Verification of Payee (VoP) : le nouveau garde-fou contre la fraude au virement SEPA à partir du 9 octobre 2025

À l’ère de la digitalisation et des virements instantanés, la fraude au virement est devenue une menace majeure pour les entreprises et les particuliers. Pour y répondre, l’Union européenne introduit une obligation inédite : la Verification of Payee (VoP). Dès le 9 octobre 2025, les banques devront proposer, avant qu’un virement ne soit exécuté, une vérification automatique du nom associé à l’IBAN saisi. Autrement dit : l’utilisateur saura si le nom de bénéficiaire qu’il a indiqué correspond bien au titulaire du compte. Cet article ambitionne de vous éclairer dans les moindres détails : de l’obligation réglementaire aux modalités techniques de mise en œuvre, en passant par les limites de ce dispositif — et comment s’en prémunir dans un contexte professionnel.  

Pourquoi la Verification of Payee devient obligatoire ?

Le cadre réglementaire : l’Instant Payments Regulation (IPR)

Le 13 mars 2024, le Parlement européen et le Conseil ont adopté le règlement (UE) 2024/886 dit « Instant Payments Regulation » (IPR). Ce texte modifie le règlement SEPA pour introduire, entre autres, l’obligation pour les prestataires de services de paiement (PSP) de proposer une fonction de vérification du bénéficiaire pour les virements en euro (crédit transfers). 

L’article 5c du règlement précise que les PSP doivent offrir au payeur un service de verification of payee avant l’autorisation du virement, qu’il soit instantané ou non. Ce service doit être gratuit pour le payeur.

Cette obligation s’applique à tous les virements SEPA (SCT – SEPA Credit Transfer) et SEPA instantanés (SCT Inst). Afin de permettre l’interopérabilité, le European Payments Council (EPC) a publié un VoP Scheme Rulebook — la version 1.0 est prévue pour entrer en vigueur le 5 octobre 2025, juste avant la date réglementaire.

Objectifs : réduire la fraude, renforcer la confiance

L’un des principaux fléaux visés est la fraude de type Authorised Push Payment (APP), où une victime est trompée pour envoyer un virement vers un compte frauduleux. Le VoP offre une première barrière en détectant les incohérences entre le nom fourni et le titulaire enregistré du compte. 

Selon les promoteurs du dispositif, cette vérification préalablement à l’exécution a un double effet :

• dissuasif : l’utilisateur est alerté si le nom ne correspond pas, ce qui peut le pousser à vérifier l’IBAN ou à interrompre l’opération ;
• correctif : elle permet de réduire les virements erronés (simple erreur de saisie) ou les détournements d’IBAN.

Plusieurs études sectorielles montrent que dans les pays ayant déjà mis en place des services analogues (comme le Confirmation of Payee au Royaume-Uni), l’APP frauduleuse a reculé significativement. 

C’est pourquoi, en tant qu’expert des paiements SEPA, je considère cette obligation comme une avancée majeure dans la lutte contre la fraude au virement — mais non comme une panacée. Il faut rester vigilant aux scénarios de fraude sophistiquée.

Comment fonctionne concrètement le mécanisme « Verification of Payee » ?

Acteurs clés et terminologie

• Requesting PSP (banque du payeur) : c’est la banque qui initie la demande de vérification du bénéficiaire.
• Responding PSP (banque du bénéficiaire) : c’est la banque qui détient le compte du bénéficiaire et qui reçoit la demande.
• Le VoP Scheme Rulebook du EPC définit les règles de communication, les formats, les comportements attendus, etc.
• Les PSPs peuvent utiliser une architecture de type RVM (Routing and Verification Mechanism) pour acheminer les demandes vers les banques concernées, en s’appuyant sur un annuaire (Directory Service) fourni par l’EPC. 

Le déroulé : de la saisie du bénéficiaire à la réponse

1. Saisie par le payeur
   Le client (entreprise ou particulier) saisit l’IBAN du bénéficiaire, ainsi que le nom (raison sociale ou nom/prénom selon cas). Éventuellement, des identifiants additionnels (numéro de TVA, LEI, etc.) peuvent être fournis pour fiabiliser la vérification. 
2. Demande de vérification inter-PSP
   La Requesting PSP envoie une requête VoP vers le Responding PSP, via l’API interbancaire prévue, en indiquant l’IBAN, le nom, ainsi que possiblement l’identifiant additionnel. 
3. Routage & annuaire
   Avant de faire la demande, le Requesting PSP doit identifier vers quel Responding PSP diriger la requête, ce qui implique d’utiliser un service d’annuaire ou de mapping IBAN → BIC / PSP. Le Directory Service de l’EPC (EDS) joue ce rôle. 
4. Match & réponse
   La Responding PSP compare le nom fourni avec les données enregistrées dans son système. Elle renvoie une réponse dans un délai très court (objectif : 1 seconde ou quelques secondes, maximum 5 secondes) indiquant l’un des résultats suivants :
   • Match (nom & IBAN correspondent),
   • No Match (nom différent),
   • Close Match (nom très proche, peut-être différence d’orthographe ou petite variation),
   • Verification Not Possible (impossible de vérifier, pas d’enregistrement correspondant, ou problème technique). 
5. Notification au payeur & prise de décision
   Le Requesting PSP doit renvoyer l’information au client payeur, avant que celui-ci n’autorise le virement. Si le résultat est No Match ou Close Match, le payeur doit être informé explicitement (ex : « le nom indiqué ne correspond pas ou semble diverg er »). 

Si l’utilisateur choisit de poursuivre malgré l’avertissement, il le fait à ses risques, et il pourrait assumer la responsabilité en cas de fonds envoyés à un destinataire erroné. 

Cas particuliers & exceptions

• Le VoP s’applique à tous les virements SEPA, pas seulement les virements instantanés. 
• Certaines catégories de payeurs (non consommateurs) peuvent renoncer au service (opt-out), mais le prestataire doit offrir le VoP par défaut. 
• Pour des virements de fichiers multiples ou des canaux corporate (SWIFT, API, lots), la mise en œuvre technique est plus complexe — comment faire vérifier chaque ligne de virement avant exécution ? Ces cas font l’objet de débats techniques dans l’industrie.
• Si la Responding PSP ne peut pas identifier ou vérifier (par exemple compte non enregistré dans le service), elle doit renvoyer Verification Not Possible.

Les limites, les risques résiduels et les bonnes pratiques à adopter

Limites et vecteurs de fraude persistants

Même si la Verification of Payee constitue une amélioration importante, il subsiste des vecteurs de fraude que ce mécanisme ne couvre pas :

1. Création d’entreprise homonyme / homonymie volontaire
   Un fraudeur peut créer une entreprise (ou une entité légale) ayant le même nom ou une raison sociale très proche de celle de l’entreprise légitime, puis ouvrir un compte bancaire à ce nom. Il pourrait ensuite fournir cet IBAN frauduleux à des fournisseurs ou débiteurs de l’entreprise légitime. Le VoP renverra alors un Match (nom identique), donnant une fausse confiance.

   Il faut noter que dans de nombreux États, il est possible de constituer une entreprise dont la raison sociale est identique à un nom prénom physique (sous réserve de conformité légale). Il n’y a a priori pas de restriction systématique contre le fait d’avoir une société avec une raison sociale identique à une personne. Cette faille est bien connue dans les milieux de la fraude à l’arnaque bancaire.

2. Erreurs de saisie mineures ou variations dans les noms
   Orthographe, accents, usage de sigles, abréviations, différences dans les espaces : ces variantes peuvent conduire à Close Match ou à rejet alors même qu’il s’agit du bon compte. En pratique, les banques peuvent tolérer certaines marges, mais tous ne le feront pas uniformément.
3. Comptes non indexés ou anciens
   Si la banque du bénéficiaire ne dispose pas d’un enregistrement complet dans le système VoP, la vérification peut être impossible (Verification Not Possible). Le dispositif n’est pas infaillible.
4. Routing incomplet ou interopérabilité partielle
   Tant que tous les PSPs ne sont pas correctement intégrés au schéma VoP, des zones de non-couverture existeront — les fraudeurs pourront cibler les PSPs ne respectant pas encore la norme. Des études indiquent que si 1 % des banques ne l’implémente pas, cela crée un point de fuite exploitable.
5. Confiance excessive & réduction des contrôles humains
   Certains contrôleurs internes pourraient considérer que le résultat de VoP suffit au contrôle de paiement. C’est une erreur : ce résultat doit être une aide à décision, pas un remplacement de contrôle interne.

Recommandations de bonnes pratiques (notamment pour les contrôleurs de gestion)

Afin de limiter les risques, je recommande aux responsables de trésorerie, de contrôle de gestion ou de pilotage des paiements de mettre en place les pratiques suivantes :

• Valider l’IBAN + le nom + le contact humain
  Ne jamais s’appuyer uniquement sur l’IBAN et le nom affichés : vérifier la correspondance via un contact direct (mail, téléphone) avec le bénéficiaire déclaré.
• Effectuer un virement test (petit montant aléatoire)
  Avant de virer des gros montants, envoyer un micro-virement d’un montant aléatoire (quelques euros ou centimes), puis demander au bénéficiaire de confirmer le montant. Si la confirmation ne correspond pas, on interrompt toute transaction ultérieure.
• Double vérification externe (ex : via un service de rapprochement IBAN externe)
  Certaines solutions tierces permettent d’enrichir la vérification — par exemple comparer le nom + IBAN avec des bases de données d’entreprises (Registre du commerce, infogreffe, etc.).
• Surveiller les nouveaux bénéficiaires / changements de coordonnées bancaires
  Appliquer une procédure stricte de changement d’IBAN (double validation, envoi d’un code à l’ancien bénéficiaire, etc.). Même avec VoP, ce point reste critique.
• Audit périodique des exceptions (Close Match, No Match, Verification Not Possible)
  Analyser les cas de non concordance pour détecter des schémas douteux ou des tentatives de contournement.
• Formation et sensibilisation continue
  Former les équipes opérationnelles à comprendre les résultats Close Match ou No Match, et à ne pas "override" aveuglément un signal d’alerte.

Où en sont actuellement les banques et les communications clients ?

Certaines banques anticipent déjà l’arrivée du VoP et envoient des communications à leurs clients pour les sensibiliser. Elles expliquent qu’à partir d’une certaine date, l’interface de virement affichera le nom lié à l’IBAN saisi, et que l’utilisateur sera averti en cas d’écart. Cette approche proactive est recommandée car elle prépare les clients à ce changement majeur et réduit l’effet de surprise.

Sur le plan technique, bon nombre de banques (et PSPs) se mobilisent pour mettre en place les API VoP, adhérer au VoP Scheme Rulebook de l’EPC, se connecter au Directory Service (EDS) et configurer les mécanismes de routage (RVM). Certaines banques (notamment grandes banques françaises et internationales) préparent déjà des solutions de prévalidation de fichiers ISO 20022 (pain.001) avec contrôles VoP intégrés.

Quand la date du 9 octobre 2025 sera atteinte, tous les PSPs de la zone SEPA devront être prêts à répondre aux demandes VoP conformément au règlement. 

Pourquoi suivre une formation professionnelle sur ce sujet ?

Chez APEX FORMATIONS, nous proposons des formations spécialisées en monétique et paiements SEPA, incluant un module dédié à la Verification of Payee. Dans ce module, nos stagiaires :

• Comprennent les fondements réglementaires (IPR, rôle du VoP Scheme, responsabilités des PSPs)
• Étudient en détail le VoP Scheme Rulebook et les spécifications techniques (API, routing, annuaire)
• Apprennent les meilleures pratiques opérationnelles et les pièges à éviter
• Bénéficient d’études de cas concrets et d’exercices de simulation
• Se préparent à accompagner leurs entités (banques, fintechs, entreprises) dans la mise en conformité

Grâce à cette formation, vos équipes pourront non seulement maîtriser le fonctionnement du VoP, mais aussi anticiper les risques, adapter vos processus internes et garantir une mise en œuvre stratégique réussie.

Conclusion

La Verification of Payee est une avancée structurante pour renforcer la sécurité des virements SEPA en Europe. En imposant la vérification du nom du bénéficiaire avant l’exécution d’un virement, cette mesure limite fortement les cas de fraude dus à une erreur ou un détournement d’IBAN. Toutefois, ce mécanisme ne supprime pas tous les risques : les fraudes sophistiquées comme la création d’entreprise homonyme ou les compteurs contrefaits restent possibles.

Ainsi, pour les banques, PSPs, services financiers et contrôleurs de gestion, l’arrivée du VoP doit s’accompagner d’une vigilance accrue, d’une stratégie de contrôle interne renforcée, et d’une formation ciblée.

En tant qu’expert des paiements SEPA, je vous recommande d’intégrer ce sujet dans vos feuilles de route, de former vos équipes et de préparer vos systèmes dès maintenant. Si vous souhaitez approfondir ou former vos collaborateurs sur cette thématique, je vous invite à découvrir notre formation dédiée (lien ci-dessus).

Références

Sources officielles

• Règlement (UE) 2024/886 – Instant Payments Regulation (IPR) : texte adopté par le Parlement européen et le Conseil en mars 2024, introduisant l’obligation de Verification of Payee.
  👉 Consulter le règlement sur le site de la BCE
• European Payments Council (EPC) : publication du Verification of Payee Scheme Rulebook v1.0 (entrée en vigueur prévue le 5 octobre 2025).
  👉 Lire le Rulebook EPC sur la Verification of Payee

Analyses et commentaires d’experts

• PwC Legal – Analyse des obligations VoP dans le cadre du règlement européen.
  👉 PwC – Verification of Payee under EU IPR
• EY – Pourquoi les acteurs de paiement doivent se préparer dès maintenant.
  👉 EY – Why EU payment firms must act now on VoP
• Icon Solutions – Retour d’expérience sur la Confirmation of Payee au Royaume-Uni et extension à l’UE.
  👉 Icon Solutions – Implementing Verification of Payee
• RedCompass Labs – Défis techniques (lots, ISO 20022, interopérabilité).
  👉 RedCompass – SEPA Instant & VoP Challenges
• Bottomline – Fonctionnement du routage (RVM) et des services de vérification.
  👉 Bottomline – Verification of Payee
• SEB Group – Exemple de mise en œuvre bancaire de la VoP dans le SEPA.
  👉 SEB – Verification of Payee in SEPA