Vérification réglementaire du bénéficiaire : comment s’y préparer ?

La Vérification réglementaire du bénéficiaire, Verification Of Payee (VoP), entre en vigueur le 9 octobre 2025 et devient obligatoire pour tous les établissements bancaires et les prestataires de services de paiement (PSP). Comment anticiper cette obligation européenne qui vise à renforcer la sécurité des paiements ?

Un peu d’histoire…

Dans le cadre de la protection des fonds du consommateur, la Commission européenne a édicté la Directive des Services de Paiement DSP1 en 2009, puis la DSP2, entrée en vigueur en 2018, encore améliorée en 2024 par la DSP3, dont l’entrée en vigueur sera progressive de 2025 à 2027.
L’une des mesures de la DSP3, relative à l’amélioration de la lutte contre la fraude, s’appuie sur la vérification en temps réel de la validité des coordonnées bancaires du bénéficiaire d’un paiement, avant son exécution, vérification introduite par le règlement européen des virements SEPA instantanés, l’IPR.

… Et de géographie

L’ensemble des banques et PSP des 31 pays de l’espace économique européen est concerné par cette vérification des coordonnées des bénéficiaires.
Néanmoins en octobre 2025, seuls sont soumis à l’obligation de la VoP les pays dont la devise nationale est l’euro.
Certains pays ont déjà mis en œuvre des mécanismes s’en rapprochant parmi lesquels :

• CoP (Confirmation of Payee) au Royaume-Uni lancée en 2020 ;
• SurePay aux Pays-Bas en 2017 ;
• PayId en Australie, qui s’appuie sur la vérification d’un alias et renvoie le nom.

Mais l’interopérabilité d’un mécanisme unique entre tous les pays européens constitue une avancée majeure.

Mécanisme, responsabilité, et couverture

La VoP consiste à vérifier, en temps réel, et avant l’exécution du paiement, l’adéquation entre le nom et l’IBAN du bénéficiaire communiqués par le donneur d’ordre, et le nom associé à ce même IBAN dans la banque teneuse de ce compte. Pour les personnes morales, la vérification peut également être réalisée sur la base d’un identifiant unique (LEI, N° SIREN ou TVA intracommunautaire).

Lors de l’émission d’un virement, la banque du donneur d’ordre effectue un contrôle auprès de la banque du bénéficiaire, pour s’assurer de l’exactitude des informations communiquées par le donneur d’ordre.
Le résultat peut être « Match », correspondance parfaite, « No Match » pas de correspondance, « Close Match » correspondance proche, ou « Check not possible » Contrôle impossible (en cas de problème technique, ou autre) lors de la demande.
Le donneur d’ordre, informé du résultat dans les cinq secondes au maximum, avec une préférence à une seconde, peut alors prendre la décision d’émettre le virement en l’état, de le corriger avant émission, ou de l’abandonner.

À ce jour, seuls sont couverts par cette obligation les virements SEPA, qu’ils soient classiques ou instantanés. Cela exclut donc certains virements tels que les virements en euros émis via TARGET2, les virements de trésorerie ou les virements européens en devises.

De plus, si les virements SEPA unitaires sont automatiquement soumis à la VoP, une option existe, permettant au donneur d’ordre de renoncer à la vérification pour les virements émis par lot.

Un déploiement progressif

Les banques et autres prestataires de paiement. Les établissements bancaires sont prêts, avec des parcours client aménagés, mais des offres différentes, encore amenées à évoluer.
La communication clients sur les canaux de banque à distance, voire pour les remises de fichiers, a démarré chez certaines banques.

Les éditeurs d’ERP et TMS. Les éditeurs adaptent leurs solutions, selon différents modèles proposés par les banques. Mais, tout comme les banques, ils sont encore dans l’attente de la diffusion des guides officiels du CFONB et se tiennent prêts à prendre en compte les évolutions et améliorations à venir.

Les entreprises. La veille juridique au niveau des grands comptes peut avoir préparé le terrain. Néanmoins, pour une grande partie des grands groupes, comme des PME, les conséquences de la mise en œuvre ne sont pas encore totalement appréhendées.
Chez certains, la finalisation des évolutions nécessaires à la mise en œuvre de CBPR+ pour le mois de novembre semble avoir pris le pas sur les aménagements liés à la VoP.

Une course contre la fraude. Malheureusement, les fraudeurs sont bien informés de cette nouvelle réglementation. Pariant sur la non-activation de la VoP par des entreprises peu préparées, les tentatives d’usurpation d’identité, de fraude au faux fournisseur risquent d’augmenter au démarrage.

Alors, comment les donneurs d’ordre doivent-ils se préparer ? Un seul mot d’ordre : anticiper !

La fiabilisation des référentiels. Que l’on soit personne physique ou morale, il est nécessaire de fiabiliser ses référentiels fournisseurs, clients, salariés et autres tiers bénéficiaires de virements.

Pour ce faire, il importe de contacter l’ensemble des bénéficiaires afin de valider leurs coordonnées.
Cette opération, qui peut s’avérer longue et fastidieuse doit être réalisée en définissant des priorités. La fiabilisation des tiers historiques, bénéficiaires de longue date, pourrait être ainsi placée en priorité basse, tandis que les coordonnées des bénéficiaires modifiés ou introduits récemment seront fiabilisées en priorité.
De plus, une attention particulière devra être apportée à des IBAN en EUR domiciliés dans des pays de l’EEE dont la devise n’est pas l’euro (non soumis à ce jour à la VoP).

L’aménagement des procédures de virements unitaires. Ces virements, qu’ils soient standard ou instantanés, remis dans un fichier, ou via un parcours digital, sont automatiquement soumis à la VoP. Le traitement de la réponse de la VoP est donc à intégrer dans les procédures, afin de ne pas retarder l’exécution du virement.

La revue des procédures de KYC et KYB. De même, les procédures de KYC et KYB (processus de vérification de l’identité et de surveillance des clients) doivent être aménagées afin d’insister sur la nécessité absolue de disposer du RIB complet des bénéficiaires, de saisir l’exhaustivité des coordonnées, et d’abolir les approximations !
De plus, il peut être utile d’enregistrer les identifiants tels que le SIREN, LEI, et Numéro de TVA intra-communautaire, afin de pouvoir les utiliser en lieu et place du nom si et lorsque la banque en permet l’utilisation pour la VoP.

La prise en compte des réponses de la VoP. Il importe d’interroger sa banque et/ou l’éditeur de ses outils ERP/TMS pour savoir comment les réponses VoP seront transmises. Cela permettra de définir au mieux les procédures de traitement en fonction des usages et de la criticité des opérations et des bénéficiaires.

Une vigilance s’impose

À court terme. Au-delà des actions d’anticipation évoquées plus haut, il importe de sensibiliser l’ensemble des personnes concernées à la vigilance et l’attention à porter lors de toute saisie ou de modification de nom et/ou d’IBAN d’un bénéficiaire.

En continu. Au fur et à mesure des évolutions réglementaires et avancées des offres des établissements bancaires, il conviendra de veiller à la mise à jour des systèmes informatiques internes, ERP, TMS… afin de bénéficier des améliorations qui seront apportées.

Afin de sécuriser et limiter la responsabilité en cas de fraude, il convient de veiller à activer la VoP et, surtout, anticiper les remises de gros fichiers de virements, ou de virements sensibles, afin de tenir compte des délais d’investigation, et ne pas retarder ses paiements.

Pour conclure, même si elle ne supprime pas toutes les situations de fraude, la VoP constitue un des moyens de lutte contre la fraude au paiement.
Il importe donc de maintenir la vigilance et de réduire la vulnérabilité par tous les moyens, techniques, et humains, ce qui renforcera la confiance et la fiabilité de l’ensemble des paiements émis ou reçus.