier les comptes bancaires liés à des fraudes afin que les établissements financiers puissent bloquer les virements suspects avant exécution. Mais derrière cette intention louable, de nombreuses questions demeurent. Ce dispositif est-il réellement efficace ? Quels en sont les risques pour les usagers et les entreprises ? Et surtout, quelles sont les véritables priorités en matière de cybersécurité bancaire ?
La logique du fichier IBAN frauduleux
Le texte propose la création d’un fichier centralisé, administré sous la supervision de la Banque de France, qui recenserait les IBAN identifiés comme utilisés dans des opérations frauduleuses. Les prestataires de services de paiement (banques, néobanques, fintechs) seraient tenus de consulter ce fichier avant d’exécuter certains virements et d’alimenter la base dès qu’ils détectent une fraude avérée.
En théorie, le dispositif fonctionnerait comme le Fichier national des chèques irréguliers (FNCI), qui permet de contrôler la validité des chèques avant acceptation. Le principe est donc connu : mutualiser l’information pour limiter les pertes. Sur le papier, le mécanisme semble rassurant. Mais dans la réalité opérationnelle, les escrocs ne se laissent pas si facilement piéger.
Les limites d’un dispositif pensé sans la réalité du terrain
Les fraudeurs n’utilisent pas leurs propres comptes
Il est rare qu’un cybercriminel crédite directement son propre compte bancaire avec des fonds issus d’une escroquerie. La pratique standard consiste à utiliser des “mules bancaires” : des particuliers (parfois naïfs, parfois complices) qui prêtent ou vendent leur compte. Les fraudeurs utilisent aussi des comptes compromis, dont les identifiants d’accès ont été dérobés par phishing ou malware.
Dans ces conditions, le fichier IBAN risque surtout de répertorier des comptes appartenant à des victimes collatérales. Or, si leur IBAN est classé frauduleux, ils peuvent subir une véritable exclusion bancaire, avec des virements bloqués et une réputation injustement entachée.
Une absence de garanties procédurales pour les titulaires
Le texte de loi, dans sa version adoptée en première lecture, ne prévoit pas de procédure claire d’information, de recours ou de rectification pour les titulaires de comptes. Concrètement :
– une personne peut se retrouver inscrite à son insu,
– sans possibilité immédiate de contester,
– sans savoir combien de temps son IBAN restera bloqué.
Une telle lacune pose des questions juridiques sérieuses, notamment vis-à-vis du Règlement général sur la protection des données (RGPD), qui garantit un droit d’accès, de rectification et de suppression aux personnes concernées.
Un outil réactif et non préventif
Le fichier ne sera alimenté qu’après qu’une fraude ait été constatée. Autrement dit, lorsque l’argent a déjà été transféré. Or, dans la majorité des cas, les fonds sont rapidement déplacés vers des comptes étrangers, parfois hors d’Europe, ce qui rend leur récupération quasi impossible.
Cet outil arrive donc trop tard. Sa logique est davantage administrative que réellement préventive.
Ce que disent réellement les chiffres
Une amélioration sur la carte bancaire
La baisse continue de la fraude sur les paiements en ligne par carte bancaire montre que des solutions efficaces existent. L’authentification forte imposée par la directive DSP2, les mécanismes de scoring en temps réel et la coopération entre commerçants, banques et autorités ont porté leurs fruits.
Une explosion des fraudes au virement
Mais en parallèle, les escroqueries liées aux virements bancaires explosent. En 2023, elles ont représenté environ 150 millions d’euros de pertes. Les arnaques les plus courantes sont :
– le faux conseiller bancaire, qui manipule la victime par téléphone pour valider elle-même un virement,
– le faux RIB (ou fraude au changement de coordonnées bancaires), qui vise particulièrement les entreprises,
– le phishing (mails, SMS ou appels frauduleux) qui conduit la victime à saisir ses identifiants bancaires.
Ces techniques reposent sur l’ingénierie sociale, qui contourne les dispositifs techniques de sécurité en exploitant la confiance et la méconnaissance des usagers.
Les véritables leviers pour renforcer la cybersécurité bancaire
Investir dans la détection en temps réel
Les banques disposent déjà d’outils d’analyse comportementale des transactions. Ces systèmes détectent des anomalies (montants inhabituels, nouveau bénéficiaire, incohérence géographique) et peuvent bloquer automatiquement ou demander une vérification supplémentaire. Renforcer ces dispositifs est plus efficace qu’une base de données réactive, car ils interviennent avant la réalisation de la fraude.
Renforcer la coopération internationale
La criminalité financière ne connaît pas les frontières. Les flux frauduleux transitent très vite hors du territoire national. Un fichier purement français a donc une portée limitée. Un cadre européen, voire international, sous l’égide de la Banque centrale européenne ou de l’Autorité bancaire européenne, serait beaucoup plus pertinent.
Sensibiliser les usagers et les entreprises
La prévention reste le meilleur rempart. Une grande partie des fraudes repose sur des manipulations psychologiques. Former les particuliers à repérer un faux SMS, un mail de phishing ou une demande inhabituelle est essentiel. Pour les entreprises, des procédures internes de vérification (double validation d’un changement de RIB, sensibilisation des équipes comptables) peuvent éviter la majorité des escroqueries.
Les risques d’un dispositif mal calibré
Un fichier mal conçu ou mal encadré peut avoir des effets contre-productifs :
– Exclusion bancaire indirecte pour des victimes inscrites à tort.
– Contentieux juridiques liés à une absence de conformité au RGPD.
– Perte de confiance des usagers si des personnes honnêtes sont pénalisées.
– Illusion de protection, qui détourne l’attention des vraies priorités de la cybersécurité.
La création d’un fichier national des IBAN frauduleux répond à une intention louable : protéger les consommateurs et les entreprises contre les escroqueries bancaires. Mais sans garde-fous solides et sans articulation avec des mesures réellement préventives, ce dispositif risque de se révéler inefficace contre les fraudeurs et lourd de conséquences pour les victimes innocentes. La cybersécurité bancaire ne peut pas se limiter à des réponses administratives. Elle nécessite une compréhension fine des mécanismes de fraude, une adaptation constante aux nouvelles techniques criminelles et une coopération étroite entre acteurs financiers, autorités et usagers.
Chez Prevention Internet, nous accompagnons particuliers et entreprises pour renforcer leur sécurité face aux menaces numériques. Nous proposons :
– des programmes de sensibilisation pour repérer et éviter les arnaques,
– des conseils personnalisés pour sécuriser vos pratiques bancaires et professionnelles,
– un accompagnement en cas de fraude pour limiter les impacts et réagir efficacement.
Contactez-nous dès aujourd’hui pour anticiper plutôt que subir. Parce que la meilleure protection contre la fraude, c’est une prévention active et éclairée.
