Le VOP (Verification of Payee, ou vérification du bénéficiaire) est désormais une étape importante avant de valider un virement SEPA. Son rôle : vérifier que le nom du bénéficiaire correspond bien à l’IBAN saisi.
C’est une avancée utile. Mais, en entreprise, elle ne suffit pas à elle seule à sécuriser un paiement.
Que change vraiment le VOP ? Quelles fraudes peut-il aider à détecter ? Et quels contrôles faut-il maintenir autour de lui ? C’est ce que cet article décrypte.
Fraude au virement : pourquoi le sujet est devenu prioritaire
La fraude au virement n’est plus un risque marginal. En France, elle a atteint 351 millions d’euros en 2024, en hausse de 12 % sur un an selon l’Observatoire de la sécurité des moyens de paiement.
Même si la fraude au virement reste limitée en proportion, ses montants unitaires et ses conséquences opérationnelles peuvent être très lourds pour une PME ou une ETI.
351 M€
Fraude au virement en France en 2024
+12 %
Hausse sur un an
Les schémas les plus fréquents restent bien connus :
1. Le faux RIB fournisseur
Un fraudeur se fait passer pour un fournisseur réel et annonce un changement de coordonnées bancaires. Si l’entreprise modifie l’IBAN sans vérification indépendante, le règlement part au mauvais endroit.
2. La fraude au président
Un dirigeant, un avocat, un investisseur ou un membre du COMEX est usurpé pour faire passer un virement ‘urgent, confidentiel et exceptionnel’.
3. La fraude à la domiciliation salariale
Un message demande de modifier le compte bancaire d’un salarié. Si l’entreprise exécute la demande sans contrôle, le salaire est versé sur le compte du fraudeur.
4. La messagerie piratée
Le mail frauduleux ne vient pas toujours d’une adresse approximative : il peut venir de la vraie boîte mail d’un fournisseur ou d’un partenaire piraté.
C’est d’ailleurs l’un des basculements importants du risque : la fraude au virement ne relève plus seulement de la “fraude classique” – spoofing d’adresse email, facture interceptée, demande de changement de compte – mais de plus en plus d’une association entre fraude et cybercriminalité.
Concrètement, cela recouvre notamment :
- le piratage de boîtes mail de fournisseurs ou de particuliers ;
- des services criminels de type “Fraud as a Service”;
- des usages de deepfake audio ou vidéo pour rendre les scénarios plus crédibles.
🔎 Deux signaux récents illustrent bien cette évolution :
- la fraude par phishing aurait augmenté de 1 265 % depuis l’émergence de ChatGPT ;
- 42,5 % des entreprises auraient déjà été confrontées à une tentative de fraude utilisant l’IA.
Ainsi, la fraude au virement est de plus en plus renforcée par des techniques cyber qui rendent les demandes frauduleuses plus convaincantes.
Qu’est-ce que le VOP ?
Le VOP est un service qui informe le payeur d’un éventuel écart entre le nom du bénéficiaire et l’identifiant de compte communiqué avant l’exécution d’un virement. Dans la zone euro, cette vérification doit être proposée par les prestataires de services de paiement depuis le 9 octobre 2025 ; dans les États membres hors zone euro, l’échéance principale est fixée au 9 juillet 2027.
Le principe est simple :
- Vous saisissez un IBAN et un nom de bénéficiaire ;
- La banque interroge la banque du bénéficiaire ;
- Vous recevez un résultat avant d’envoyer le virement.
Pour une personne morale, le dispositif peut aussi, selon le canal et les possibilités offertes par le prestataire, s’appuyer sur un identifiant d’entreprise : numéro de TVA, identifiant juridique national, LEI, etc. Cette logique d’ID matching est souvent plus robuste qu’une comparaison sur le seul nom.
Les codes retour de la banque du bénéficiaire sont les suivants :
| ✅ Match | Concordance |
| ⚠️ Close Match | Proximité ou légère divergence |
| ❌No Match | Discordance |
| ❓ Vérification impossible | Contrôle non concluant |
Le VOP s’applique aux virements SEPA ordinaires et instantanés.
💡A noter :
Pour les paiements multiples ou paiements en fichier (bulk), les entreprises peuvent, en option, disposer d’une possibilité d’opt-out ;
Ce que le VOP apporte… et ce qu’il ne protège pas
Ce que le VOP apporte
Il réduit les erreurs de saisie
Une erreur sur le nom du bénéficiaire ou une confusion entre plusieurs comptes peut être détectée avant exécution.
Il complique certaines fraudes au faux RIB
Si un fraudeur vous transmet un IBAN qui ne correspond pas au nom du fournisseur indiqué, le résultat peut revenir en No Match ou Close Match. C’est un bon signal d’alerte.
Il force une étape de vérification supplémentaire
Même lorsqu’il ne bloque pas automatiquement, le VOP introduit une friction utile. Cette étape peut suffire à éviter des validations trop rapides, notamment dans l’urgence.
Pourquoi le VOP ne suffit pas, à lui seul
C’est le point essentiel : un résultat “Match” ne garantit pas que vous payez la bonne personne.
Le VOP vérifie une cohérence entre un nom et un compte. Il ne vérifie pas que la personne ou l’entité qui vous a transmis ces coordonnées est bien légitime dans le contexte de la facture, du contrat ou de la relation commerciale.
En clair, le VOP ne répond pas à la question : « Est-ce bien mon vrai fournisseur qui m’a demandé ce changement ? »
Il répond seulement à une autre question : « Le nom saisi correspond-il au compte interrogé ? »
C’est très utile, mais ce n’est pas la même chose.
Ce que le VOP ne protège pas
Limite n°1 : le VOP ne remplace pas le contre-appel
Si un fournisseur vous annonce un nouvel IBAN, le réflexe-clé reste le même : effectuer un contre-appel, c’est-à-dire appeler un contact connu sur un numéro déjà enregistré, et non sur celui indiqué dans le message annonçant le changement de RIB.
Limite n°2 : le VOP ne remplace pas les validations internes
Un virement important ou inhabituel ne devrait jamais dépendre d’une seule personne, surtout dans un contexte d’urgence, de confidentialité ou de changement de bénéficiaire.
Limite n°3 : le VOP n’empêche pas les manipulations humaines
Fraude au président, pression psychologique, usurpation de messagerie, faux avocat, timing de clôture, congés, changement d’équipe : le cœur du risque reste souvent humain et organisationnel.
Limite n°4 : un “Close Match” mal traité peut devenir une faille
Un écart jugé “mineur” peut être ignoré à tort. C’est précisément le type de signal qui doit déclencher un contrôle complémentaire.
Premier bilan du VOP : ce que montrent les retours terrain
Les premiers retours sur le VOP sont encourageants, avec une majorité de résultats Match ou Close Match. Mais le recul reste limité, les déploiements sont encore inégaux selon les contextes, et la couverture n’est pas encore complète. À ce stade, le VOP doit donc être vu comme une aide utile, pas comme une garantie suffisante à lui seul.
3 cas réels qui montrent pourquoi un “Match” ne suffit pas
Cas n°1 – Fraude au président avec deepfake vocal
Cas de fraude au président visant une multinationale B2C, avec un préjudice d’environ 700 K€. Le scénario mérite d’être cité, car il synthétise plusieurs évolutions récentes :
- la cible est un nouveau directeur général régional, donc un profil plus vulnérable car moins familier des routines internes ;
- le contact initial passe par WhatsApp ;
- le fraudeur utilise un autre numéro, mais laisse des messages vocaux imitant la voix du dirigeant. Cette technique, désormais plus accessible, permet de reproduire une voix à partir d’un court enregistrement ;
- le scénario repose sur un faux projet d’acquisition confidentielle, renforcé par l’intervention d’un prétendu “avocat”;
- des signatures déjà présentes dans DocuSign sont reprises pour rendre l’ensemble crédible, ce qui renforce encore la vraisemblance du scénario.
Le virement avait été détecté par la banque, mais l’alerte fraude a été levée côté client.
Le résultat VOP était “Match”, parce qu’une entreprise avait été créée quelques mois plus tôt sous le nom correspondant. C’est exactement le type de cas où le VOP fonctionne techniquement… tout en laissant passer la fraude.
Les fraudes ‘réussies’ au président ne sont pas les plus nombreuses, mais elles ont le plus d’impact en termes de montants.
Cas n°2 – Fraude au fournisseur : vigilance sur le nom payé
Autre cas : une entreprise reçoit une demande de changement de compte au nom de ZZ Industries Services NL au lieu de son fournisseur habituel ZZ Industries.
Le schéma observé est très instructif :
- sur ZZ Industries, le résultat VOP revient en Close Match ;
- sur ZZ Industries Services NL, le résultat revient en Match ;
- le paiement est finalement exécuté sans contre-appel.
Ici, la fraude a abouti, faute de contre-appel avant paiement.
La leçon est simple : un Match peut rassurer à tort si l’on ne regarde pas de près le nom effectivement payé et l’historique de la relation fournisseur.
Cas n°3 – Boîte mail fournisseur piratée et virement vers une personne physique
Dans un troisième cas, le mail provient de la vraie boîte mail légitime du fournisseur, mais celle-ci a été piratée :
« Bonjour,
Je fais suite à votre message ainsi qu’aux échanges intervenus avec l’Assistante Travaux [nom].
Je vous confirme qu’un incident récent sur notre compte [banque], lié à un chèque impayé, a entraîné un dysfonctionnement temporaire de celui-ci.
Par conséquent, ce compte n’est actuellement pas en mesure de recevoir ni virements ni règlements par chèque.
Afin de sécuriser le règlement de votre facture, je vous confirme que les coordonnées bancaires qui vous ont été transmises, au nom de notre comptable Monsieur [nom], sont les seules à utiliser à ce jour.
Je vous serais reconnaissant de bien vouloir procéder au règlement via ce RIB dans les meilleurs délais.
Je vous remercie par avance pour votre compréhension et votre diligence.
Cordialement, »
Ici encore, la vérification du nom du bénéficiaire ne permet pas, à elle seule, de détecter la fraude : le compte existe bien à ce nom.
La fraude a été évitée grâce à un contre-appel, pas grâce au seul contrôle VOP.
Les contrôles à mettre en place autour du VOP
Pour réduire réellement la fraude au virement, le VOP doit s’inscrire dans une procédure plus large.
1. Contre-appel systématique en cas de changement d’IBAN
Toujours sur un numéro connu, jamais sur les coordonnées reçues dans le message.
2. Double validation au-delà d’un seuil
Fixez un seuil interne à partir duquel un second valideur est obligatoire.
3. Séparation des tâches
La même personne ne devrait pas pouvoir à la fois créer, modifier et valider seule un bénéficiaire ou un paiement sensible : c’est tout l’enjeu de la séparation des tâches.
4. Délai de carence pour tout nouveau bénéficiaire
Évitez qu’un IBAN ajouté aujourd’hui puisse être payé immédiatement sans revue.
5. Référentiel tiers propre et à jour
Nom légal, raison sociale, SIRET, coordonnées validées, historique des changements : plus votre base est propre, plus le VOP devient efficace.
6. Procédure écrite selon le code de retour
Un Match, un Close Match, un No Match ou une Vérification impossible ne doivent pas être traités “au feeling”.
7. Sensibilisation régulière des personnes exposées
La sensibilisation doit être régulière, changer de formats, concerner tous les types de populations, et ne pas oublier les entités à l’étranger.
8. Formalisation des exceptions
Si un paiement part malgré une anomalie, il faut une trace, une justification et un niveau de validation adapté.
L’approche multicouche
L’idée est simple : la fraude au virement ne se bloque pas avec un seul dispositif. Elle se réduit par empilement de couches :
- Sécurisation de l’environnement de travail (cybersécurité) ;
- Procédures (contre-appel, séparation des tâches) ;
- Sensibilisation des salariés ;
- Connectivité sécurisée fournie par la banque, notamment l’authentification forte et le VOP ;
- Outils de filtrage de la banque.
Parce que le VOP est une couche utile, mais non suffisante à elle seule.
PME : les signaux d’alerte
Dans beaucoup de PME, les fraudeurs exploitent moins une faille technique qu’un moment de tension ordinaire :
Situations de fragilité
- une fin de mois chargée
- une personne absente
- une fonction support débordée
- un dirigeant en déplacement
- une personne nouvelle dans le poste (annoncé via LinkedIn par exemple)
Phrases qui doivent alerter
- « c’est urgent »
- « ne prévenez personne pour l’instant »
- « le RIB a changé »
- « il faut payer aujourd’hui »
- « je suis en réunion, donc faites-le sans me rappeler »
Le VOP aide, mais c’est souvent l’environnement de contrôle qui fait la différence.
Que faire en cas de fraude au virement avérée ?
Si un virement frauduleux a été exécuté :
Contactez immédiatement votre banque
Demandez un rappel de fonds ou un blocage si l’opération est encore récupérable.
Conservez toutes les preuves
Emails, pièces jointes, captures d’écran, justificatifs de validation, échanges internes.
Déposez plainte
Et signalez l’incident sur Cybermalveillance.gouv.fr.
Chaque heure compte. Plus l’action est rapide, plus les chances de récupérer les fonds sont élevées.
📌En résumé
Le VOP est une avancée très utile.
Mais la vraie question est aussi : « Avons-nous une procédure fiable quand un IBAN change, quand un virement est urgent, ou quand le résultat VOP n’est pas parfaitement clair ? »
Le VOP n’est pas un rempart autonome. C’est une couche de contrôle. Pour qu’il protège vraiment, il doit être combiné à des règles simples, connues et appliquées : contre-appel, séparation des tâches, et sensibilisation des équipes.
C’est souvent cette combinaison qui permet d’éviter un virement frauduleux.
FAQ : le VOP et la fraude au virement
Le VOP est-il obligatoire en France ?
Oui. Dans la zone euro, le service de vérification du bénéficiaire doit être proposé par les prestataires de services de paiement depuis le 9 octobre 2025.
Le VOP bloque-t-il automatiquement un virement ?
Non. Le VOP informe le payeur avant l’exécution du virement, mais il ne remplace pas votre propre décision.
Un résultat “Match” veut-il dire qu’il n’y a pas de fraude ?
Non. Cela signifie qu’il existe une cohérence entre le nom saisi et le compte interrogé. Cela ne prouve pas que la demande de paiement est légitime.
Le VOP protège-t-il contre le faux RIB ?
Il peut aider à détecter une partie des fraudes au faux RIB, mais il ne suffit pas à lui seul. Le contre-appel reste indispensable.
Que faire si le VOP renvoie “Close Match” ?
Il faut suspendre le paiement, comparer avec votre référentiel et vérifier par un canal séparé, idéalement par téléphone sur un numéro déjà connu.
Les fraudes au virement ne se jouent pas seulement sur les outils, mais sur des bonnes pratiques comprises, partagées et appliquées au bon moment.
FYMITZ aide les équipes à intégrer ces réflexes dans leur quotidien, grâce à des rappels utiles et à des bonnes pratiques concrètes, simples à s’approprier.
Découvrez comment FYMITZ aide à transformer ces bonnes pratiques en réflexes concrets.
Sources et références
- Banque de France / Observatoire de la sécurité des moyens de paiement (OSMP), Rapport annuel 2024.
- Règlement (UE) 2024/886 sur les paiements instantanés et la Verification of Payee (VOP).
- Cybermalveillance.gouv.fr, fiche réflexe sur les faux ordres de virement (FOVI).
- Certains cas pratiques et retours terrain mentionnés dans l’article proviennent également d’un webinaire BNP Paribas.
Comment prévenir la fraude au président ?
Ne jamais exécuter un virement urgent et confidentiel sans validation interne renforcée et sans vérification indépendante de la demande.