L’enjeu des nouvelles formes de fraude aux paiements

Au Royaume-Uni, les volumes de virements instantanés, les faster payments, sont beaucoup plus importants qu’en France. Jusqu’en 2021, leur croissance s’est accompagnée d’une accélération du nombre d’escroqueries. En effet, selon le régulateur britannique des systèmes de paiement (PSR), 98 % des escroqueries sont réalisées sur les virements instantanés. À tel point que l’Instant Payment était devenu synonyme d’Instant Fraud !

Reprenons l’historique pour bien comprendre les évolutions. Avant le fort développement des virements instantanés, le scénario le plus courant de fraude au Royaume-Uni était l’ATO, l’account take over. C’est-à-dire un paiement « non autorisé » par le client, suite à l’usurpation de ses données. Pour prévenir les fraudes de ce type, les banques britanniques ont investi dans des solutions technologiques innovantes. L’effet fut réel, avec une réduction du coût financier de ces fraudes aux paiements « non autorisés ».

Depuis 2017, changement de décor. Le scénario le plus générateur de pertes financières pour les banques britanniques est la fraude au virement « autorisé », l’authorized push payment ou APP. Cette fois, point d’usurpation : le client est manipulé par le fraudeur au point d’autoriser lui-même des virements vers des comptes frauduleux ou « comptes mules ». À partir de 2018, les escroqueries de ce type sont devenues un défi majeur pour les banques britanniques, qui ont commencé à envisager de rembourser les clients. En 2019, le régulateur a introduit le Contingent Reimbursement Model (CRM) : sauf en cas de négligence grave, les banques doivent rembourser les clients victimes de fraude.

L’impact financier de la fraude par manipulation du client (APP) a fortement progressé depuis 2017 : en 2022, il atteignait la somme de 485 millions de livres sterling en 2022¹. Soit près de 550 millions d’euros. Introduite dès 2020 au Royaume-Uni, la Verification of Payee a certes permis de prévenir certaines fraudes. Mais les fraudeurs s’adaptent et la croissance des volumes des virements instantanés était telle que le coût financer des escroqueries par manipulation a dépassé le coût de la fraude sur la carte.

À partir de 2022, changement de cap : les banques britanniques se sont mieux équipées en solutions innovantes afin de prévenir la fraude en temps réel, plutôt que d’y réagir a posteriori. L’agilité et la rapidité dans la mise en place de nouvelles stratégies de prévention de la fraude en temps réel dans le cloud ont été des facteurs clés. Le développement de la fraude par manipulation a conduit le Trésor britannique à lancer en mars 2024 une consultation publique sur la base d’un policy note² proposant d’amender la Payment Services Regulation de 2017 pour autoriser un prestataire de services de paiement à retarder jusqu’à quatre jours ouvrés l’exécution d’un virement s’il a de bonnes raisons de penser que ce virement « has been placed subsequent to fraud or dishonesty perpetrated by someone else (excluding the payer) ». Notons enfin que, le 7 octobre 2024, sont entrées en vigueur de nouvelles dispositions introduites par le régulateur britannique³ (PSR) visant à renforcer la protection des victimes de fraude par manipulation, accompagnée du lancement d’une campagne de sensibilisation à la fraude rappelant aux consommateurs les bonnes pratiques à adopter⁴.

Chez nous, dans son rapport annuel 2023⁵, l’Observatoire de la sécurité des moyens de paiement (OSMP) note que la croissance des flux de paiement scripturaux s’accompagne d’une stabilité du montant total de la fraude. Les taux de fraude sur les paiements électroniques s’établissent à un niveau historiquement bas, ce qui atteste de l’efficacité de l’authentification forte et des outils de détection du risque de fraude mis en place par les banques. L’OSMP alerte toutefois sur la progression des fraudes par manipulation de l’utilisateur. La plus connue ? La fraude au faux conseiller bancaire. Ces fraudes par manipulation représentaient 379 millions d’euros en 2023.

Face au développement de ces nouvelles techniques de fraude, l’OSMP indique faire de la lutte contre l’usurpation d’identité sur les réseaux de communication un axe de travail prioritaire. Dès l’automne 2022, l’OSMP avait mis en place un groupe de travail chargé de clarifier les modalités de remboursement des opérations de paiement frauduleuses, en réponse à une interpellation des associations de consommateurs. Celles-ci faisaient état des difficultés rencontrées par les clients des banques pour bénéficier du droit à remboursement prévu par les textes, en particulier dans le cas où l’opération contestée a fait l’objet d’une authentification forte suite à une fraude par manipulation. Les travaux de ce groupe ont débouché sur la publication par l’OSMP, en mai 2023, d’un ensemble de 13 recommandations sur le remboursement des victimes de fraude⁶.

Selon les textes, le remboursement d’une opération contestée est conditionné par le fait qu’elle ait été autorisée ou non par l’utilisateur. L’appréciation du caractère autorisé ou non est une question particulièrement sensible dans le cas d’opérations ayant fait l’objet d’une authentification forte. La recommandation n° 6 de l’OSMP dit que, si une opération contestée a fait l’objet d’une authentification forte, le prestataire de services de paiement (PSP) doit déterminer si cette opération peut être considérée comme autorisée par l’utilisateur, en appuyant son analyse plusieurs éléments. Un, les paramètres techniques associés à l’opération. Deux, les modalités de l’authentification forte et enfin, les éléments de contexte, l’existence d’une authentification forte n’étant pas suffisante en soi pour considérer que la transaction a été autorisée. À la lumière de cette analyse, à défaut d’éléments suffisants pour justifier le caractère autorisé de l’opération ou démontrer une négligence grave de l’utilisateur, le prestataire de services de paiement (PSP) est tenu de rembourser l’opération en cause.

Si plusieurs des recommandations de l’OSMP s’adressent aux PSP, d’autres s’adressent aux consommateurs. Par exemple, la recommandation n° 7 les invite à rester vigilants et à respecter les bonnes pratiques, régulièrement rappelées par l’OSMP, pour la sécurité de leurs moyens de paiement. C’est dans ce même esprit qu’a été lancée le 30 septembre 2024 une nouvelle campagne nationale de sensibilisation aux fraudes aux moyens de paiement⁷. Code, mots de passe et identifiants bancaires : ne donnez jamais ces données !

L’OSMP s’est engagé à procéder à un bilan de la mise en œuvre de ces recommandations, en s’appuyant sur des enquêtes réalisées par l’Autorité de contrôle prudentiel et de résolution (ACPR). Ce bilan devrait être rendu public début 2025.

Au niveau européen, la Banque Centrale Européenne (BCE) et l’Autorité Bancaire Européenne ont publié en août 2024 un rapport sur la fraude sur les paiements⁸. Selon cette étude, la valeur totale des opérations frauduleuses dans l’Espace économique européen (EEE) s’est élevée à 4,3 milliards d’euros en 2022 et 2 milliards d’euros au premier semestre 2023. Le rapport confirme l’effet positif de l’authentification forte. La preuve : elle note que « les taux de fraude pour les paiements par carte sont dix fois plus élevés lorsque la contrepartie est établie en dehors de l’EEE, où la mise en œuvre de l’authentification forte n’est pas une exigence légale ».

Par ailleurs, la BCE a publié en septembre 2024 un rapport d’un groupe de travail de l’ERPB (Euro Retail Payments Board) sur la prévention de la fraude dans les paiements de détail⁹. Parmi les 18 recommandations formulées dans ce rapport, plusieurs pointent vers une approche européenne (EU-wide) de la lutte contre la fraude et la nécessité de mettre en place un réseau d’échange (EU network on fraud) impliquant toutes les parties concernées. On trouve donc en germe dans ce rapport l’idée d’un OSMP européen, que France Payments Forum appelle de ses vœux depuis longtemps et soutiendra résolument.