Plus fluides, plus rapides, plus pratiques, les paiements instantanés ont véritablement révolutionné nos modes de transactions bancaires. Cependant, ce progrès comporte sa part de risque, notamment en matière de fraude bancaire : en effet, plus la transaction est rapide, plus le risque de fraude augmente si ce n’est pas accompagné par les mesures de prévention.
L’innovation face aux fraudes : sécuriser les paiements instantanés en trois étapes
Par
Publié le 8 février 2025 à 8h30
1,2 MILLIARD €Rien qu’en France, les fraudes liées aux moyens de paiement ont atteint environ 1,2 milliard d’euros en 2023
Rien qu’en France, les fraudes liées aux moyens de paiement ont atteint environ 1,2 milliard d’euros en 2023, selon les données de l'Observatoire de la Sécurité des Moyens de Paiement (OSMP). Ces chiffres sont stables mais le type de fraude évolue. Parmi les fraudes en nette progression, celles liées aux paiements push autorisés (APP, Authorized Push Payments) devraient entraîner des pertes de plus de 7,2 milliards d’euros au global d'ici 2028, selon le dernier rapport Scamscope d’ACI Worldwide. Entre autres facteurs favorisant cette évolution, le perfectionnement continu des techniques des cybercriminels contribue à compliquer la tâche des agents chargés de la prévention et de la lutte contre les fraudes.
Alors, comment les institutions bancaires peuvent-elles prévenir et détecter les fraudes dans des délais toujours plus courts ? La bonne approche peut se diviser en trois étapes fondamentales : l’utilisation à bon escient de la norme ISO 20022, l’exploitation de l’abondance de données fournies par des tiers sur le secteur, et le recours à l’IA et au machine learning pour améliorer la prise de décision et l’expérience client.
ISO 20022 : libérer la puissance du message de paiement
La norme ISO20022 n’est pas simplement un standard pour le secteur bancaire, c’est un véritable outil de prévention contre la fraude, qui permet de faciliter les paiements, d’aider les banques à mieux communiquer entre elles, à procéder aux contrôles de conformité, et à mener des évaluations des risques plus approfondis.
Avec son modèle de données unifié, ISO 20022 introduit une structure plus rationnelle qui améliore la communication entre les systèmes de paiement. Ainsi, les nouveaux messages comportent plus d'espace pour ajouter les coordonnées complètes des bénéficiaires et des payeurs. Ils comportent également des « codes d'objet du paiement », quatre lettres indiquant la raison d'un paiement. Les messages peuvent également inclure des informations comme les « identificateurs d'entité juridique », le « type de compte » et d'autres champs standardisés qui aident les banques à identifier les signaux d'alerte. Il est même possible d’ajouter des détails sur l'appareil sur lequel un paiement est initié, sur la façon dont le consommateur interagit avec cet appareil et sur l'adresse IP à laquelle il est lié.
Ces données sont précieuses, car elles peuvent alerter sur des signes révélateurs de fraude. Supposons qu'une personne ouvre son application bancaire et commence à copier-coller de nouvelles coordonnées de bénéficiaires provenant d'autres sources. Cela peut être le signe qu'elle est sur le point d'effectuer un paiement en faveur d’un escroc, qui se fait passer pour un membre de sa famille ou un ami dans le cadre d'une fraude par APP. De même, si un utilisateur est plus hésitant à procéder à un virement que d'habitude, cela peut signifier qu'une fraude est sur le point d'être commise. En présence de données supplémentaires, il est possible d'accroître la précision et l'exactitude des prévisions de fraude, avant qu'une transaction ne soit effectuée. Bien que les exigences réglementaires aient favorisé l'adoption de la norme ISO 20022, de nombreuses institutions financières n'en sont encore qu'aux prémices de son utilisation.
Données de tiers : un aperçu de milliers de milliards de paiements
L'accès à des données robustes, comme les informations sur les messages ISO 20022, n'est qu'un début. La prévention des fraudes en temps réel nécessite de comprendre les schémas au sein de vastes réseaux de paiements. Pour tirer parti de cette « Intelligence réseaux », il est nécessaire d’intégrer les informations de paiement provenant des banques, des commerçants, des émetteurs de factures et des infrastructures centrales. Par exemple, les habitudes d'interaction d'un utilisateur avec un dispositif de paiement, à un moment ou à un endroit donné, peuvent révéler des signes d'activité frauduleuse très subtils, que les données d'une seule institution ne pourraient détecter.
Cette intelligence réseau comporte une faille : la confidentialité des données. En raison des lois sur la protection des données et des préoccupations réglementaires, les banques sont prudentes quant à l'utilisation des données de tiers. Pour y remédier, il est essentiel de privilégier le « partage de signaux » plutôt que le partage direct de données. Le partage de signaux signifie que les banques échangent des données de transaction anonymisées et sécurisées avec un tiers, qui leur renvoie un score de risque anonyme ou une alerte si quelque chose d'inhabituel est détecté. Les banques peuvent ainsi obtenir des informations précieuses rapidement, sans compromettre la vie privée des utilisateurs.
Malgré ses nombreux avantages, l'adoption de l'Intelligence réseau et du partage de signaux a, dans les faits, été limitée, ce qui peut remettre en cause le concept même des paiements instantanés, réduire la praticité que les consommateurs attendent de ces derniers, et compliquer l'interopérabilité bancaire, avec l’Union européenne. Compte tenu de la quantité quotidienne de données que les banques doivent désormais traiter, le partage des signaux peut aider les institutions financières à détecter les fraudes plus rapidement.
Pour y parvenir, les institutions européennes bancaires doivent travailler de concert sur des modèles standardisés de prévention de la fraude et mettre à jour leurs processus bancaires obsolètes.
L’entrée en scène de l’IA et du machine learning
Les solutions alimentées par l'IA et le machine learning peuvent détecter et prévenir la fraude en traitant de vastes quantités de données de paiement en temps réel, en les comparant aux données historiques et en identifiant un comportement suspect dès son apparition.
L’efficacité de l’IA dans la prévention des fraudes n’est d’ailleurs plus à prouver : aux États-Unis, le Département du Trésor a récemment récupéré plus de 3,7 milliards d’euros en paiements indus, dont près de 950 000 millions d’euros directement grâce à l’utilisation de l'IA. Grâce à des techniques telles que la détection des anomalies et l'évaluation des risques, l'IA repère instantanément les transactions irrégulières, y compris celles qui passeraient inaperçues, permettant aux institutions financières d'adopter une approche proactive.
Les tactiques de fraude évoluent et l’exploitation des données est devenue cruciale pour évaluer la légitimité des transactions. Les capacités d'apprentissage continu de l'IA garantissent des systèmes à jour et capables de répondre aux menaces émergentes. En associant des modèles d'IA à de vastes ensembles de données, y compris des informations anonymes provenant de l'ensemble du secteur, cette approche en trois étapes constitue une solution qui permet d'identifier rapidement les transactions légitimes et potentiellement frauduleuses.