FNC-RF : le nouveau fichier anti-fraude bancaire et ses limites

Depuis le 7 mai 2026, un nouveau dispositif est opérationnel en France : le Fichier National des Comptes signalés pour Risque de Fraude, ou FNC-RF.

Géré par la Banque de France, il permet pour la première fois aux établissements bancaires de partager leurs signalements sur les IBAN identifiés comme suspects.

Une avancée réelle dans la lutte contre la fraude au virement  mais qui laisse des angles morts importants pour les entreprises.

‍

Pourquoi ce fichier existe : le contexte de la fraude aux virements

‍

La fraude par manipulation représentait 245 millions d'euros de pertes au premier semestre 2025, soit près de 40 % de l'ensemble des fraudes aux paiements en France. Arnaques aux faux conseillers bancaires, fraudes au changement de RIB, usurpation d'identité : les modes opératoires se multiplient et se professionnalisent.

‍

Jusqu'à présent, lorsqu'une banque identifiait un compte utilisé à des fins frauduleuses, cette information restait cloisonnée dans son propre système. Les autres établissements n'en avaient pas connaissance. Un fraudeur pouvait donc continuer à opérer via d'autres banques, en toute impunité du point de vue du secteur dans son ensemble.

‍

C'est précisément ce cloisonnement que le FNC-RF vise à briser.

‍

Ce que fait concrètement le FNC-RF

‍

Le FNC-RF centralise les signalements d'IBAN suspects transmis quotidiennement par l'ensemble des prestataires de services de paiement (PSP). Dès qu'un IBAN est inscrit dans le fichier, l'ensemble de la communauté bancaire peut en être informée et adapter ses contrôles avant d'exécuter un virement vers ce compte.

‍

Le dispositif est issu de la loi du 6 novembre 2025 visant à renforcer la lutte contre la fraude bancaire, adoptée à l'unanimité par l'Assemblée nationale et le Sénat. Il a été conçu avec des garanties strictes : aucune donnée nominative n'est enregistrée, seuls les IBAN font l'objet d'un signalement, et les données sont conservées pour une durée limitée.

‍

Le FNC-RF s'inscrit dans une stratégie plus large portée par l'Observatoire de la sécurité des moyens de paiement (OSMP), aux côtés de la VOP, de l'authentification des numéros de téléphone et des campagnes de sensibilisation. À terme, un mécanisme similaire est prévu à l'échelle européenne dans le cadre du futur règlement sur les services de paiement.

‍

Les points forts du dispositif

‍

Le FNC-RF répond à un besoin réel : mettre fin au cloisonnement de l'information entre établissements. Jusqu'ici, un fraudeur pouvait être signalé dans une banque et continuer à opérer librement dans une autre. Ce n'est plus le cas dès lors que son IBAN est inscrit dans le fichier.

‍

Le dispositif présente plusieurs atouts. La mutualisation des signalements accélère la détection des comptes frauduleux à l'échelle du secteur. Le cadre réglementaire est solide, adopté à l'unanimité et encadré par la CNIL. Et l'articulation avec la VOP renforce la cohérence d'ensemble des dispositifs anti-fraude en France.

‍

Les limites concrètes pour les entreprises

‍

Malgré ces avancées, le FNC-RF présente des limites structurelles qu'il est important de comprendre.

Le premier point faible est sa nature réactive. Le fichier ne recense que les IBAN déjà identifiés comme frauduleux. Un compte nouvellement ouvert, un IBAN encore inconnu du système, une identité synthétique générée récemment : autant de cas qui passent sans alerte. Le FNC-RF ne protège pas la première victime.

‍

Le deuxième point faible est l'absence d'obligation de blocage. La consultation du fichier est obligatoire, mais la décision de bloquer ou de laisser passer un virement reste à la discrétion de l'établissement. Une alerte ne signifie pas automatiquement un blocage.

‍

Le troisième point faible est géographique. Le dispositif est limité au territoire français. Or une part croissante des fraudes s'appuie sur des comptes domiciliés dans d'autres pays de l'Union européenne ou dans des établissements de paiement étrangers. Un élargissement européen est prévu, mais pas encore effectif.

‍

Enfin, et c'est peut-être le plus important pour les entreprises : le FNC-RF ne dit rien sur l'identité réelle du titulaire du compte. Il ne vérifie pas que l'IBAN fourni par un client appartient bien à la personne déclarée. Il ne renseigne pas sur la solvabilité, le comportement financier ou le niveau de risque individuel. Ce sont des contrôles distincts, que le fichier ne remplace pas.

‍

Ce que le FNC-RF ne remplace pas

‍

Pour les entreprises qui effectuent des versements, acceptent des prélèvements ou intègrent de nouveaux clients, le FNC-RF est un filet de sécurité collectif, pas une solution de vérification individuelle.

‍

Savoir qu'un IBAN n'est pas encore signalé comme frauduleux ne dit pas qu'il appartient au bon titulaire. Cela ne dit pas non plus que le client est solvable, que son identité est vérifiée, ou que son comportement financier ne présente pas de risque.

‍

Pour couvrir ces dimensions, il faut des contrôles complémentaires : vérification de titularité IBAN, vérification d'identité, analyse financière via open banking. Ces contrôles doivent intervenir en amont du parcours, avant la validation du dossier, pas uniquement au moment du virement.

‍

Additionner plusieurs outils pour couvrir ces besoins crée de la complexité opérationnelle. L'approche la plus robuste consiste à intégrer ces contrôles dans un parcours KYC unifié, où la vérification IBAN, l'identité et l'analyse de solvabilité coexistent dans le même flux.

‍