Fraude au virement : comment lutter et s’en protéger ?

Février 2024. Un événement secoue le monde des affaires : un salarié de Hong Kong, participant à une visioconférence avec ses collègues de Londres, dont le directeur financier, s’est vu demander d’initier plusieurs virements totalisant 26 millions de dollars. Malheureusement, seul le salarié de Hong Kong et les 26 millions de dollars étaient bel et bien réels. Ce cas témoigne d’une nouvelle facette de la fraude au président développée par intelligence artificielle générative : les deepfakes mettent en scène des avatars dignes de la série de films Mission Impossible !

Cette anecdote met en lumière les risques et les enjeux de la fraude au virement pour les entreprises, ainsi que les moyens technologiques sophistiqués utilisés par les fraudeurs. Elle souligne également la nécessité pour les entreprises de mettre en place des mécanismes de protection adéquats.

En 2022, 69 % des entreprises françaises ont été victimes d’une tentative de fraude (+3 % par rapport à 2021) ; 57 % ont subi une fraude avérée. Les méthodes les plus courantes restent la fraude au faux RIB et la fraude au président.

Des tentatives pour sécuriser l’IBAN

Le premier rempart contre ces attaques reste la sécurisation des bases de données tiers des entreprises pour garantir la correspondance entre chaque référence bancaire (IBAN) et son bénéficiaire effectif. À ce jour, plusieurs services sont disponibles pour aider les entreprises à réaliser cette vérification. Bien que les principales banques françaises se soient regroupées autour du service SEPAmail Diamond pour partager leurs référentiels d’IBAN, ce service présente quelques limites :

• une couverture restreinte aux seuls groupes bancaires adhérents ; les IBAN des banques non adhérentes, telles que des néo-banques comme QONTO, REVOLUT, ne sont pas vérifiables ;
• un périmètre essentiellement FR même si des accords transfrontaliers se dessinent (accord avec SUREPAY en 2022 permettant atteindre des banques en zone NL, UK, NO, AT, SE, DK, FI).

Ces dernières années, des éditeurs de logiciels ont investi ce marché en proposant des solutions plus complètes, combinant la vérification des coordonnées bancaires avec d’autres référentiels, tels que les référentiels KYC, administratifs, et en proposant des services à valeur ajoutée, comme la garantie des paiements ou la synthèse KYC du titulaire de l’IBAN.

Ces moyens de contrôle en amont de l’exécution de l’ordre de paiement ne permettent cependant pas d’éradiquer le risque de fraude au virement.

Malgré ces mesures préventives, les fraudeurs s’adaptent en ciblant les entreprises non équipées de ces outils, en utilisant des IBAN frauduleux détenus dans des établissements non référencés, et en déclenchant leurs attaques au plus près de l’exécution du paiement.

La vérification devient une obligation réglementaire

À ce jour, aucune banque n’a intégré de manière systématique la vérification du bénéficiaire avec les coordonnées bancaires au processus d’exécution des ordres de paiement. Cela pourrait changer avec l’EPC qui a défini de nouvelles règles avec le scheme Verification Of Payee (VOP) Scheme Rulebook. Ce nouveau dispositif rendra obligatoire, pour tous les PSP affiliés au SEPA, la vérification du couple (IBAN-titulaire), avant l’exécution des SCT et SCT instantanés. La date cible est fixée pour fin 2025. À noter que ce service offrant un regain de sécurité aux entreprises ne pourra leur être facturé. Le projet de mise en place en est à ses balbutiements : la phase de consultation publique prendra fin le 19 mai 2024 et la nature de la ou des plateformes réseau VOP reste à définir.

Cette obligation réglementaire reste un défi pour les établissements bancaires :

• ils vont devoir investir dans l’intégration de la VOP aux usines de paiement SCT et SCTi sans pouvoir facturer ce service aux émetteurs de paiement ;
• leurs offres actuelles et rémunératrices de vérification (IBAN, titulaire) vont devenir obsolètes de ce fait.

Au-delà de ce défi, cette obligation réglementaire ouvre également des opportunités pour les établissements bancaires. Les PSP peuvent anticiper sa mise en œuvre en améliorant leurs offres actuelles de vérification IBAN-titulaire avec des services différenciants et facturables offrant :

• une couverture élargie à l’exhaustivité des IBAN de la zone SEPA ;
• une utilisation de référentiels complémentaires au seul référentiel VOP, tels que des référentiels de communautés d’entreprises, des référentiels KYC, des référentiels administratifs (greffes) et, le cas échéant, une investigation par un back office dédié ;
• des services à valeur ajoutée tels qu’une garantie que le paiement parvienne au bon titulaire ou une synthèse KYC ou juridique du titulaire du compte ;
• un périmètre international, et non pas limité à la seule zone SEPA.

Ces offres pourraient non seulement renforcer la sécurité des paiements, mais aussi attirer une clientèle internationale et générer des revenus supplémentaires. Dans ce contexte réglementaire en évolution, il est judicieux pour les PSP d’étudier dès maintenant les opportunités offertes par le VOP et de commencer à élaborer des stratégies différenciées pour répondre aux besoins changeants du marché.

Références :

[1] https://www.radiofrance.fr/franceinter/ia-une-arnaque-par-deepfake-a-coute-26-millions-de-dollars-a-une-entreprise-de-hong-kong-1799286

[2] Étude fraude 2022 Allianz x DFCG

[3] https://www.europeanpaymentscouncil.eu/sites/default/files/kb/file/2024-02/EPC218-23%202024%20Verification%20Of%20Payee%20Scheme%20Rulebook%20v0.1%20for%20public%20consultation.pdf

[4] https://www.europeanpaymentscouncil.eu/document-library/rulebooks/public-consultation-verification-payee-scheme-rulebook