OPINION. « Les compte-rebonds, futur fléau des fraudes ? »
Charles Cuvelliez et François Franssen

Photo d'illustration
La Tribune avec Dall-E
Charles Cuvelliez et François Franssen

Photo d'illustration
La Tribune avec Dall-E
D'après l'ACPR, ce type de fraude a fortement progressé entre 2016 et 2023, aussi bien en nombre de cas (+64 %) qu'en montants (+100 %), avec un total de 411 000 victimes recensées en 2023. Cependant, seules 10 % des victimes déposeraient une plainte, ce qui laisse supposer que le montant total de ces fraudes aurait doublé sur la période, atteignant 4,5 milliards d'euros en 2023.
En 2023, 65 % des virements effectués par les victimes allaient sur des comptes bancaires français, alors qu'avant 2018, plus des deux tiers partaient vers l'étranger. C'est que les banques détectent moins bien ces comptes suspects ? Pour mieux comprendre ce phénomène, l'ACPR a réalisé une enquête auprès de treize établissements financiers qui apparaissaient comme les plus exposés aux comptes-rebond — ces organismes ayant reçu plus de la moitié des montants signalés par les banques françaises à la Banque de France.
En 2023, 661 millions d'euros de virements reçus ont été identifiés comme suspect par eux. La proportion de virements suspects reste faible chez les banques généralistes, de 0,003 % à 0,004 % du total, même si l'ACPR a parfois constaté des taux dépassant 0,5 %. Le montant moyen des virements suspects est stable, passant de 896 € en 2022 à 873 € en 2023.
Pour parvenir à ouvrir ce type de comptes et déjouer la vigilance des banques, les fraudeurs utilisent différentes méthodes : création de sociétés éphémères, usurpation d'identités existantes, recours à de fausses identités, rachat de sociétés déjà établies ou encore utilisation de « mules » : des clients ordinaires initialement qui prêtent ou cèdent leur compte à des fins de blanchiment.
Que font les établissements financiers en cas de détection de virements suspects ? Environ 33 % des comptes concernés sont fermés dans les trois mois suivant leur ouverture. 32 % ne le sont qu'au bout d'un an ou plus. Ce délai est plus long dans les banques généralistes, dit l'ACPR : plus de la moitié des comptes clôturés en 2023 avaient été ouverts depuis plus d'un an. Ces comptes sont probablement des mules, d'abord utilisés de façon normale par leur titulaire avant d'être cédés à un tiers pour blanchir de l'argent.
L’actualité qui compte pour vous, chaque jour dans votre boîte mail.

70 % des comptes ayant reçu les plus gros montants rappelés par la banque de la victime étaient ouverts depuis moins d'un an. Les comptes dits « dormants » restent rares. En moyenne, 46 jours s'écoulent entre l'ouverture d'un compte soupçonné de blanchiment et la première opération frauduleuse repérée. Dans 44 % des cas, cette première opération intervient dans les deux premières semaines.
Le taux de réussite des rappels ou de saisie de fonds qui partent dans des comptes rebonds varie fortement selon les établissements financiers examinés dans l'échantillon. L'ACPR a regardé les 650 cas les plus significatifs pour chacun des 13 organismes (le top 50 chez chacun d'eux) :
60 % de ces flux ont été transférés à l'étranger, voire même 85 % dans certains établissements financiers. Des mesures de précaution existent pour les virements sortant de l'Espace Économique Européen : certains établissements interdisent les virements hors SEPA, d'autres interrogent leurs clients professionnels sur leurs activités en dehors de l'Union européenne, et certains tiennent compte de la destination des fonds pour fixer les plafonds d'opérations en ligne. Las, les principaux bénéficiaires de ces virements dits « de rebond » se trouvent presque exclusivement au sein de l'Union européenne : principalement au Luxembourg, en Lituanie, en Allemagne, en Irlande, en Belgique et en Espagne.
On retire très peu en espèces : 1 % de ces flux suspects, mais ce chiffre grimpe parfois à 5 % ou même 7 % dans cinq établissements des 13 étudiés. L'ACPR a également constaté des retraits en espèces pouvant atteindre 60 000 €. Les différences entre les banques s'expliquent par les plafonds de retrait appliqués : qu'il s'agisse de clients particuliers ou professionnels, ces plafonds varient en général entre 500 € et 3 000 € par jour.
L'ACPR n'évoque pas une tendance récente : l'évanouissement des flux vers des plateformes crypto, à partir desquelles l'argent s'évanouit dans ce méandre opaque car la régulation MiCa ne concerne que les plateformes en Europe.
Le transit des fonds n'a pas abouti pour 14 % des montants concernés : 9 % ont été restitués aux victimes à la suite de demandes de rappel des fonds ; 2 % (4,1 millions) ont fait l'objet de saisies par les autorités ; 3,2 % (6,7 millions) demeuraient encore sur les comptes au moment de leur clôture. On ne connait pas la destination des 21,4 % des fonds ayant transité par ces comptes.
Les titulaires des comptes ciblés par les principales demandes de rappel de fonds, donc les comptes-rebonds, ont en moyenne 39 ans. Dans 97 % des cas étudiés, ces personnes sont des résidents français. Mais plus de 14 % des relations d'affaires concernées résident à l'étranger...sauf que l'identification du lieu de résidence des clients repose souvent sur des déclarations. L'ACPR aurait pu ajouter qu'hélas, le profil des mules, c'est souvent des personnes avec peu de revenus et c'est vrai : elles étaient déjà clientes.
Par ailleurs, le taux de succès des opérations de rappel et de saisie varie fortement d'un organisme financier à un autre. Dans l'échantillon analysé, les rappels de virements ont abouti à la récupération de 31 % des montants visés en 2023.
Dans l'échantillon étudié de 650 cas examinés dans les 13 organismes, 36 % des personnes physiques et 15 % des personnes morales ont établi leur relation avec l'organisme financier en face à face, soit 27,8 % tous types de clientèle confondus. Dans ces situations, la personne physique ou le représentant de la personne morale était présent physiquement au même endroit que le chargé de l'organisme financier, qui n'a détecté aucun problème.
Pour les relations établies à distance, la loi impose la présentation d'au moins deux des pièces ou mesures suivantes :
Certains établissements financiers se sont limités à la simple collecte d'une pièce d'identité sans mettre en œuvre une seconde mesure obligatoire, se plaint l'ACPR.
Pour la vérification de l'identité des personnes morales, les organismes financiers recueillent systématiquement un extrait provenant d'un registre officiel. Cependant, la manière dont ce document est obtenu varie selon les établissements. L'ACPR recommande d'utiliser des sources indépendantes et fiables (telles que les registres officiels) tout en vérifiant rigoureusement l'identité et les pouvoirs des personnes agissant au nom du client. Par ailleurs, la détection des « mules » devrait être améliorée en s'appuyant sur des signaux faibles, comme des changements dans les opérations effectuées ou dans les appareils, lieux et modalités de connexion aux services en ligne. L'ACPR pourrait aussi préciser que s'il s'agit de société qui participe à la fraude, elle est souvent en difficulté financière ou a fait l'objet d'un changement de propriétaires quelques semaines ou mois auparavant. Les fraudeurs ont compris qu'il est plus simple de prendre contrôle d'une société qui est déjà dans une banque que d'y rentrer comme nouveau client.
Pour limiter le risque, pourquoi ne pas adapter, dit l'ACPR, l'offre de services et de produits au profil du client, notamment au début de la relation. Cela passe par la définition de plafonds pour les opérations (par opération et en cumul) en fonction de l'activité ou des revenus déclarés du client, pour avoir de la cohérence entre les transactions et la nature de l'activité. Cette approche permettrait de limiter le volume de flux suspects pouvant transiter par ces comptes (comme les virements et les paiements par carte bancaire). D'ailleurs, les organismes financiers ne collectent-ils déjà pas :
Pour les clients présentant un risque élevé, allons un cran plus loin, dit l'ACPR via des mesures supplémentaires pour évaluer à l'avance précisément leur profil et les opérations attendues. Par exemple, pour une personne morale, cela pourrait inclure l'analyse des dépenses liées aux locaux, au personnel, aux contributions sociales et fiscales, ainsi que des typologies générales de recettes et de dépenses en lien avec l'activité exercée. Mais n'est-ce pas très intrusif ?
Le score de risque attribué aux clients, qui permettrait de mieux détecter les futurs compte-rebonds, se base sur plusieurs critères, tels que le lieu de résidence, la situation de logement, l'âge, la nationalité, l'opérateur de téléphonie, ou encore le secteur d'activité. Certains organismes financiers prennent également en compte le nombre de clients enregistrés à une même adresse (une adresse boite aux lettres, en d'autres termes) ainsi que la marque de l'appareil utilisé pour établir une relation à distance. Ce score peut évoluer tout au long de la relation d'affaires, notamment en cas d'alerte liée au compte du client ou lors de la mise à jour des informations le concernant.
A côté des scénarios de détection des clients sur base de leur score de risque, il y a les scénarios basés sur les transactions.
Les scenarios sont :
Certains établissements financiers signalent également utiliser des scénarios basés sur un horaire inhabituel pour la transaction.
D'autres organismes financiers ont intégré à leurs dispositifs de surveillance une liste noire d'organismes financiers identifiés comme risqués, avec suspension du virement sortant
Les organismes financiers ont en tout cas indiqué que 65 % des premières alertes concernant les comptes proviennent de sources internes, tandis que 35 % sont d'origine externe. Un établissement rapporte tout de même n'avoir reçu aucune alerte interne parmi son top 50 analysé, tandis qu'à l'autre, un autre mentionne que chaque alerte externe a toujours été précédée d'une alerte interne. Parmi les alertes internes, 76 % sont générées automatiquement et 24 % résultent d'une détection humaine. En ce qui concerne les premières alertes externes, 57 % sont liées à des demandes de rappel de virements, 28 % émanent des autorités, et 15 % correspondent à d'autres types d'alertes externes.
La quasi-totalité d'organismes financiers déclarent disposer de règles et de scénarios d'alertes qui bloquent la sortie des fonds ou le compte.
On le voit, cela craint avec les comptes-rebonds : avec l'obligation du paiement instantané qui accélère le départ de l'argent, avec le découplage IBAN — compte bancaire, qui permet d'avoir plusieurs numéros de compte par compte bancaire, parfois découplés, la situation ne va pas s'améliorer. Le corollaire sera la propension de mettre fin à la relation commerciale entre des clients et leurs banques quand les premiers n'avaient rien à se reprocher, si ce n'est une transaction inhabituelle qui déclenche toutes les alertes. Il y a surtout du travail à faire chez les usagers : ne plus se laisser berner.
--
Pour en savoir plus
Rapport sur la prévention des comptes rebonds pour le blanchiment d'escroqueries et autres fraudes, juillet 2025
_________
(*) Charles Cuvelliez, Professeur à l'2ecolePolytechnique de Bruxelles, Université de Bruxelles et François Franssen, Head of Anti Financial Crime Operations (AFCO), Belfius Banque
Charles Cuvelliez et François Franssen