Tout savoir sur la VoP (fonctionnement, format, recommandations…) avant le 9 octobre 2025

Qu’est-ce que la VoP ?

La VoP est une partie d'un nouvelle règlementation européenne (règlement européen 2024/886 du 13 mars 2024). A partir du 9 octobre 2025, toutes les banques seront tenues de vérifier la concordance entre l’identité du bénéficiaire d’un paiement et celle du titulaire du compte bancaire indiqué (IBAN). Cette obligation concerne tous les virements SEPA classiques (SCT) ainsi que les virements SEPA instantanés (SCT inst), qui pourront être bloqués par le client initiateur en cas de non-concordance.

L’objectif de cette mesure est d’ajouter une couche de sécurité pour lutter contre la fraude, en particulier les usurpations d’identités. Elle permet également de limiter les erreurs de saisie.

Comment fonctionne la vérification ?

En France, le modèle le plus courant (mais pas unique) reposera sur SEPAmail Diamond-2, qui est un Routing and Verification Mechanism (RVM) adopté par la majorité des banques françaises. Il permet de vérifier et d’adresser une requête à la bonne banque.

Concrètement, vous enverrez une demande de paiement (qui contient l'identifiant du bénéficiaire et l'IBAN) à votre PSP ou votre banque exécutrice. Cette dernière enverra à son tour une requête contenant l'identifiant du bénéficiaire et l'IBAN à SEPAmail, qui se chargera de regarder dans quelle banque est domiciliée le compte. Deux possibilités s’ouvrent alors :

1. la banque teneuse du compte a partagé une base de données avec les IBAN et les titulaires des comptes. Il est ainsi possible de vérifier la concordance et d’obtenir une réponse ;
2. la banque teneuse du compte n’a pas partagé cette base de données. SEPAmail lui transmettra alors la requête, elle enverra ses données (identifiants et IBAN) à SEPAmail, qui effectuera la vérification et retournera une réponse.

Pour les personnes physiques et morales, un nom peut être utilisé comme identifiant. Pour éviter les ambiguïtés au niveau des personnes morales, il est possible d’utiliser un SIREN, un numéro de TVA intracommunautaire ou un code LEI.

Quid au niveau européen ?

Plusieurs RVM existent au niveau européen. Si jamais la banque teneuse du compte n’est pas adhérente à SEPAmail, le système pourra questionner un annuaire pan-européen afin de savoir où adresser la requête. Une banque ayant développé son propre algorithme de vérification ou l’équivalent de SEPAmail dans un autre pays fournira alors la réponse.

Quelles sont les différentes réponses possibles lors d’une vérification ?

Quatre réponses sont possibles lors de la vérification de la concordance du bénéficiaire d’un paiement avec le titulaire d’un compte bancaire :

• match : les données concordent ;
• close match : les données ne concordent pas parfaitement mais sont similaires (inversion de lettres, fautes de frappe…)
• no match : la vérification ne permet pas d’avoir un match ou un close match ;
• unable to match : le contrôle n’a pas pu être soumis ou exécuté.

Si la réponse est un « match », vous pourrez confirmer la transaction. Le processus classique d’exécution se déroulera. Dans le cas d’un « close match », d’un « no match » ou d'une impossibilité de réaliser la vérification, une alerte vous sera soumise.

Peut-on procéder au virement malgré un no match ?

En l’absence de « match », il reste possible d’exécuter la transaction. Il faut toutefois comprendre que ce sera à vos risques et périls, le titulaire du compte pouvant ne pas correspondre au destinataire supposé. Mais dans les faits, le rôle de la banque se limite à fournir l’information à l’initiateur du virement : s’il souhaite poursuivre la transaction malgré un « no match », la banque ne peut pas s’y opposer.

Quelles sont les recommandations sur l’identifiant à utiliser ?

Dans le cas des personnes morales, il est déconseillé d’utiliser un nom pour identifier un bénéficiaire car il est assez fréquent que les raisons sociales soient trop longues voire inconnues (utilisation courant des « noms » commerciaux). Il est plutôt recommandé d’utiliser un identifiant suivant une structuration définie par une organisation (privée, nationale ou supranationale) tels qu’un numéro de SIREN, un numéro de TVA intracommunautaire ou le code LEI. Avec eux, il n’y a pas de possibilité de « close match » : la réponse ne peut être qu’un « match » ou un « no match ».

Peut-on se passer de la VoP ?

La VoP est obligatoire pour les paiements unitaires. L’initiateur devra prendre la décision de poursuivre ou d’annuler le paiement en l’absence de « match ».

Dans le cas des paiements de masse via l’envoi d’un fichier à une banque, la possibilité est donnée d’activer (opt-in) ou de désactiver (opt-out) la VoP. Lors d’un opt-out, aucune vérification ne sera appliquée, avec les risques que cela implique. Il est possible de demander la réactivation de la VoP dès le message suivant.

La VoP n’entre-t-elle pas en contradiction avec l’envoi de fichiers pré-autorisés ?

La VoP pose une difficulté dans le cas des fichiers pré-autorisés à une banque, dont la signature de validation est envoyée en même temps que la demande de paiement. La VoP introduit en effet une étape avant cette validation. Pour répondre à cette contrainte, les banques françaises ont introduit deux possibilités :

• la VoP à la demande, effectuée avant l’envoi du fichier par exemple en cas d’utilisation d’EBICS-TS.
• la VoP à la volée, se fonde sur la pré-autorisation donnée par la signature du fichier et un contrat précisant ce que doit faire la banque en fonction des résultats de la VoP.

Les entreprises utilisant des fichiers pré-autorisés sont invitées à se rapprocher de leur banque afin d’étudier le détail des possibilités à contractualiser.

Y aura-t-il un impact sur le format des fichiers ?

Non, il n’y a aucun impact sur les formats de fichiers sauf à introduire les identifiants (LEI, SIREN, TVA, etc.).

En revanche il y a une évolution des Request Types (ou BTF).

Dans le cas d’un opt-out, ils restent au format « pain.001.001.xx.sct » ou « pain.001.001.xx.sct.inst ».

Dans le cas d’un opt-in, les valeurs changent. Elles deviennent :

La banque doit également vous envoyer un fichier retour, appelé VoP Status Report. Il s’agit d’un message au format « pain.002.001.10.vop » qui fait office de compte-rendu, en détaillant le nombre de transactions totales par statut.

Quel est le coût de cette réforme ?

Les services de VoP devaient être proposés gratuitement par les banques et les PSP. Certaines fonctionnalités plus avancées (API, intégration ERP) pourront cependant être facturées.

Comment les fichiers mono-opérations sont-ils considérés ?

Dans la version actuelle du règlement et du document de questions-réponses, la Commission européenne considère qu’un fichier ne contenant qu’un seul ordre n’est pas un fichier et doit être traité comme un ordre saisi par le web. Or, il est très difficile pour les entreprises de faire la distinction entre les fichiers mono-opération et les fichiers multi-opérations. Les banques ont saisi la FBF de cette difficulté qui l’a transmise au régulateur français (ACPR). Le régulateur allemand (BaFin) a d’ores et déjà annoncé qu’il acceptait jusqu’à nouvel ordre que les fichiers « mono-opérations » soient considérés comme les « multi-opérations » en ce qui concerne la VoP, dans l’attente de la modification qui sera sans doute apportée par le paquet réglementaire (DSP3+PSR).

Comment appréhender la VOP en fonction de la taille de mon entreprise ?

Plus une entreprise est confrontée à des paiements unitaires et de faibles volumes, plus la VoP pourra être utilisée comme seule solution de vérification. L’entreprise disposera d’un premier niveau de contrôle gratuit et pourra réaliser des contre-appels en cas de « close match » ou de « no match ». Les micro-entreprises et les PME locales devraient particulièrement en profiter.

Les grandes entreprises, exposées à des paiements en dehors de la zone SEPA et réalisant fréquemment d’importantes campagnes de paiement, devront, quant à elles, certainement se tourner vers des solutions plus globales pour sécuriser leurs transactions et considérer la VoP à la volée comme le « dernier filet de sécurité », permettant de contrer les fraudes internes et les modifications de dernière minute côté banque.

Quelles sont les limites de la VoP ?

La principale limite est géographique : la VoP ne concerne que les virements SEPA. C’est-à-dire les 27 pays de l'Union européenne, les autres pays de l'Espace économique européen (Islande, Liechtenstein, Norvège), la Suisse, le Royaume-Uni, Andorre, Monaco, Saint-Marin, le Vatican, le Monténégro et l'Albanie. Les fournisseurs asiatiques ou américains ne pourront donc pas faire l’objet d’une vérification via la VoP européenne, mais des systèmes équivalents existent aujourd’hui dans de nombreux pays et des acteurs proposent des « agrégations » de VoP (Swift ou IPID par exemple).

L’utilisation des identifiants (LEI, SIREN, TVA, etc.) dans les paiements n’est pas une pratique usuelle, il faudra qu’elle le devienne.

Quelles sont les recommandations de l’AFTE ?

• Vérifier la qualité de votre référentiel de coordonnées bancaires. La VoP ne sert à rien sans base de données propre car cela augmente le risque que la vérification échoue ;
• Pour les paiements vers une personne morale, privilégiez les identifiants standardisés aux noms. Le règlement européen mentionne la possibilité d’utiliser le SIREN, le numéro de TVA intracommunautaire ou le LEI. L’AFTE recommande l’utilisation du LEI, qui est internationalisé mais peu répandu à ce jour, sans toutefois négliger le numéro de TVA Intracommunautaire qui sera plus simple à utiliser car existant partout et porté par la généralisation de la facture électronique ;
• Face au renfort du niveau de sécurité sur les virements SEPA, la fraude risque de se déplacer vers les devises et les pays qui ne sont pas soumis à une forme de VoP. Renforcez votre vigilance lors de ces virements.