Ils existent depuis quelques années, mais sont pourtant encore très peu connus : les IBANs virtuels suscitent autant d’enthousiasme que de méfiance. S’ils permettent une gestion simplifiée et plus fluide des paiements, leur utilisation soulève des préoccupations en matière de criminalité économique, particulièrement au niveau de la fraude et du blanchiment d’argent.
Cet article présente succinctement le fonctionnement des IBANs virtuels, appelés vIBANs en jargon financier. Il en propose une analyse du point de vue d’une cellule de renseignement financier (CRF ou FIU)1Une cellule de renseignement financier, appelée Finance Intelligence Unit (FIU) en anglais, est une autorité spécialisée qui recueille, analyse et transmet aux autorités de poursuite pénale les déclarations de soupçon de blanchiment d’argent et de financement du terrorisme. Elle sert de point central dans la lutte contre la criminalité financière.. Les défis et risques des vIBAN au niveau du blanchiment d’argent et du financement du terrorisme seront également analysés et illustrés à l’aide d’un cas concret du Bureau de communication en matière de blanchiment d’argent MROS2Bureau de communication en matière de blanchiment d’argent https://www.fedpol.admin.ch/fedpol/fr/home/kriminalitaet/geldwaescherei.html [consulté le 24.05.2025]..
Fonctionnement et usages des vIBANs
Un IBAN virtuel est un identifiant bancaire qui suit le format standard d’un IBAN, mais qui est techniquement relié à un compte de paiement principal (master account) différent. Il permet d’envoyer et de recevoir des paiements de manière individualisée, sans ouvrir de nouveaux comptes bancaires distincts pour chaque opération ou client. Comme un vIBAN reprend exactement le format d’un IBAN classique, il est impossible de les distinguer visuellement. Un cas d’usage typique est celui d’une entreprise émettant plusieurs centaines de factures par mois : elle peut attribuer un vIBAN spécifique à chacun de ses clients. Lorsqu’elle reçoit un paiement, le vIBAN lui permet d’identifier immédiatement l’origine du virement, sans intervention manuelle. Ce système est particulièrement utile pour les entreprises avec une clientèle internationale3Wirewallet (2025). Secure and Efficient: The Advantages of Using Virtual IBANs. https://wire-wallet.com/advantages-of-using-virtual-ibans/ [consulté le 25.05.2025] et Openpayd (24.07.2023). What are virtual IBANs and why do businesses issue them? https://www.openpayd.com/blog/what-are-virtual-ibans/ [consulté le 25.05.2025]..
Au-delà de ce cas simple, les vIBANs peuvent également s’intégrer dans des architectures financières complexes et transnationales. Par exemple, une banque peut émettre un IBAN virtuel pour son client avec un code pays luxembourgeois. Cependant, le compte physique (master account) auquel le vIBAN est lié est géré par un autre établissement financier en Allemagne.
Dans le modèle ci-dessus, un paiement saisi en faveur du compte LU01 1234 5678 0000 ne sera pas crédité sur un compte situé au Luxembourg, mais sur un compte physique localisé en Allemagne (master account).
Ce cas est déjà bien plus complexe que le précédent, pourtant les vIBANs peuvent être utilisés dans des structures encore plus sophistiquées, où l’on ne sait plus avec certitude qui est l’utilisateur final du vIBAN ni dans quel pays ou auprès de quelle banque se trouve le master account. Il devient alors difficile pour les institutions financières et les FIUs de retracer l’identité de toutes les parties impliquées dans le flux financier. La chaîne des responsabilités devient floue, rendant inefficaces les mécanismes classiques de contrôle tels que la vérification du bénéficiaire, le reporting ou les alertes automatiques6EBA European Banking Authority (2024). Report on virtual IBANs. Section 2.2 – 3.4 et Banking Circle (2025). Next generation treasury and liquidity management. https://www.bankingcircle.com/accounts/ [consulté le 25.05.2025]..
Un cas concret entre fintech, FIUs et labyrinthe juridique
Le cas présenté ci-après a été découvert par le MROS (FIU Switzerland) en 2024. Il démontre que les risques potentiels de blanchiment d’argent et de financement du terrorisme liés aux vIBANs sont bien réels.
- Une banque suisse signale au MROS le compte d’un client qui a été crédité par des entrées de fonds suspectes en provenance du compte danois DK87 8900 **** **** au nom d’une société chinoise. Selon un calculateur IBAN publiquement disponible, le compte est détenu auprès de Banking Circle, une banque fintech qui dispose de succursales dans différents pays, dont le Danemark.
- Le MROS s’adresse à la FIU Danemark pour s’enquérir de l’origine des fonds.
- La FIU Danemark répond qu’elle ne peut obtenir d’informations sur ce compte : il s’agit d’un vIBAN. Elle conseille au MROS de s’adresser à la FIU Luxembourg, Banking Circle étant supervisée au Luxembourg.
- La FIU Luxembourg confirme qu’il s’agit d’un vIBAN mais qu’elle non plus n’est en mesure de fournir des informations sur l’origine des fonds.
- Il s’avère qu’un prestataire de service de paiements (PSP) sis à Hong Kong a recours à Banking Circle pour générer des vIBANs disponibles pour ses clients.
- Le MROS s’adresse à la FIU Hong Kong, lui demandant d’approcher le prestataire de services de paiement.
- Les multiples clarifications auprès des différentes instances ont finalement portés leurs fruits. Au bout de trois mois, le MROS a obtenu des informations sur l’origine des fonds.
Ce cas peut être représenté de la manière suivante :
Le schéma ci-dessus montre que le vIBAN DK87 8900 **** **** a été émis par Banking Circle, une banque fintech qui a son siège en Luxembourg. Ayant une succursale au Danemark, Banking Circle est autorisé à émettre des comptes (IBAN et vIBAN) commençant par DK. Banking Circle a transmis ce vIBAN à un PSP établi à Hong Kong, qui, à son tour, a fourni ce vIBAN danois à l’un de ces clients, une entreprise chinoise. Le chemin parcouru par le vIBAN danois est représenté par les flèches rouges.
Les flèches bleues illustrent comment ce vIBAN danois (DK87 8900 **** ****), fourni à une entreprise chinoise par son PSP basé à Hong Kong, est utilisé pour initier un paiement. Ce paiement transite ensuite par Banking Circle avant d’être crédité sur un compte détenu auprès d’une banque suisse. Au terme de ce parcours, la banque suisse interprète le vIBAN comme le compte du donneur d’ordre, ce qui donne l’impression que le paiement provient du Danemark, alors qu’il a en réalité été initié via un PSP hongkongais.
Les défis pour les cellules de renseignement financier (FIU)
Au premier abord, le cas ci-dessus suscite une certaine incompréhension ; on peut se demander comment une architecture de paiement aussi complexe et risquée peut être autorisée. Selon l’Autorité Bancaire Européenne (EBA), les autorités compétentes nationales (ACN) de chaque Etat membre sont responsables de l’autorisation et de la régulation des vIBANs (pour la Suisse, c’est la Finma). Or l’EBA souligne que chaque ACN peut interpréter les vIBANs à sa manière et les réglementer librement selon sa propre lecture. Il en résulte une absence de cadre juridique harmonisé à l’échelle européenne8EBA European Banking Authority (2024). Report on virtual IBANs. Section 3.1..
L’absence d’un cadre légal en Europe n’est pas le seul problème juridique auquel une FIU est confrontée. Le cas du MROS montre qu’un PSP non-européen peut acquérir des vIBANs européens et les fournir à ses clients situés en dehors de l’Union européenne. Le PSP est ainsi soumis à la supervision d’une juridiction extérieure à l’UE. Mais cette juridiction applique-t-elle des normes de lutte contre le blanchiment de capitaux et le financement du terrorisme aussi strictes que celles en vigueur dans des pays comme le Danemark ou le Luxembourg ?9EBA European Banking Authority (2024). Report on virtual IBANs. Sections 3.3 et 3.4. Selon le pays, on peut en douter.
Le cas du MROS illustre à quel point il peut être difficile et chronophage de retracer les fonds. Le temps est pourtant un facteur crucial en matière de lutte contre la fraude. Certaines FIUs ont la possibilité de bloquer les fonds sur les comptes bancaires. Or, trois mois après la transaction, on peut aisément imaginer que l’argent a déjà fait le tour du monde trois fois… en classe affaires, et qu’il n’est plus à portée de saisie.
Dans leurs rapports, l’Autorité Bancaire Européenne et Europol Financial Intelligence Public-Private Partnership (EFIPPP) énumèrent plusieurs autres risques liés aux vIBANs, de gravité variable. Pour une FIU, un risque supplémentaire est toutefois à relever, bien qu’il ne soit abordé que de manière indirecte au point 3.3 du rapport de l’EBA.
Dans la plupart des dispositifs de lutte contre le blanchiment d’argent, les intermédiaires financiers constituent la première ligne de défense. Leur rôle clé consiste à appliquer les normes en vigueur et à détecter les transactions suspectes. Lorsqu’un intermédiaire financier a des doutes concernant certaines transactions et qu’il ne parvient pas à les écarter, il est tenu de les signaler à la FIU de son pays. Une transaction peut être considérée comme suspecte en raison de la nature de la contrepartie, c’est-à-dire la personne ou l’entité impliquée dans la transaction. Par exemple, un paiement en provenance ou à destination d’un compte français au nom d’une entreprise française paraît à priori moins suspect que si le compte et l’entreprise sont situés dans un pays dit « à risque ».
Mais comment un intermédiaire financier peut-il savoir qu’un paiement provient ou part vers un pays à risque, si l’IBAN débute par le code pays « FR » ? Comme mentionné précédemment, un vIBAN présente les mêmes caractéristiques qu’un IBAN classique, ce qui empêche toute distinction directe et induit les intermédiaires financiers en erreur. Il n’est donc pas exclu qu’en raison des vIBANs, des cas de blanchiment d’argent ou de financement du terrorisme leur échappent désormais.
La régulation mettra-t-elle fin à la partie de cache-cache ?
Face aux risques systémiques liés aux IBANs virtuels et à la complexité croissante des flux financiers, les régulateurs internationaux réagissent.
Le Groupe d’action financière (GAFI), gardien des standards mondiaux en matière de lutte contre le blanchiment et le financement du terrorisme, a récemment proposé une révision de sa Recommandation 16, qui définit les standards mondiaux en matière de transparence des paiements. Cette mise à jour vise à adapter le cadre aux nouveaux modèles de paiement. Elle introduit surtout une exigence de transparence sur l’emplacement réel des comptes, même lorsque l’IBAN utilisé laisse croire à une localisation différente. L’objectif est clair : éviter que les vIBANs ne brouillent la lecture des transactions et ne compromettent les efforts de lutte contre le blanchiment d’argent10FATF The Financial Action Task Force (26.02.2024). Public Consultation on Recommendation 16 on Payment Transparency. https://www.fatf-gafi.org/en/publications/Fatfrecommendations/R16-public-consultation-Feb24.html [consulté le 29.04.2025]..
Dans le prolongement de cette dynamique, l’Union européenne travaille sur la révision de la directive sur les services de paiement (DSP3)11European Commission (28.06.2023). Proposal for a, DIRECTIVE OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL, on payment services and electronic money services in the Internal Market amending, Directive 98/26/EC and repealing Directives 2015/2366/EU and 2009/110/EC. https://eur-lex.europa.eu/resource.html?uri=cellar:e09b163c-1687-11ee-806b-01aa75ed71a1.0001.02/DOC_1&format=PDF [consulté le 29.04.2025].. En 2023, la Commission européenne a présenté une version ambitieuse de ce texte, encore en discussion, qui vise à combler les lacunes réglementaires sur les vIBANs et à renforcer les obligations de transparence12Société Générale (18.06.2024). Nouvelle directive sur les services de paiements (DSP3) : trouver le juste équilibre entre protection et flexibilité ? https://wholesale.banking.societegenerale.com/fr/actus-opinions/toutes-publications/news-details/news/new-payment-services-directive-psd3-at-a-time-when-the-new-european-regulatory-framework-applicable-to-payment-services-is-being-drafted-how-can-the-right-balance-be-found-between-protection-and-flexibility/ [consulté le 04.05.2025]..
L’une des principales avancées proposées est l’introduction du principe de Verification of Payee (VoP). Ce mécanisme impose aux institutions financières de vérifier, avant l’exécution d’un virement, que le nom du bénéficiaire correspond bien au compte associé à l’IBAN indiqué. Autrement dit, fini les virements à “Jean Dupont” si le compte appartient en réalité à “Offshore Holdings Ltd”.
Une autre mesure importante vise à harmoniser les obligations de transparence pour les prestataires émettant ou utilisant des vIBANs. Ainsi, les PSP devront être en mesure d’identifier à tout moment le titulaire final d’un vIBAN, même si ce dernier a été émis ou transféré par une autre entité. Cela devrait limiter les jeux de piste à la Sherlock Holmes entre institutions financières.
On constate que les instances internationales prennent au sérieux les risques que posent les vIBANs en matière de blanchiment d’argent et de financement du terrorisme, et que les efforts déployés vont dans la bonne direction. Reste toutefois à répondre à certaines questions :
- Les mesures prévues, entre autres dans la future mais encore hypothétique DSP3, suffiront-elles à empêcher les architectures complexes évoquées précédemment, où la traçabilité devient presque un art abstrait ?
- Les différentes juridictions parviendront-elles à s’accorder sur des normes communes ?
- Dans un avenir proche, les intermédiaires sauront-ils reconnaître qu’un paiement estampillé « made in France » masque en réalité un itinéraire plus exotique qu’il n’y paraît ?
Espérons-le. Sinon, il faudra peut-être songer à ajouter une boule de cristal aux outils de compliance, en attendant que les nouvelles règles produisent enfin leur effet sur les vIBANs.
