L’arnaque au virement : comment s’en prémunir ?

La fraude au virement a toujours été une préoccupation importante pour les entreprises et les banques. La menace d’arnaque s’accroît en raison des avancées technologiques qui permettent une sophistication accrue des techniques de fraude.

L’usurpation d’identité, un nouveau risque
Selon l’étude “Fraude en Entreprise, Perspectives et Stratégies pour 2024” par Trustpair, SAP et OpinionWay, 64 % des entreprises ont été ciblées en 2023 et 85 % des 151 entreprises interrogées considèrent que les attaques sont en hausse.
Le contre appel téléphonique, au fournisseur, à la banque ou à la hiérarchie est l’un des moyens les plus efficaces pour lutter contre la fraude lors d’une demande de changement de coordonnées bancaires ou de virement exceptionnel.
Cette parade est désormais risquée. En effet, il existe déjà des logiciels qui permettent de reproduire le numéro d’appel des services clients des banques. Pire, l’intelligence artificielle permet de créer des “deepfakes” c’est-à-dire des usurpations totales d’identité, au profit de faux fournisseur, faux président ou faux salarié.

Le cas récent (révélé dans la presse en mai 2024) d’un vol de 25 millions de dollars au détriment de la filiale hongkongaise de la société d’ingénierie ARUP est révélateur : le trésorier en charge de procéder au paiement a été invité à une visio-conférence de validation où les visages, voix et postures de ses collègues et CFO avaient été parfaitement reproduits.

Ces techniques d’usurpation d’identité entrainent des pertes de confiance en cascade au sein des entreprises. Désormais, pour se protéger de la fraude, procédures sophistiquées et contre appels ne suffisent plus : il faut avérer l’appartenance certaine d’un IBAN au tiers que l’on doit payer.

Verification of Payee : un premier pas dans la lutte
Le projet de Verification of Payee qui verra le jour en octobre 2025 permet une avancée dans cette lutte contre la fraude. Cependant, il soulève de nombreuses questions techniques pour s’assurer de l’identité réelle des tiers, notamment sur des particuliers pour lesquels aucun identifiant unique n’est disponible.
Il remet en question le positionnement des banques. Les banques vont-elles être les acteurs en bout de chaine qui ralentissent les paiements lors du traitement des “potential match” qui ne manqueront pas d’être générés ?
Vérifier l’identité au moment du décaissement est trop tardif. D’une part, les validateurs n’ont pas toujours les bons éléments pour comprendre ce qui a été vérifié ou pas en amont ; d’autre part, le temps est compté.
Pour lutter efficacement contre la fraude, il faut s’assurer que les coordonnées bancaires des fournisseurs, clients et employés sont correctes tout au long de la chaîne Purchase-to-Pay. Par ailleurs, il faut dépasser l’effet silo des outils de l’entreprise et  donc miser sur des solutions intégrées.

La solution de la triple vérification
Dans cette lutte contre la fraude et le développement du VOP, une réflexion a été menée à l’initiative de SYRTALS le 12 septembre lors d’une journée de travail aux côtés de Trustpair, Sysid et Eastnets, les trois leaders des solutions de lutte contre la fraude.
Leurs solutions permettent une triple vérification : de l’entreprise, de la validité du compte bancaire et de la véracité du couple (entreprise x compte). Ces outils reposent sur plusieurs piliers, agencés différemment selon les fournisseurs d’outils de lutte contre la fraude.
Le pilier central, dans les pays où il est disponible, est une base centrale des comptes bancaires, d’origine bancaire (comme SEPAMAIL DIAMOND) ou étatique.
Les fournisseurs complètent ou, en cas d’absence de base centrale des comptes, réalisent cette vérification avec leur propre base de données, constituée par la mutualisation des comptes bancaires des tiers connus des clients de la solution.
Pour les comptes entreprises, les solutions consultent également les bases externes de données légales.
Des contrôles humains complémentaires peuvent être menés.
Enfin, la technique de test du compte bénéficiaire par des penny tests se développe, qui vient parfaire le dispositif en cas de doutes.

Ces solutions apportent une vision transversale en s’intégrant aux systèmes déjà en place dans les entreprises : outil de procurement (pour l’onboarding des tiers), ERP métier, outil comptable et TMS. Ainsi connectées aux différents systèmes de l’entreprise, elles limitent l’effet silo.
Face à ces enjeux, les banques réfléchissent à la bonne façon de se placer sur la chaine de lutte contre la fraude. Positionnées en bout de chaine du paiement, elles cherchent à remonter plus en amont, en nouant des partenariats avec les fournisseurs de solutions.
Les entreprises s’interrogent sur les différences entre les solutions, notamment quant à leur couverture géographique. SYRTALS peut apporter conseil et benchmarks pour aider banques et entreprises à faire les bons choix.