L’analyse comportementale basée sur l’IA devient le nouveau bouclier

Déjà observées en 2022, les escroqueries bancaires ont explosé en France en 2023 (+78 %, chiffre Cybermalveillance.gouv.). L’escroquerie au faux conseiller bancaire est même, selon ce dernier, le « phénomène de l’année 2023 ». Pour se prémunir des tentatives de fraude bancaire, beaucoup de banques ont lancé des campagnes de sensibilisation pour aider leurs clients à mieux identifier les escroqueries. La responsabilité revient à chaque individu, qui doit savoir déceler ces risques susceptibles de coûter très cher. Au total, ce sont 628 millions d’euros qui auraient été subtilisés via les moyens de paiement au premier trimestre 2023, selon la Banque de France. Or le manque de régulation européenne claire ne permet pas encore aux clients de se faire rembourser en cas d’escroquerie. Si en Grande-Bretagne, sous l’impulsion de la réglementation sur les services de paiement (PSR), les politiques des établissements bancaires permettent désormais aux clients d’être intégralement remboursés, ce n’est pas encore le cas en France ni en Europe.

D’autant plus que les escroqueries bancaires deviennent de plus en plus difficiles à identifier du fait de l’usage de l’intelligence artificielle. Au cours de l’année écoulée, les fraudeurs se sont tournés vers l’IA générative pour créer des deepfakes : vidéos, sons et textes localisés dans les langues locales, permettant d’élargir leur champ d’action. Si les institutions financières mondiales utilisent aussi l’IA pour se défendre, les criminels sont également très avancés et lancent des attaques surpuissantes. Pour lutter contre ce fléau, tous les établissements bancaires dans le monde se mettent progressivement en ordre de marche.

Les réglementations sont même en pleine évolution et se confirment notamment grâce aux directives sur les services de paiement (DSP). Ces dernières établissent les règles en vigueur dans l’Union européenne sur l’efficacité et la sécurité des paiements électroniques/digitaux et des services financiers. La DSP3 de fin 2023 élargit le cadre réglementaire sur l’authentification forte et établit de nouvelles règles plus strictes sur l’accès aux systèmes de paiement et aux informations sur les comptes. Les banques françaises ont aussi un nombre croissant de règles à respecter en matière de sécurité et de confidentialité et elles doivent adopter de nouvelles technologies en ce sens. Pour lutter contre la fraude avant même qu’elle ne se produise, l’un de leur atout est une technologie montante dans le secteur bancaire français, mais déjà bien implantée dans de nombreux pays, à savoir l’intelligence comportementale, qui analyse le comportement des clients des banques en se basant sur l’IA et le machine learning.

Malgré cette recrudescence d’escroqueries, la banque reste le secteur en ligne inspirant le plus confiance selon le baromètre de confiance des Français dans le numérique de l’ACSEL. De fait les nouvelles méthodes d’authentification pour les paiements en ligne jouent un rôle clé dans cette évolution. 67 % des répondants se sentent « rassurés » par l’adoption des techniques de double authentification. Mais pour maintenir ce gage de sécurité et contrer les cybercriminels, les banques doivent adopter les technologies les plus récentes.

Le véritable enjeu des banques est d’améliorer l’identification des mules financières (personne qui transfère de l’argent acquis illégalement, par exemple par vol ou fraude, pour le compte de tiers) ou des fraudes en temps réel et ce de manière proactive. Selon un récent rapport, la majorité des experts bancaires ont su identifier, dans les 30 jours (à 35 %), les escroqueries bancaires dont leurs clients avaient été victimes en 2023. Et la plupart des répondants français ont indiqué les avoir identifiés dans les 6 mois (34 %). Alors que ces identifications se font souvent une fois les transactions réalisées, l’intelligence comportementale, qui surveille plus de 3 000 signaux faibles lorsque les clients sont actifs sur leurs sessions, permet d’identifier les tentatives de fraude avant même qu’elles ne se produisent. L’analyse des changements de comportement des titulaires de comptes (accès via un nouvel appareil, comportement différenciant d’habitude, etc.) est un élément redoutable contre les escroqueries utilisant l’IA. Si chacun de ces signaux faibles ne représente pas grand intérêt en lui-même, tous ensemble ils dessinent un véritable portrait de l’utilisateur via son comportement.

Certains signaux sont essentiels à l’identification d’une fraude bancaire. Le « taux d’hésitation » est l’un des plus importants, indiquant l’intention d’une personne à cliquer ou taper. En général, une personne effectue 20 % de mouvements de souris sans réel but lorsqu’il se sert de son application bancaire. Sous contrainte, ces mouvements passent à 40 % voire 60 % en cas d’hyperstress. Erreurs, clics dans des menus inhabituels... peuvent indiquer que la personne est sous influence, surtout si celle-ci est au téléphone durant sa session, pouvant induire le fait qu’elle est potentiellement sous l’influence d’une personne mal intentionnée. La rapidité et la manière dont l’utilisateur tape ses messages peuvent être également un facteur déterminant. En général, les champs sont complétés en moins de 15 secondes mais s’il tape les détails du compte par blocs de deux ou trois par exemple – un signe de dictée – et corrige même certaines informations, cela peut signifier un cas d’escroquerie. La position du téléphone est aussi un très bon indicateur : en général, lorsque l’utilisateur rentre ses coordonnées bancaires sur son smartphone, l’appareil qu’il utilise est en mouvement ce qui signifie que l’utilisateur écrit. Ces mouvements sont ensuite analysés et comparés à son historique. Si par exemple le smartphone ne bouge pas, indiquant qu’il est sur une surface plane et que le téléphone est en haut-parleur, cela montre que le mouvement ne correspond pas à ses antécédents et qu’il y a un risque de fraude.

Face à l’ingéniosité des fraudeurs, les établissements bancaires se sont adaptés et ont réalisé de véritables avancées dans la lutte contre les fraudes bancaires qui utilisent l’IA générative. En effet, si cette technologie est capable de reproduire un comportement humain pour passer les phases de vérification, elle ne pourra jamais copier le comportement de l’humain associé au compte. Aujourd’hui, certaines banques sont déjà conquises. Plus de 30 des 100 plus grandes banques au monde (dont American Express, Barclays, Citi Ventures, HSBC et National Australia Bank...) et plus de 190 institutions financières s’appuient sur l’intelligence comportementale pour lutter contre la fraude, faciliter la transformation numérique et développer des relations avec leurs clients.