Dès lors que l’on évoque SEPAmail et la sécurisation des paiements en entreprise, cela fait en réalité référence à la technologie de vérification et validation d’IBAN et RIB : SEPAmail Diamond.
Alors qu’un membre d’une Direction Financière (comptable, trésorier ou autre délégataire d’un pouvoir bancaire) entre les coordonnées bancaires d’un fournisseur dans le référentiel tiers, la banque n’a pas l’obligation d’en vérifier la fiabilité et l’authenticité. Il existe dès lors un risque d’altération, à la suite d’une erreur de saisie ou, pire, d’une escroquerie (arnaque aux faux fournisseurs ou arnaque au RIB).
Si dans le premier cas, il est possible de récupérer les sommes indûment virées (via le recall de virement et l’action pour enrichissement sans cause), il est en revanche fort probable que celles-ci soient irrécouvrables en cas de fraude au virement bancaire.
Dès lors, l’outil SEPAmail Diamond vous permet de drastiquement limiter le risque d’erreur de saisie et de survenance des fraudes.
Quels sont les différents services SEPAmail ?
Créé en 2008, ce service se spécialise dans les échanges interbancaires, et propose donc trois types d’opérations aux fins différentes.
Avec SEPAmail Aigue Marine et Rubis, la solution se penche respectivement sur la mobilité bancaire et la simplification des paiements – ces services se destinent donc essentiellement aux particuliers.
Sur le plan de la sécurisation des paiements, en revanche, c’est surtout SEPAmail Diamond qui intéresse la plupart des Directions Financières souhaitant lutter contre la fraude au virement.
SEPAmail Aigue Marine : Pour faciliter la mobilité bancaire
L’article 23 de la loi dite Macron vise à faciliter le changement de banque en obligeant les établissements bancaires à s’occuper des démarches administratives sans frais imputable. Cela permet, entre autres, d’assurer une continuité dans les virements malgré le changement en cours.
Gratuit et automatique, le service SEPAmail Aigue Marine vous est alors proposé pour assurer le transfert de vos comptes bancaires ainsi que la communication des nouvelles coordonnées du compte aux différents créanciers.
SEPAmail Rubis : Pour l’envoi de factures dématérialisées
Également dédié aux particuliers, ce service permet l’édition de factures dématérialisées grâce à un système de paiement en ligne. Celui-ci peut directement être utilisé depuis l’espace personnel du compte bancaire (application ou site web).
SEPAmail Diamond : Pour la lutte contre la fraude au virement
SEPAmail Diamond permet de lutter contre la fraude au virement via un système de vérification des coordonnées bancaires. La réglementation imposant le contrôle d’identité des fournisseurs avant paiement de leurs factures, c’est donc logiquement le service le plus populaire auprès des Directions Financières.
Qu’est-ce que SEPAmail Diamond ?
Le service voit le jour en 2008 à l’initiative de trois grands groupes bancaires français :
- Crédit Mutuel CIC,
- Banque Populaire,
- Caisse d’Epargne.
Celles-ci sont alors convaincues de la nécessité d’élaborer une innovation dans l’industrie des moyens de paiement : le paiement documentaire. Répondant aux évolutions législatives en matière de contrôle des transactions financières, celui-ci présente l’intérêt indéniable de centraliser les paiements et les documents administratifs relatifs pour les entreprises. Une simplification avantageuse à une heure où “plus de 200 milliards de documents commerciaux en Europe chaque année”.
Sur la base d’un accès interbancaire conséquent, SEPAmail Diamond assure la vérification des IBAN fournisseurs de manière automatisée.
Une telle technologie vise ainsi à identifier :
- Les erreurs de saisie ;
- Les falsifications des coordonnées bancaires dans une base de données : (le « référentiel fournisseur » ou « référentiel client »), permettant d’éviter les impayés
- La fiabilité et la sécurité des paiements des fournisseurs
En d’autres termes, cette technologie de validation d’IBAN est la garantie d’effectuer un virement associé aux bonnes coordonnées bancaires.
C’est également une solution rapide et automatique, représentant un gain de temps important pour l’entreprise. Un contrôle manuel demande effectivement 15 minutes en moyenne, le collaborateur devant recouper les données avant de vérifier le bon couple IBAN / fournisseurs. Ce dernier peut alors se concentrer sur des tâches à plus forte valeur ajoutée, telles que le reporting et l’analyse stratégique.
Quel fonctionnement pour SEPAmail Diamond ?
Une telle technologie est permise grâce aux apports de l’Open Banking, soit l’ouverture et le partage de données bancaires avec des acteurs tiers, comme les FinTech. Le processus est officialisé avec la Directive européenne sur les services de paiement (DSP2), entrant en vigueur en janvier 2018. Entre autres provisions, elle intime l’ordre aux banques de partager les données relatives aux opérations et services bancaires, sous réserve du consentement de leurs clients.
Afin de procéder à la vérification des IBAN, SEPAmail Diamond a recours aux API, des clés sécurisées autorisant l’accès aux données bancaires partagées. Elle interroge alors trois interlocuteurs :
- Le donneur d’ordre ;
- Le titulaire du compte fournisseur ;
- Le prestataire de services de paiement (PSP) du donneur d’ordre et du fournisseur.
Quand le fournisseur transmet son RIB au donneur d’ordre, ce dernier envoie une demande de vérification à la banque (ou autre PSP). Celle-ci soumet alors une requête Diamond à l’établissement bancaire du fournisseur pour s’assurer de la véracité des informations bancaires. Elles font alors le chemin inverse – jusqu’au donneur d’ordre – afin de l’informer sur la correspondance entre le RIB et le fournisseur en question.
- Que recouvre la notion de « donneur d’ordre » ?
Celui-ci désigne légalement la personne à l’origine d’une opération. Dans le domaine bancaire, il peut s’agir d’une Direction Financière ou encore d’un banquier, lequel est alors missionné pour la gestion d’un portefeuille client. Afin de sécuriser parfaitement l’ensemble de l’opération, le donneur d’ordre doit donc maîtriser chaque étape du processus des ordres de virement.
Le donneur d’ordre transmet certes l’IBAN à la banque pour vérification, mais dès lors que celle-ci interroge le PSP concerné, elle substitue le QXBAN à l’IBAN.
- QXBAN : qu’est-ce que c’est ?
Si l’IBAN est littéralement la carte d’identité du compte bancaire, le QXBAN en est un alias spécifiquement utilisé par les banques participant au système SEPAmail. Généré par un algorithme de chiffrement, le QXBAN permet aux banques de communiquer les informations bancaires à visée de vérification tout en sécurisant l’accès à celles-ci par des tiers indésirables.
En résumé, le fonctionnement de SEPAmail Diamond se fait en trois étapes :
- Détectant les erreurs de saisie lors de l’enregistrement de l’IBAN fournisseur ;
- Contrôlant si l’IBAN existe bien ;
- Vérifiant s’il correspond au titulaire du compte.
Cependant, le bon fonctionnement de ce service réside dans son adoption massive par les PSP, car ceux-ci sont les plus à même de confirmer ou d’infirmer la correspondance entre un RIB et le titulaire d’un compte.
Ainsi, si le nombre de banques SEPA est important, force est de constater qu’elles ne sont pas toutes représentées et sont uniquement françaises.
Dès lors, qu’en est-il en cas de fraude aux faux fournisseurs réalisée à partir de comptes situés à l’étranger, là où les règles KYS (Know Your Supplier) ne sont pas aussi strictes qu’en Europe ?
Contrôle de RIB avec SEPAmail Diamond : comment ça marche ?
Virement en zone SEPA
Acronyme renvoyant à « Single Euro Payments Area » (espace unique de paiement en euros), SEPA désigne tous les virements réalisés en euros au sein des pays membres. Ceux-ci recoupent alors les 27 pays constituant l’Union Européenne, le Royaume-Uni, ainsi que d’autres pays européens, comme la Norvège ou la Suisse
Le fonctionnement du virement SEPA suit des règles strictes édictées dans un rulebook. Quand il réalise un virement SEPA, le titulaire du compte ne le fait pas en réalité de lui-même : il donne l’ordre au PSP (souvent la banque) d’y procéder. Celui-ci s’y emploie alors, et si la somme est théoriquement disponible immédiatement sur le compte crédité, il faut en réalité compter un jour ouvrable au maximum.
Afin que celui-ci puisse être exécuté, plusieurs informations doivent être transmises au PSP, au premier rang desquelles les coordonnées bancaires du bénéficiaire enregistrées dans votre référentiel tiers.
Outre le virement SEPA classique, l’espace unique donne également accès au paiement instantané SEPA (instant payment). Celui-ci permet de réaliser des transferts automatiques en temps réel, le bénéficiaire recevant l’argent en quelques secondes. Exit également les restrictions en termes de jours (comme le dimanche), puisque le service est actif en permanence.
Une véritable aubaine pour les entreprises, lesquelles y voient une nette simplification des process. Pour autant, et malgré l’adoption de SEPAmail Diamond, les risques en termes de fraude demeurent élevés. Effectivement, et bien que son nom puisse porter à confusion, ce service ne s’applique pas à la zone SEPA, mais uniquement à la France. Par ailleurs, recouvrir une somme indûment versée s’avère très complexe.
Pour les virements instantanés et classiques en France, SEPAmail Diamond est donc tout indiqué, puisqu’il bénéficie d’un large accès au système interbancaire. Néanmoins, en-dehors de l’Hexagone et au sein de la zone SEPA, il est préférable d’opter pour une solution de vérification complémentaire ou couvrant un périmètre large.
Virement non SEPA
Dès lors que l’on sort de cet espace unique de paiements en euros, le bât blesse davantage.
Au sein de l’Union Européenne, les directives de lutte contre le financement du terrorisme et le blanchiment d’argent imposent un contrôle des tiers dans les pays membres (voir loi Sapin II en France).
Pour autant, à l’étranger, la réglementation n’est non-seulement pas harmonisée, mais surtout pas aussi stricte. Les risques de fraude sont évidemment plus importants, aussi est-il crucial de savoir comment sécuriser un virement international.
Comme pour les virements en zone SEPA (mais hors de France), SEPAmail Diamond n’est pas à même de vérifier les PSP localisés à l’étranger. Un inconvénient certain dans un contexte de mondialisation sans cesse plus pressant.
Le service SEPAmail Diamond pour protéger les entreprises des fraudes au virement
Si l’entreprise ne maîtrise pas les processus de paiement et n’assure pas un suivi constant de la base tiers, elle s’expose alors à des risques d’ordre financier et juridique.
Outre les escroqueries, l’entreprise peut d’abord être confrontée aux erreurs de virement bancaire. Celles-ci sont légion et peuvent par exemple constituer en un mauvais destinataire, une somme inexacte ou un IBAN inexistant. Recouvrir la somme n’est pas toujours une mince affaire, puisque comme le dispose le principe d’irrévocabilité du virement, celui-ci ne peut être annulé. Certaines banques offrent néanmoins la possibilité de rejeter un virement en cours de traitement, mais il faut alors procéder rapidement, en contactant un conseiller ou directement depuis l’interface.
Une exception au principe d’irrévocabilité, cependant : le « recall virement ». En cas d’erreur technique ou de fraude pour un virement SEPA, les virements libellés en euros peuvent alors être annulés, soit a priori (avant que la banque du bénéficiaire ne reçoive les fonds), soit a posteriori. Dans ce dernier cas, la banque formule une demande de remboursement (virement inversé) au PSP ayant été indûment crédité de la somme. Pour rappel, le « recall virement » n’est pas disponible pour le SEPA instant payment, justement parce que le bénéficiaire est crédité de manière quasi instantanée.
En termes de fraude, le risque le plus prégnant est celui de l’arnaque au RIB. Simple à opérer, cette escroquerie transite le plus souvent par de faux emails prétextant venir de tel ou tel fournisseur enregistré dans votre base tiers. Celui-ci vous informe alors d’un changement de RIB et vous prie de bien vouloir procéder à la mise à jour – toutefois, dans les faits, ce nouveau compte est frauduleux. Pour parvenir à leurs fins, les escrocs adoptent les moyens de communication du fournisseur ciblé, reprenant jusqu’aux visuels et éléments de langage, ceci afin de tromper le membre de la Direction Financière. Les bonnes personnes à contacter sont d’ailleurs souvent identifiées au préalable, au moyen des réseaux professionnels.
Les limites de SEPAmail Diamond dans la sécurisation des paiements
Bien que les banques sont impliquées dans le système SEPAmail Diamond, celles-ci n’ont accès qu’au seul réseau interbancaire français : « seulement » 70% des coordonnées bancaires françaises peuvent être contrôlées. Dès lors le virement sort de l’Hexagone (zone SEPA et hors SEPA), une solution complémentaire de contrôle doit être adoptée.
Cette limitation géographique représente une faiblesse certaine, car la législation KYC européenne et les normes internationales vous imposent de contrôler les coordonnées bancaires tiers. Et ce, y compris quand les comptes sont localisés en-dehors du territoire français.
Pour terminer, la solution SEPAmail ne permet pas de vérifier la validité des comptes d’affacturages. Très utilisée pour l’escompte de facture client, cette pratique vise à subroger le créancier initial au profit d’un tiers : le factor. Or, les comptes d’affacturage peuvent représenter jusqu’à 10% des comptes référencés. Une potentielle faille de plus exploitable par les escrocs les plus avertis.
Protégez-vous à grande échelle
Face à ces limites présentant de nombreux risques (financiers, légaux, de fraude, etc.), Trustpair déploie une technologie métier clé-en-main de validation des IBAN fournisseurs. Basée sur le réseau SEPAmail, elle présente l’avantage indéniable d’avoir accès à d’autres base de données françaises, européennes et internationales. De cette manière, la solution permet de garantir la fiabilité du référentiel fournisseur dans un large périmètre. Elle assure également un référentiel fournisseur sain grâce à un système de vérification automatisée, synonyme de gains de temps, de simplification des processus et de sécurité des paiements.
L’approche dynamique de la donnée par Trustpair permet ainsi le contrôle des RIB fournisseurs, non-seulement en France, mais également en Europe, en Chine et aux Etats-Unis. Il déploie également un service de contrôle spécifique pour l’affacturage.