Les acteurs du paiement se préparent à la généralisation de la Verification of Payee

Le 9 octobre 2025, de nouvelles exigences réglementaires sur la Verification of Payee (VoP) s’imposeront à l’ensemble des prestataires de services de paiement (PSP) situés dans des pays dont la devise est l’euro. Inclus dans le règlement européen sur les paiements instantanés (IPR), adopté en mars 2024, cet impératif conduira les PSP à vérifier que le nom du bénéficiaire (ou un code d’identification additionnel pour les personnes morales) correspond à l’IBAN avant d’émettre un virement. Ce mécanisme, également appelé “IBAN name check”, n’est pas nouveau. Dès 2018, la société SEPAmail.eu a déployé en France son application Diamond, une solution interbancaire de vérification des coordonnées bancaires. 

“L’objectif de la VoP est de sécuriser les paiements et de réduire la fraude, notamment les fraudes dites “APP” (“authorized push payment”), où des fraudeurs se font passer pour des institutions légitimes et incitent les victimes à effectuer des virements frauduleux”, indique Rémy Bettoli, responsable développement de la banque digitale chez Worldline. Selon le dernier rapport annuel de l’Observatoire national sur la sécurité des moyens de paiement, les méthodes de fraude au virement “mobilisent à la fois des techniques de récupération d’accès aux banques en ligne par hameçonnage et des techniques de manipulation par téléphone pour convaincre leurs victimes de fournir une donnée sensible ou valider une opération.”

L’EPC en chef d’orchestre

La VoP va bousculer le paysage pour plusieurs raisons : obligatoire et gratuite, son application concerne tous les virements SEPA, qu’ils soient ou non instantanés et entre des particuliers ou des entreprises. La proposition de la nouvelle directive sur les services de paiement (DSP3) et du règlement associé (RSP) prévoit un élargissement de l’obligation liée à la VoP, au-delà des opérations portées au crédit et libellées en euro, pour inclure notamment les prélèvements. 

Les PSP, c’est-à-dire les banques commerciales, les banques centrales, ainsi que les établissements de paiement et de monnaie électronique (dont les plateformes de Banking-as-a-Service), doivent donc disposer d’une architecture permettant les échanges d’informations. Les récalcitrants seront sanctionnés par des amendes qui seront définies par chaque État membre d’ici au 9 avril 2025. 

L’objectif consiste à tisser un maillage sans défauts. “Bien que le système soit efficace, une couverture de 99 % n’est pas suffisante. Les fraudeurs migreront simplement vers les 1 % de banques qui n’ont pas de service VoP en place”, pointe le cabinet RedCompass Labs. Pour accompagner l’industrie, le Conseil européen des paiements (EPC) a publié le 10 octobre 2024 son rulebook (version 1.0) relatif au scheme de la VoP. Ce cadre définit un ensemble de règles, de pratiques et de standards visant à assurer l’interopérabilité de la fourniture et du fonctionnement de la VoP. 

L’adhésion au scheme n’est pas obligatoire. “Théoriquement, tout PSP peut choisir un autre moyen de répondre aux exigences du règlement sur les paiements instantanés [en ce qui concerne la VoP, Ndlr]. De manière réaliste, nous ne pensons pas qu’un PSP ou un groupe de PSP puisse le faire de manière totalement isolée. Nous sommes convaincus que tout groupe de PSP choisissant un autre moyen de se conformer aux exigences de vérification du bénéficiaire le rendrait interopérable avec le scheme”, explique Matthieu Blandineau, chef de produit marketing chez Numeral, une plateforme d’automatisation des paiements qui développe sa propre solution.

Comment le système fonctionnera-t-il concrètement ? Avant l’autorisation du paiement, quatre types de message pourront être retournés par le PSP du bénéficiaire : concordance (match), absence de concordance (no match), concordance partielle (close match ou almost match) ou vérification impossible. Cela suppose donc que la solution de VoP intègre des algorithmes de correspondance performants et parfaitement configurés.

“Une nouveauté importante introduite par la nouvelle réglementation est le concept de “almost match”. Cela se produit lorsqu’il y a une légère différence entre les informations fournies par le payeur et celles de la banque [par exemple, Jacques Dupont au lieu de Jacques Dupond, Ndlr]. Dans ce cas, la banque renverra le nom et le prénom en clair, malgré les règles strictes du RGPD. Le régulateur a décidé que l’IPR était conforme au RGPD par conception et que la priorité allait à la lutte contre la fraude”, souligne Jacques Vanhautère, directeur général de SEPAmail.eu. Ce fournisseur de solutions de messagerie interbancaire sécurisée a été racheté par STET début 2024. 

Une montée en charge rapide

“Le modèle actuel [de Diamond, Ndlr] repose sur des échanges peer-to-peer entre les banques, mais il montre ses limites lorsqu’il s’agit de répondre à des exigences de temps réel. Pour les vérifications en temps réel, nous allons devoir passer à un modèle centralisé, où toutes les banques se connecteront à un hub géré par SEPAmail.eu et exploité par STET. Cette architecture, qui s’appuie sur l’existant, garantira des vérifications en temps réel et sera prête avant octobre 2025“, assure le dirigeant. 

La montée en charge des demandes sera à la fois soudaine et significative. “Aujourd’hui, SEPAmail.eu, avec son application Diamond, traite environ 1,2 à 1,5 million de vérifications par mois. Avec l’introduction des vérifications sur les virements SCT et SCT Inst [instantanés, Ndlr], ce nombre devrait exploser pour atteindre environ 300 millions de vérifications mensuelles“, précise Jacques Vanhautère. Ce hub central est en cours de développement technique, en coordination avec d’autres acteurs européens. Le 9 octobre 2024, SEPAmail.eu a ainsi dévoilé un partenariat avec CBI, un acteur italien de l’open finance, pour proposer une solution interopérable. 

“Le défi de l’interopérabilité, surtout au niveau européen, est majeur. Il faut que les systèmes des banques puissent échanger et vérifier les identités des bénéficiaires en temps réel, confirme Rémy Bettoli. C’est ici que la dimension technique entre en jeu : la vérification doit se faire en moins de cinq secondes [de préférence, une seconde ou moins, Ndlr], ce qui nécessite des infrastructures robustes capables de traiter des volumes massifs de transactions.” 

Sans omettre le fait que, si des pays disposent déjà de solutions relativement matures (les Pays-Bas avec SurePay, l’Italie avec CBI, la France avec SEPAmail, l’Espagne avec Iberpay, etc.), d’autres partent d’une feuille blanche, à l’image de l’Allemagne ou de l’Irlande. Le scheme de l’EPC a prévu un élément de nature à favoriser l’atteignabilité des PSP : l’EDS (EPC Directory Service), un annuaire central qui compilera toutes les données requises (identification, URL, points de terminaison) permettant au PSP de l’émetteur d’envoyer une demande au PSP du bénéficiaire. Les spécifications détaillées de l’annuaire EDS ne sont pas encore publiées.

Des exemptions à la VoP seront possibles, mais rares. “Si un virement est effectué par un client à partir d’un formulaire papier sans sa présence au guichet, la vérification ne sera pas nécessaire. De plus, les entreprises auront la possibilité de ne pas procéder à la vérification pour des fichiers comportant plusieurs paiements (bulk payments), optant ainsi pour une exemption (“opt out”). Dans de tels cas, elles devront assumer toute responsabilité en cas d’erreur ou de rejet de paiement”, note Jacques Vanhautère. Il faut préciser que le scheme ne permet pas de traiter la vérification de paiements en masse, lorsqu’une entreprise règle les salaires de ses employés, par exemple. Le PSP devra donc dégrouper les fichiers pour faire des demandes de VoP individuelles et faire en sorte que ses logiciels gérant les échanges sécurisés de fichiers, via le protocole EBICS par exemple, soient en mesure de traiter les flux.

Transfert de responsabilité

De manière générale, la VoP introduit un transfert de responsabilité vers le client. “Si les PSP respectent toutes les obligations réglementaires, ils ne seront pas tenus responsables en cas de fraude. C’est le client qui portera la responsabilité s’il insiste pour envoyer un paiement malgré un retour négatif. Cette clarification soulage les PSP de certaines charges financières et légales”, relève Greg Huguet, directeur régional Europe d’iPiD, une société singapourienne qui développe une solution de connectivité pour la VoP. Une approche différente de celle du Royaume-Uni où a été mis en place en 2020 le système de la Confirmation of Payee (lire l’encadré). 

Dans quel état d’esprit se trouvent les PSP à un an de l’échéance ? En France, les banques s’appuieront sur la solution de SEPAmail, STET étant détenue par les poids lourds de la place (BNP Paribas, BPCE, Crédit Agricole, Crédit Mutuel, La Banque Postale, Société Générale et CB Investissements). Les mécanismes de routage et/ou de vérification (RVM) sont donc en première ligne pour faire en sorte que le cadre soit parfaitement opérationnel à l’échéance réglementaire. Des spécialistes de la lutte contre la fraude et des plateformes technologiques bancaires se penchent aussi sur le sujet, avec l’idée de revendre des services de VoP en marque blanche.

“Au niveau des établissements, de nombreux acteurs se concentrent sur la mise en conformité pour les paiements instantanés, prévue pour janvier 2025. Ils tendent à repousser la mise en œuvre du VoP, ce qui est une erreur”, constate Greg Huguet. La VoP ne va pas sans poser certaines questions sur l’adaptation du parcours client et la minimisation des frictions. A contrario, des acteurs systémiques et qui ne disposent pas d’une solution de place, comme Deutsche Bank en Allemagne, développent depuis plusieurs années leur propre architecture et points de terminaison en se connectant à de multiples sources, dont la solution de pré-validation de Swift.  

Comme pour tout impératif purement réglementaire, la VoP est avant tout synonyme de dépenses. “En termes de coûts, la mise en place de la VOP entraîne un surcoût pour les banques, car elles devront adapter leurs systèmes pour traiter ces nouveaux volumes massifs de transactions. Cependant, le coût par transaction restera très faible”, pointe Rémy Bettoli. Les frais d’adhésion au scheme de l’EPC ne sont pas encore connus mais “seront fixés de manière équitable, raisonnable et non discriminatoire”, selon le rulebook.