Entré en vigueur le 9 octobre 2025, le service de vérification du bénéficiaire (VoP) renforce la prévention de la fraude sur les virements mais s’accorde mal avec les flux automatisés des entreprises. Avec l’appui de l’EACT, les trésoriers ont porté des ajustements auprès de la Commission européenne pour éviter un « opt-out » généralisé des entreprises. Hervé Postic, mandaté par l’AFTE pour porter la voix des trésoriers français, livre à Redbridge le détail des évolutions attendues du dispositif.
Pourquoi l’Association européenne des trésoriers d’entreprise (EACT) a-t-elle demandé de faire évoluer la rédaction du VoP ?
Hervé Postic : Le règlement sur les paiements instantanés (Instant Payment Regulation ou IPR – EU 2024/886) a posé le cadre du service de vérification du bénéficiaire (Verification of Payee – VoP) entré en vigueur en zone euro le 9 octobre dernier pour les ordres de virement SEPA standards et instantanés. Dans sa version actuelle, ce dispositif de prévention de la fraude reste techniquement difficile à concilier avec les paiements de masse. De fait, une grande partie des entreprises ne peut pas en tirer pleinement parti.
Ces derniers mois, l’European Association of Corporate Treasurers (EACT) a relayé la voix des professionnels de la trésorerie français, allemands, belges et luxembourgeois afin d’obtenir de la Commission européenne quelques ajustements.
Quel est le principal écueil du dispositif, dans sa version actuelle ?
Le VoP est un contrôle réalisé avant l’exécution d’un virement pour s’assurer que le nom du bénéficiaire correspond bien à l’IBAN renseigné. Concrètement, lorsque l’émetteur saisit ces informations, la banque du payeur envoie une demande de vérification à la banque du bénéficiaire. Celle-ci compare les données et renvoie un résultat de concordance (correspondance, correspondance proche ou non-correspondance). Sur cette base, l’émetteur peut alors confirmer le paiement, corriger les informations si nécessaire ou renoncer au virement, ce qui permet de réduire le risque de fraude avant le lancement de l’opération.
Ce processus en deux étapes répond à l’exigence de protéger les particuliers, notamment dans le cadre de l’essor des virements instantanés. Il est adapté aux parcours interactifs (interfaces web, applications). En revanche, il bouscule les usages des entreprises ayant pour habitude de saisir leurs ordres sur un canal automatisé, non interactif et de ce fait pré-autorisé, de type API ou protocole d’envoi de fichiers (Ebics, Switnet FileAct ou FTP).
Pour éviter de ralentir les paiements des entreprises, le règlement IPR leur ouvre la possibilité de se désengager du service de vérification (opt-out), tout en conservant la faculté de le réactiver à tout moment. Dans la pratique, la plupart des banques appliquent cet opt-out aux fichiers de virements télétransmis par leur clientèle professionnelle. Une situation insatisfaisante, car elle prive de facto les entreprises d’un outil de prévention de la fraude.
Quelles sont les propositions des trésoriers ?
Deux ajustements ont été présentés et pris en compte par la Commission. Le premier concerne les remises d’ordres unitaires via des canaux host-to-host. La rédaction actuelle du VoP limite l’opt-out des entreprises aux ordres de paiement multiples. Dit autrement, un ordre unitaire transmis via Ebics ou FileAct ne peut réglementairement pas bénéficier de l’opt-out : il doit être revalidé, après vérification des coordonnées du bénéficiaire. L’EACT a défendu une approche plus cohérente, consistant à fonder la dérogation non pas selon le caractère unitaire ou multiple de l’ordre, mais selon la nature interactive ou non du canal d’échange.
La deuxième demande vise à permettre aux entreprises de bénéficier du service VoP sur leurs envois de fichiers pré-autorisés, sans avoir à revalider chaque ordre dès lors que le contrôle de concordance donne pour résultats correspondance (match), correspondance proche (close match) ou impossibilité de vérifier (impossible to verify). Cette évolution ne remet pas en cause l’obligation, pour les prestataires de services de paiement, de communiquer à l’émetteur le nom du bénéficiaire associé à l’IBAN en cas de correspondance proche.
Lorsque l’entreprise et son PSP conviennent contractuellement que, selon certains résultats de la VoP, le PSP procédera à l’exécution des ordres de paiement sans solliciter d’instructions supplémentaires, le PSP ne sera pas considéré comme responsable pour ne pas avoir fourni le service VoP, ni des pertes subies par le payeur qui auraient pu être évitées en réagissant aux résultats.
L’objectif des modifications proposées est d’éviter que les entreprises ne renoncent à la VoP, en offrant une voie de mise en œuvre mieux alignée sur leurs pratiques de gestion des paiements.