Verification of Payee : Une nouvelle ère dans la sécurité des paiements instantanés

Le règlement européen sur les paiements instantanés (IPR) a introduit un nouveau dispositif dont l’objectif est de sécuriser l’utilisation du virement SEPA instantané pour en accélérer son adoption. Le Verification of Payee (VOP), qui sera mis en place en octobre 2025 est un dispositif européen applicable aux prestataires de services de paiements pour les virements SEPA instantanés mais aussi pour les virements SEPA classiques afin d’harmoniser les pratiques au sein de l'Union Européenne pour limiter l’exposition de nos clients aux transferts vers de mauvais bénéficiaires. 

Ce nouveau dispositif s’ajoute ainsi aux outils de sécurisation existants mais sera-t-il suffisant et quels seront les impacts pour les entreprises à la mise en place de ce nouveau dispositif sur leurs processus de paiement ?

Un article écrit par Vincent LEFEBVRE et Laurence MARY.

La sécurisation des paiements, principal défi d’une plus large utilisation du virement SEPA instantané ?

Depuis son lancement fin 2017 par le Conseil Européen des Paiements, le Scheme du virement SEPA instantané (SCT Inst) n’a cessé de s’accélérer en garantissant aujourd’hui que les fonds parviennent aux bénéficiaires en 10 secondes, 24 heures sur 24 et 7 jours sur 7, dans 35 pays de la zone SEPA.

Si le déploiement du Virement SEPA instantané peut être une opportunité pour les entreprises, son instantanéité le rendent naturellement plus perméable à la fraude. Selon les chiffres 2024 de FPAD – EBA clearing, le virement SEPA instantané serait 9 fois plus fraudé que le Virement SEPA classique.

Pour renforcer la sécurisation de cet instrument de paiement, la Commission européenne a introduit un dispositif de contrôle qui doit permettre de vérifier la correspondance entre le nom et le compte bancaire du bénéficiaire renseignés par le payeur avant l’exécution du paiement. Ce dispositif de sécurisation des paiements appelé Verification of Payee (VoP) est au cœur de cette nouvelle réglementation « IPR »  et sera mis en place le 9 octobre 2025 pour les pays de la zone Euro. Il a pour objectif, en analysant les incohérences entre les informations fournies par le payeur et celles enregistrées dans le référentiel de la banque du bénéficiaire, de détecter des erreurs ou des fraudes potentielles.

Des configurations et des impacts variés selon les entreprises

Selon la taille de l’entreprise, le volume de flux traités, le canal de communication utilisé ou encore le nombre de bénéficiaires concernés, les impacts de la mise en place du VoP pour les entreprises ne seront pas les mêmes.

Les entreprises utilisatrices de paiements unitaires avec une base de bénéficiaires peu complexe seront moins impactées. Les paiements unitaires opérés à partir d’une plateforme de web Banking par exemple auront un dispositif VoP activé systématiquement et tous les éléments nécessaires à une prise de décision éclairée seront présentés au client tout au long de son parcours.

Pour les entreprises avec une base de bénéficiaires plus complexe, opérant des paiements de masse via des canaux “host-to host” signés, le choix de l’activation (ou non) du VoP se posera plus concrètement. Elles devront être en mesure d’évaluer la fiabilisation de leur base existante pour prendre leur décision et arbitrer entre responsabilité et efficacité opérationnelle. Avec un potentiel risque de décalage de l’émission du paiement, l’entreprise aura donc le choix d’activer le contrôle VoP - « Opt in » - ou pas - « Opt out ».

Si l’entreprise décide d’activer le dispositif VoP (« Opt in ») la banque du payeur effectuera une vérification en temps réel et les paiements « non conformes » seront laissés à la décision du payeur. Les statuts du VoP sont les suivants :

• « Match » : Il y a correspondance exacte entre le nom et l’IBAN fournis par le payeur.
• « Close match » : Une correspondance partielle (par exemple, une faute de frappe) est détectée et le nom correct est communiqué, mais cela peut aussi révéler la nécessité de mieux identifier l’entreprise véritablement concernée.
• « No match » : Aucune correspondance entre les données fournies, ce qui signale un risque potentiel.
• « Vérification impossible » : La vérification ne peut pas être effectuée en raison de données fournies manquantes ou incorrectes, ou en raison d’un problème technique.

Les entreprises qui ont déjà lancé des travaux de fiabilisation de leurs bases bénéficiaires et qui effectuent des paiements de masse choisiront probablement de ne pas activer cette option VoP. Pour celles qui souhaiteront l’activer, elles devront adapter leurs processus internes pour prendre en charge les résultats du VoP, corriger les données, voire procéder à des vérifications et possiblement réémettre un flux.

Les limites et les difficultés inhérentes au VoP

Pour les entreprises, cette réglementation soulève donc des interrogations et des freins potentiels. Son déploiement risque de ralentir les processus de paiement tout particulièrement pour les entreprises traitant des fichiers de masse auprès d’un grand nombre de bénéficiaires. Difficile dans ce cas d’automatiser une vérification individuelle de chaque bénéficiaire comme l’exige la réglementation.

Le rapprochement des noms des entreprises représente un autre obstacle. Il est possible de faire correspondre un identifiant unique (comme le SIREN ou LEI) à un IBAN, cependant, cette solution est peu répandue et l’identifiant unique remplacé très souvent au profit de la raison sociale.

Certaines entreprises utilisent fréquemment des abréviations, des acronymes ou des noms de marque, rendant difficile la correspondance avec leur dénomination officielle. De même des changements organisationnels peuvent s'opérer au sein d’un groupe (l’entreprise que vous souhaitez payer vient de changer de nom) alors que le KYS (Know Your Supplier) avait été initialement validé, ayant pour conséquence un résultat VOP en close match.

Enfin, au-delà d’une simple validation de correspondance (acronyme vers nom complet ou faute de frappe, inversion de noms...), il pourrait être nécessaire de revalider l’identité du bénéficiaire et son RIB auprès des fournisseurs afin d’obtenir un couple de données valides et cela dans un temps contraint. Pour ces cas, le Vop n’apportera pas de réponses et les banques, tout en respectant les obligations de protection des données, ne pourront ni corriger directement les informations erronées ni communiquer des détails sensibles, ce qui risque de ralentir la résolution des anomalies détectées.

La nécessité pour les entreprises de fiabiliser en amont leurs bases bénéficiaires

Le VoP est donc un ultime contrôle qui s’inscrit dans un dispositif de sécurisation des paiements de bout en bout. Les entreprises doivent analyser dès maintenant l’intégration de ces nouveaux contrôles Vop dans leurs processus de fiabilisation de leurs bases bénéficiaires pour être en mesure d’interpréter leurs résultats et mettre en place un process d’amélioration continue dès la création d’un nouveau compte bénéficiaire (respectant strictement le nom défini sur le RIB) et la mise en place de revues périodiques afin de garantir une qualité des données optimales.

Conclusion

La mise en place de la réglementation VoP va marquer une étape importante dans l’accélération de l’adoption des virements SEPA instantanés et de leur sécurisation en adressant un scénario de fraude majeure basé sur le faux RIB.

Il est cependant difficile de considérer que le dispositif VoP va régler à lui seul tous les défis autour de la sécurisation des paiements. Il ne répondra pas à tous les cas de fraude, notamment pas à la fraude par ingénierie sociale (du type fraude au président) ou encore la fraude interne.

Les entreprises doivent donc analyser et vérifier la pertinence de leur dispositif complet de sécurisation et s’assurer avoir mis en place les solutions adaptées à leur organisation (comme un processus d’approbation rigoureux en amont du paiement ou encore sensibiliser leurs collaborateurs sur les risques potentiels, etc.)

Pour ce faire, les équipes de Société Générale mettent à disposition leur expertise pour accompagner les entreprises dans l’identification et la mise en place d’un dispositif global de sécurisation, adapté aux besoins spécifiques de leur activité et de leur organisation. Elles pourront également faire appel à des partenaires spécialisés pour répondre à des besoins spécifiques comme la fiabilisation des bases bénéficiaires induite par cette nouvelle règlementation VoP.

La date du 9 octobre 2025 approchant à grand pas, les entreprises doivent anticiper la fiabilisation de leurs bases dès maintenant pour sécuriser leurs paiements et réduire les risques d’erreurs. Il est important de faire de cette réglementation un levier pour gagner en efficacité opérationnelle et préparer leur organisation aux enjeux et à l’utilisation des services de demain.