En un an, les intelligences artificielles génératives (GenAI) ont montré de quoi elles étaient capables, captivant l’imagination et l’inquiétude des entrepreneurs, de la presse et des régulateurs du monde entier. Pour les banques et les fintechs, il existe un risque sérieux et urgent posé par l’adoption rapide de l’IA générative : le potentiel de son utilisation à des fins frauduleuses.
Les statistiques récentes révèlent une augmentation alarmante des activités frauduleuses. Depuis la fin de l’année 2022, 68 % des consommateurs ont signalé une hausse des spams et escroqueries, un chiffre qui coïncide avec l’adoption généralisée de la GenAI. Les projections suggèrent que les pertes mondiales dues à la fraude aux paiements en ligne pourraient passer de 38 milliards de dollars en 2023 à près de 91 milliards en 2028, illustrant l’ampleur du problème.
La GenAI, en particulier, ouvre la voie à des formes de fraude plus sophistiquées et à grande échelle. Les criminels se servent désormais de bots d’IA pour extraire des informations sensibles, créer de faux profils et générer des supports de communication trompeurs comme des e-mails de phishing. Ils vont jusqu’à utiliser des deep fakes vidéos et enregistrements vocaux pour mener des attaques via les médias sociaux et tromper les systèmes d’authentification.
Face à cette menace croissante, les établissements financiers et leurs partenaires doivent impérativement repenser leurs stratégies de défense. Des instruments efficaces existent pour y parvenir au quotidien.
Quatre clés pour se protéger
Il paraît important tout d’abord d’évaluer minutieusement chaque technologie. L’utilisation frauduleuse de la GenAI compromet sérieusement certaines technologies d’authentification, telles que la reconnaissance vocale et faciale. Sans les supprimer totalement, il faut envisager de réduire leur importance et éviter de s’appuyer seulement dessus lors de l’authentification du client.
La vérification des points de données doit être multiple. Les criminels peuvent falsifier un ou deux points de données, mais il leur est nettement plus difficile de tromper un système de vérification multipoints, qui prendrait en compte des éléments comme la biométrie, les documents officiels, l’adresse IP, la localisation géographique, et la date de naissance. Plus il y aura de points de données à vérifier, meilleurs seront les processus KYC (connaissance client) et AML (antiblanchiment).
Ainsi récemment, Fourthline a remarqué qu’un certain nombre de comptes ouverts à travers l’Europe étaient accessibles à partir d’un endroit différent de celui où ils étaient censés se trouver. Plus suspect encore, la plupart d’entre eux étaient accessibles à partir d’un seul endroit au Bénin, en Afrique de l’Ouest. Cette escroquerie, heureusement arrêtée, illustre deux recommandations essentielles : l’importance de vérifier les points de données qui sont indépendants les uns des autres, et celle de revérifier ses clients à des moments aléatoires.
C’est là un troisième point important. Contrairement aux contrôles prévisibles, les vérifications surprises posent un défi majeur pour les fraudeurs, qui ont moins de chances de les passer avec succès. Attention toutefois : ces procédures doivent être rapides et transparentes afin de ne pas nuire à l’expérience client des utilisateurs légitimes.
Enfin, pour lutter à armes égales, il s’agit de combattre l’IA par l’IA. Plutôt que de se lancer dans la tâche impossible de suivre les dernières innovations en matière de fraude basées sur l’IA, les solutions d’IA peuvent être exploitées pour repérer les schémas de criminalité financière qui échappent aux humains et automatiser les tâches qui prennent du temps. Il est par exemple possible d’utiliser des contrôles biométriques de l’IA pour détecter, reconnaître et lire les documents d’identification, en faisant correspondre les images avec les personnes, avec des temps de traitement plus rapides et des conversions plus élevées.
