Cet article appartient au dossier : Temps réel : quand le paiement devient instantané.

Sécurité

Paiement instantané, fraude en temps réel ?

L’instant payment allie la rapidité de l’autorisation des paiements par carte à la disponibilité immédiate des fonds pour le bénéficiaire. Si ce dernier est un fraudeur, l’impact peut être conséquent. Pour autant, les banques ont à leur disposition des outils pour sécuriser ces transactions en temps réel.

L'auteur

Revue de l'article

Cet article est extrait de
Revue Banque n°808

Temps réel : quand le paiement devient instantané

Entre transition, transformation et « disruption » digitale, le paiement instantané trouve une réponse aux attentes de mobilité, d’immédiateté et de numérisation. Les paiements instantanés pourraient selon des études représenter à horizon de 5 ans, jusqu’à 3 milliards de transactions en France, soit plus de 20 % des transactions interbancaires de détail traitées actuellement par STET. L’ensemble des marchés des paiements de détail est concerné, de la cible P2P en passant par le B2C/C2B jusqu’au B2B. Les paiements instantanés devraient ainsi toucher de nombreux secteurs : principalement les transferts de fonds, les paiements e-commerce mais aussi de proximité tels que la grande distribution, les paiements contre marchandise, le règlement de travaux, le paiement de services à la personne, le règlement d’actes notariaux. En France, les banques proposeront à leur clientèle ce nouvel instrument, et certaines dès novembre 2017.

Des risques accrus

Cette large couverture de marchés potentiels fait aussi les affaires des cyberfraudeurs. La question de la fraude est prégnante. En Grande Bretagne, Faster Payment, un des premiers systèmes de paiement instantané déployés en Europe, réalisant plus de 1,5 milliard de paiements instantanés annuels, a connu un quasi-doublement depuis son introduction en 2008. Il ne faudra pas sous-estimer la faculté d’adaptation quasiment en temps réel des fraudeurs, qui suivent l’actualité et calculent leur modèle économique en fonction de la facilité avec laquelle ils pénètrent dans les écosystèmes. Ils mettront en place des processus de contrôle à distance des objets nomades et des attaques sophistiquées en temps réel, surfant sur la vague des fonds disponibles en quelques secondes.

L’instant payment facilitera en effet les opérations de rebond vers d’autres comptes, inatteignables ou situés dans des pays où un délit frauduleux est vu comme un litige commercial, jouant ainsi sur le facteur temps pour disposer des fonds immédiatement. Le paiement instantané conjugue de fait la rapidité des autorisations en temps réel des cartes et la disponibilité instantanée des fonds. Les paiements instantanés ouvrent ainsi une voie importante de profit pour les fraudeurs, les montants transférés pouvant atteindre 15 000 euros, voire plus par accord bilatéral, montants bien plus élevés que la moyenne des transactions cartes. Le système de paiement carte est encore dual et la compensation a lieu un jour voire deux ou trois jours après la demande d’autorisation, ce qui permet encore de bloquer les fonds en paiement, même si l’autorisation a été donnée.

Des menaces… et des parades

La première difficulté pour les banques et leurs clientèles est d’anticiper le type de fraude qu’elles subiront. Elles doivent s’attendre principalement à des attaques de type phishing [1], malwares [2] permettant un contrôle à distance, fausse application bancaire, intrusion dans les systèmes d’information bancaires.

Les établissements ont pourtant plusieurs atouts en main. Tout d’abord, ils ont le recul et l’expérience de la gestion du risque en temps réel, acquis sur les transactions cartes et les tentatives d’intrusion répétées dans leurs systèmes. Les banques s’appuient entre autres, depuis le début des années 2000, sur des outils gestion du risque temps réel, à base d’intelligence artificielle, qui ont fait leur preuve sur la carte et commencent à être clonés pour les autres instruments de paiement. Elles ont aussi la connaissance de leurs clients, leurs habitudes de paiement, ce qui leur confère un avantage sur les fraudeurs.

D’autre part, les banques disposent d’un atout essentiel : la viscosité des plates-formes d’acquisition, qui est la première des armes antifraude. Les banques ont priorisé une sécurisation et une gestion du risque le plus amont possible, dès les briques acceptation et acquisition. Pour ce faire, elles ont mis en place des processus d’enregistrement des listes des bénéficiaires des virements, rapides et sécurisés, basés sur des outils d’authentification forte multimodale à base de token [3] ou d’éléments biométriques, soit via la banque en ligne soit via le smartphone. Elles ont mis en œuvre en complément, des solutions efficientes pour initier la transaction, en s’appuyant sur des technologies sécuritaires sophistiquées de type Wallet, avec un système de proxy permettant de ne pas véhiculer le numéro de compte ou de carte.

Après la phase d’initiation et d’acceptation, la banque réalise à nouveau, une batterie de contrôles complémentaires avant de donner son accord. Ces contrôles sont très poussés et combinatoires, afin de limiter au maximum le risque. Ils portent en particulier sur les contrôles prudentiels, l’existence du compte bénéficiaire, les droits du payeur, le solde disponible intégrant une gestion des plafonds autorisés et cumulés, la listes des destinataires autorisés et/ou blacklistés, le pays du destinataire, le canal d’acquisition et son niveau de sécurisation, les dernières opérations sur le compte. Et depuis quelques années, ces contrôles sont combinés à des recherches avancées, pour mener une analyse comportementale très fine qu’apporte l’intelligence artificielle. Ceci est opéré par des moteurs de décision de type neuronal, capables de mettre en corrélation le comportement de la banque teneuse de comptes et les paramètres du compte (par exemple, les outils de scoring cartes). En complément pour répondre au défi des paiements instantanés, les banques étudient à intégrer aussi les contrôles LCB/FT [4] en temps réel. La transaction sécurisée, poursuivant son chemin sur l’autoroute des paiements, sera alors à nouveau contrôlée et sécurisée par le système interbancaire, à différentes étapes du transit de la transaction, donnant des scores d’analyse comportementale en temps réel.

L’intelligence artificielle au cœur de la lutte antifraude

La première difficulté pour les banques sera donc d’anticiper les fraudes sur les paiements instantanés. Trois défis majeurs restent à relever pour le déploiement efficient et sécurisé des paiements instantanés : la sécurisation des objets nomades, en particulier le smartphone, maillon faible de la chaîne, la sécurisation des accès par les tiers de paiement aux comptes de ses clients que va légaliser la DSP2, et enfin, la sécurisation des bases de données qui permettent d’affiner les contrôles et tendre vers une gestion du risque optimale. L’objectif pour l’écosystème sera de s’adapter en intégrant la composante gestion du risque, combinant des logiciels de lutte contre les attaques et les malwares infestant les points d’acceptation, complétée par une couche d’intelligence artificielle. Verra-t-on alors, avec la propagation des moteurs d’intelligence artificielle, un arrêt de la fraude ou au contraire la génération d’un volume important de fausses alertes complexifiant la décision et le travail des back-offices ? À un service singulier qu’est l’instant payment, il faut une réponse de singularité technologique. L’intelligence artificielle, bien qu’encore en phase de réglage, sera l’un des facteurs de succès des paiements immédiats, apportant des solutions efficientes de sécurisation et d’anticipation du risque de fraude et permettant de justifier un service facturable, et ainsi trouver un modèle économique équilibré.

 

[1] Technique permettant de récupérer des données personnelles en usurpant notamment l’identité d’une banque.

[2] Logiciels malveillants.

[3] Un jeton d’authentification, type boîtier générant un code unique.

[4] Lutte contre le blanchiment et le financement du terrorisme.

 

Sommaire du dossier

Temps réel : quand le paiement devient instantané

Sur le même sujet