Leçons à retenir pour la gestion des fraudes liées aux paiements en temps réel : un guide pour le Canada

À la lumière du déploiement des réseaux de PTR à l’échelle mondiale, nous voyons trois principales influences sur la fraude.

Contrainte de temps

La rapidité accrue des paiements, associée aux messages de paiement des PTR, représentera un défi important pour la détection des opérations douteuses en temps réel, en raison du temps limité disponible pour une surveillance et une analyse approfondie. Le traitement et le règlement des paiements en temps réel ne laisseront pas assez de temps ni de ressources aux équipes chargées de la détection des cas de fraude pour effectuer des vérifications et des évaluations approfondies, afin d’enquêter sur les transactions frauduleuses, de les bloquer et de recouvrer les fonds.

De plus, les tendances et méthodes de fraude évolueront, car les pirates essayeront d’exploiter les nouvelles capacités des PTR à leur profit. Il est donc possible que les méthodes habituelles de surveillance des opérations, comme les moteurs de détection fondés sur des règles pour analyser les tendances prédéfinies et les processus de revue manuels, soient inadéquates pour identifier efficacement les activités suspectes.

Les systèmes novateurs et avancés de détection de la fraude qui utilisent l’apprentissage machine, l’intelligence artificielle et l’analyse des mégadonnées pour traiter et analyser les opérations en temps réel doivent être utilisés afin de détecter et prévenir rapidement les opérations frauduleuses.

Vulnérabilités du système

Les nouvelles infrastructures, connexions et procédures liées aux PTR peuvent malencontreusement entraîner des vulnérabilités du système que les fraudeurs pourraient exploiter. Ces vulnérabilités peuvent se présenter sous la forme d’un cloisonnement entre les plateformes et les canaux de paiement, ouvrant ainsi des brèches dans le processus de surveillance et de détection des fraudes.

Par exemple, chaque canal de paiement – comme les services bancaires mobiles, les services bancaires en ligne et les points de vente – intégré dans le système peut avoir son propre ensemble de règles pour la détection des fraudes, ainsi que des algorithmes qui peuvent ne pas être synchronisés ou mis à jour en temps réel, ce qui pourrait entraîner des incohérences quant à la détection des fraudes dans différents canaux. Les fraudeurs peuvent exploiter ces incohérences et lacunes pour contourner certaines mesures de sécurité.

Ces vulnérabilités peuvent également se manifester par des points d’entrée faibles dans l’architecture du système ou les processus, ce qui peut faciliter l’accès non autorisé aux données financières sensibles.

En outre, des pratiques d’intégration laxistes peuvent entraîner l’augmentation de comptes de « mules » financières utilisés par les escrocs pour le blanchiment de fonds. Bien souvent, ces comptes sont le principal canal par lequel transitent des fonds frauduleux.

Il sera donc essentiel que les participants aux PTR identifient et examinent activement les vulnérabilités potentielles de leurs propres systèmes, ainsi que de celles des tierces parties afin de préserver l’intégrité et la sécurité de l’ensemble de l’écosystème de paiement.

Capacité de la main-d’œuvre

Combinée à la hausse prévue des volumes de paiements, l’adoption généralisée anticipée des PTR au Canada exercera une forte pression sur le personnel responsable de la surveillance des alertes en temps réel. Les institutions financières doivent se montrer proactives en donnant aux membres de leur personnel la capacité et les outils leur permettant de gérer efficacement les larges volumes d’alertes, afin d’assurer un examen et une intervention en temps opportun.

Il sera crucial pour les institutions financières d’optimiser la capacité de leur personnel à détecter et à traiter rapidement les activités suspectes en investissant dans des dispositifs automatisés de prise de décision à l’égard des fraudes, afin de limiter l’intervention manuelle et d’externaliser potentiellement les capacités de surveillance et de détection vers des pays où la main-d’œuvre est moins coûteuse.

Ces mesures contribueront à réduire efficacement le risque de non-détection des opérations frauduleuses, ainsi que les pertes en découlant, et à favoriser les réductions de coûts dans le cadre de l’augmentation de la charge de travail liée au volume accru des opérations.

L’expérience mondiale démontre que les fraudeurs s’adapteront rapidement et exploiteront les vulnérabilités présentes dans le traitement des PTR en utilisant diverses techniques pour orchestrer des activités frauduleuses et augmenter leurs chances de réussite. Dès lors, les fournisseurs de services financiers doivent déployer et améliorer constamment des solutions pour gérer leurs pertes.

Depuis leur création, les systèmes de PTR ont connu un essor rapide et ont transformé l’environnement classique des paiements, en substituant au traitement lent et par lots des capacités de transaction instantanées et constantes, qui seront bénéfiques autant pour les particuliers que pour les entreprises.

Toutefois, au cours de l’implantation des PTR, certains pays ont fait face à divers défis en matière de fraude découlant de la vitesse accrue et de l’irrévocabilité des paiements. Les fraudeurs exploitent les vulnérabilités dans le système de paiements, ce qui donne lieu à une hausse des opérations frauduleuses, des prises de contrôle de comptes et des vols d’identité, et entraîne des pertes irrécouvrables imputables à la fraude pour les clients finaux et les banques.

Qui plus est, associé à l’urgence liée aux PTR, le piratage psychologique rend les clients finaux vulnérables aux attaques par hameçonnage, aux virus malveillants et à d’autres formes de cyberfraude. Ces défis démontrent la nécessité de mettre en place de solides mesures de prévention des fraudes, de favoriser la collaboration intersectorielle pour le partage de renseignements et de mettre en œuvre des technologies de pointe, comme l’apprentissage machine et la modélisation prédictive, afin de préserver la sécurité et l’intégrité des systèmes de PTR.

L’incidence des fraudes visant les PTR illustre globalement l’importance de méthodes proactives et réactives en matière de sécurité, alors que l’écosystème des paiements continue d’évoluer.

La mise en commun des connaissances acquises lors de l’implantation des PTR peut s’avérer efficace pour bâtir un écosystème résistant à la fraude. Dans le cadre de l’événement mondial majeur de services financiers organisé par SWIFT à Sibos en 2023, EY a invité des organismes de réglementation et des exploitants de systèmes du monde entier à une table ronde, tenue à ses bureaux, pour comprendre les leçons tirées des déploiements des PTR et discuter des mesures préventives à prendre pour réduire la fraude. Les conversations ont tourné autour des quatre leçons et mesures-phares suivantes.

Leçon 1 : Il est essentiel d’établir les bons incitatifs en matière de finances et de réputation

Les incitatifs établis par les institutions financières sont importants pour prévenir les fraudes liées aux PTR, car ils façonnent le comportement et encouragent les parties prenantes à privilégier la sécurité. Divers pays ont mis en place et proposé des mesures distinctes pour inciter les institutions financières à rembourser les pertes subies par leurs clients.

L’organisme de réglementation des paiements du Royaume-Uni a instauré de nouvelles exigences à l’égard des arnaques par virement en vertu du projet de loi Financial Services and Markets Bill, qui devrait entrer en vigueur en 2024. Selon ces nouvelles exigences, le coût du remboursement sera divisé à parts égales entre les institutions qui envoient et celles qui reçoivent le paiement, dans le cadre d’une responsabilité partagée, afin de couvrir la totalité des pertes subies par les clients.

L’Union européenne (UE) a proposé des exigences réglementaires similaires en vertu de la directive sur les services de paiement, qui obligent les fournisseurs de services de paiements à rembourser les clients victimes d’arnaques par virement, impliquant de la manipulation et de la coercition.

Des tactiques visant à aligner les mesures incitatives sur les mesures de prévention de la fraude inciteront les institutions financières qui envoient et reçoivent les fonds à resserrer leurs contrôles de la fraude afin d’empêcher la fraude en temps réel, tout en protégeant leur propre réputation et celle du réseau élargi des PTR.

Leçon 2 : Recours à des outils technologiques avancés

La technologie joue un rôle essentiel en permettant la détection et la prévention en temps opportun des activités frauduleuses visant les PTR. En utilisant des technologies de pointe comme l’intelligence artificielle, l’apprentissage machine, l’analyse de données et la biométrie comportementale, les institutions financières peuvent analyser de larges volumes de données transactionnelles en temps réel, identifier et signaler des tendances ou des activités suspectes. La biométrie comportementale s’est révélée exceptionnellement efficace pour les systèmes de PTR au Royaume-Uni et en Australie, en permettant de détecter les prises de contrôle de comptes non autorisées et les usurpations d’identité¹⁶.

Au Royaume‑Uni, l’implantation du Confirmation of Payee, un service de vérification de nom qui permet aux utilisateurs de vérifier que le numéro de compte correspond au nom du bénéficiaire, a été prescrit pour les six principales banques et est actuellement offert par 85 organisations. L’objectif? Inclure 400 fournisseurs de service de paiements d’ici octobre 2024, pour démontrer l’amélioration continue des processus d’authentification et de vérification.

En outre, les partenariats entre les banques et les fournisseurs de services de paiement permettent de renforcer les mesures de protection contre la fraude en temps réel fondées sur la biométrie comportementale et les capacités de profilage d’appareils.

La France étudie la possibilité de mettre en place une base de données centralisée des numéros de comptes bancaires internationaux (IBAN) frauduleux ou présentant des risques élevés, au moyen de l’infrastructure de la plateforme de partage d’informations sur les logiciels malveillants (MISP) pour stocker les données.

Dans l’ensemble de l’UE, des propositions législatives sont formulées en faveur d’un numéro IBAN et de services de vérification des destinataires pour tous les paiements instantanés libellés en euros.

Leçon 3 : La collaboration est essentielle pour le partage d’informations

La lutte contre la fraude exige une collaboration fructueuse entre les institutions financières, les fournisseurs de technologies, les autorités de réglementation et les organismes chargés de l’application de la loi. Le partage des informations et des perspectives sur les nouvelles tendances, tactiques et méthodes en matière de fraude permet aux parties prenantes de garder une longueur d’avance sur les fraudeurs.

Le Royaume-Uni est en train d’instaurer des dispositions visant à prévenir, détecter et examiner les fraudes en vertu du projet de loi Economic Crime and Corporate Transparency Bill. Par ailleurs, il a eu recours au National Economic Crime Centre, une organisation constituée de diverses agences, pour partager les informations entre les organismes chargés de l’application de la loi, les ministères gouvernementaux et les organismes de réglementation.

Des propositions similaires sont en cours d’élaboration dans l’UE, et visent à introduire une nouvelle base juridique en vertu du Règlement général sur la protection des données (RGPD) pour le partage des données par les institutions de paiements⁵.

FedNow, l’infrastructure américaine de PTR disponible en tout temps, permet de vérifier des messages de paiement au moyen de listes négatives qui peuvent être activées par les participants des PTR qui envoient ou reçoivent de l’argent afin d’empêcher le transfert de fonds vers des comptes suspects ou à partir de ceux-ci dans d’autres institutions. De plus, les participants sont tenus d’aviser le service FedNow des opérations qui ont fait l’objet de leur enquête et qui se sont révélées frauduleuses; cette information est alors transmise à l’autre institution financière impliquée dans l’opération liée à l’activité frauduleuse pour qu’elle prenne les mesures qui s’imposent¹⁵.

Introduit par le gouvernement de l’Australie, le National Anti‑Scam Centre permet aux banques et aux entreprises de télécommunications de partager les données et de collaborer à la lutte contre la fraude¹⁰.Ce partage de données et d’informations aide à avertir les institutions des activités potentiellement frauduleuses ou suspectes sur les comptes.

STET, la plateforme de compensation interbancaire française, offre aux banques des services d’évaluation instantanée du risque de fraude fondés sur les données issues de l’écosystème, conformément aux dispositions légales et réglementaires en matière de protection des données à caractère personnel.

Leçon 4 : Formation des clients et des employés

Les PTR poursuivent leur essor, et la nécessité d’informer de manière proactive les clients et les employés devient primordiale. La promotion d’une culture de la sécurité au moyen de la sensibilisation et de la formation aide les clients et les employés à prendre des décisions éclairées et à se prémunir contre la fraude, permettant en outre aux institutions de renforcer la confiance à l’égard des PTR.

Le Royaume-Uni adopte une position éducative ferme à l’égard des PTR. Les campagnes menées par UK Finance, comme Take Five et Scamsmart, ainsi que celles menées par le gouvernement, les entreprises technologiques et la Financial Conduct Authority visent à sensibiliser le public au sujet de la fraude.

Par ailleurs, d’autres initiatives, comme le système de réponse rapide du Protocole bancaire mis en place grâce à la collaboration entre UK Finance, National Trading Standards et les forces policières locales, aident à former les employés à détecter et à mettre fin aux opérations douteuses².

Dans l’UE, la Cyber Information and Intelligence Sharing Initiative vise à sensibiliser les clients et à partager les pratiques de pointe en matière de cyber intelligence, comme les décisions fondées sur les menaces au sujet des capacités défensives, les techniques de détection de menaces et les stratégies d’atténuation⁶.

L’Australie a recours à des ressources comme Scamwatch, un site Web exploité par l’Australian Competition and Consumer Commission, pour aider à transmettre des informations aux consommateurs et aux petites entreprises quant à la façon de reconnaître, d’éviter et de signaler les fraudes¹¹.

De son côté, le gouvernement américain offre des vidéos éducationnelles et des outils en ligne pour faire la démonstration de différents types de fraudes liées aux paiements et indiquer comment réduire les risques connexes^{13, 14}. Des campagnes de sensibilisation similaires sont menées par les banques et les fédérations bancaires françaises.

L’éducation est une pierre angulaire de la construction d’un environnement sécuritaire et fiable pour les PTR, tant pour les particuliers que pour les institutions.

Il sera primordial pour les institutions financières, les organismes de réglementation, les fournisseurs de technologies et les consommateurs d’adopter une approche collective pour combattre la recrudescence des fraudes qui accompagnera l’adoption des PTR au Canada. Même si la fraude ne peut être complètement éliminée, des contrôles devraient être mis en place pour aider à en limiter les risques et les pertes qui en découlent.

Comme cela a été le cas aux États‑Unis et au Royaume‑Uni, les pertes liées à la fraude ont grimpé de 164 % moins de deux ans après le lancement des services de PTR¹⁷.Toutefois, la résilience est fondamentale : le renforcement continu des contrôles après le lancement s’est traduit par la stabilisation graduelle des taux d’attaque et des pertes liées à la fraude. À mesure qu’un plus grand nombre de données devenait disponible pour fignoler les contrôles, les pertes se sont stabilisées, tandis que les méthodologies continuaient d’évoluer dans un processus d’ajustement constant avec les contrôles.

Les pirates continueront d’essayer de contourner les contrôles. Cependant, les pays qui ont mis en place des systèmes de PTR ont constaté que des contrôles plus rigoureux mènent généralement à une baisse des pertes liées à la fraude. S’il y a une leçon à retenir du lancement de Faster Payments, le service de paiement en temps réel du Royaume‑Uni, c’est qu’il est essentiel d’investir dans les technologies de détection de la fraude avant le lancement du service des PTR¹⁷.

Selon le degré de maturité de votre programme antifraude, certains outils de lutte contre la fraude au moment du lancement peuvent se révéler plus importants et plus efficaces que d’autres. Il sera impératif d’activer les contrôles de lutte contre la fraude simultanément avec le lancement des PTR, de les améliorer constamment après le lancement et de collaborer avec les participants de l’écosystème après le lancement pour contrer les vecteurs de fraude en constante évolution qui s’étendent au‑delà de l’écosystème. Cela est particulièrement vrai en fonction d’une analyse coûts-avantages, de la méthode de gestion des risques et de l’appétit pour le risque de votre organisation.

Les tactiques suivantes visent à mettre en lumière un certain nombre d’approches que les institutions financières peuvent adopter pour mieux se préparer au lancement des PTR et stabiliser les pertes liées à la fraude après le lancement.

1. Cadre réglementaire

1.1 Collaboration avec le gouvernement et les organismes de réglementation

Pour se préparer au lancement du système des PTR, les institutions financières doivent travailler de concert avec les entités gouvernementales et les organismes de réglementation afin d’instaurer des politiques qui considèrent et appuient les capacités de surveillance de la fraude en temps réel. En harmonisant les politiques et les capacités de contrôle antifraude pour les PTR, les institutions financières peuvent améliorer leur capacité à détecter et à prévenir les activités frauduleuses. En outre, les institutions et le Centre antifraude du Canada peuvent améliorer la collaboration et le partage de données pour développer des rapports plus détaillés et permettre un meilleur partage de connaissances avec le public.

1.2 Modèle de responsabilité bien défini à l’égard des opérations

Les incitations financières et de réputation peuvent être des principaux facteurs qui pousseront les participants à adopter les mesures de prévention de la fraude et à prendre la responsabilité de préserver la sécurité de l’écosystème de paiements. Bien qu’il soit important d’attribuer clairement les responsabilités à l’égard des opérations, la perspective d’un modèle de responsabilité partagée encouragera la responsabilité collective à l’égard de la fraude.

1.3 Établissement des exigences en matière de partage des données et de protection des renseignements personnels

La prévention efficace de la fraude repose sur un réseau de capacités avancées d’analyse de la fraude. Pour y parvenir, il est important de définir les exigences en matière de partage de données et de protection des renseignements personnels. Ces exigences favorisent le développement de mécanismes avancés de détection et de prévention de la fraude qui utilisent l’analyse en temps réel pour identifier les tendances ou activités douteuses.

2. Collaboration sectorielle et partage de l’information

2.1 Partage de données en temps réel

Il est primordial d’établir le partage de données en temps réel entre les institutions qui envoient les paiements et celles qui les reçoivent afin de permettre l’échange des données transactionnelles en temps réel, de même que la détection et la prévention immédiates d’activités frauduleuses. Il est également essentiel d’établir une étroite collaboration entre les entreprises et les équipes de cybersécurité, ainsi qu’un centre de commande conjoint pour la mise à jour continue des contrôles, et de communiquer efficacement ces changements aux clients.

2.2 Partage de la liste / base de données des risques

Une base de données centralisée qui permettra aux institutions participantes de collaborer et de partager des informations sur les incidents de fraude connus, le mode d’opération des fraudeurs et les nouvelles tendances de fraude sera un outil efficace pour lutter contre la fraude. En partageant cette information, les institutions peuvent identifier de manière proactive les vulnérabilités potentielles et prendre des mesures préventives pour atténuer le risque.

2.3 Collaboration intersectorielle

Une collaboration entre les participants, notamment les institutions financières, les organismes chargés de l’application de la loi, les fournisseurs de technologies et les organismes de réglementation, permettra de réaliser un effort collectif pour identifier les méthodes frauduleuses et résoudre les vulnérabilités qui peuvent s’étendre à différents secteurs. Cette approche collaborative offrira aux parties prenantes la possibilité de partager des expériences, des ressources et des pratiques exemplaires, ce qui permettra d’élaborer une stratégie de prévention de la fraude plus efficace et d’une portée plus large.

3. État de préparation opérationnelle

3.1 Surveillance et communication efficaces

Pour faire face à la recrudescence prévue du volume des alertes de fraude, les institutions financières devront mettre en place des mécanismes d’analyse avancée et des capacités d’apprentissage machine pour automatiser le processus de détection des opérations douteuses, générer des alertes et acheminer les cas de priorité plus élevée à un niveau de compétence supérieur en vue d’une enquête plus approfondie. En rationalisant ces processus, les institutions peuvent optimiser leurs ressources et leur temps de réponse, ce qui leur permettra de prendre des mesures adéquates pour aider à atténuer les risques de fraude potentiels.

3.2. Les contrôles, filet de sécurité contre la fraude de masse

Pour se préparer aux cas de fraude de masse imprévus, il est essentiel d’avoir des contrôles en place pour assurer la sécurité des banques participantes et des autres participants. Cela implique la mise en place de contrôles centralisés à l’échelle du réseau, de plans d’urgence, de protocoles d’intervention et de cadres de collaboration pour traiter et contenir rapidement tout événement de fraude de grande ampleur. Ces actions servent collectivement de filet de sécurité et fournissent une assurance aux participants en cas de fraude importante.

3.3. Soutien élargi

La mise en place de systèmes de soutien élargi est une mesure essentielle à l’appui de l’implantation de paiements disponibles en tout temps et d’une surveillance efficace. Il s’agit notamment de veiller à la mise en place de l’infrastructure technique requise et des équipes opérationnelles possédant les compétences adéquates pour s’occuper du volume accru des demandes de traitement continu de paiements et de la surveillance des fraudes en temps réel.

Analyse de données en temps réel et technologie

4.1. Authentification multifactorielle efficace

La mise en place de solides mesures d’authentification multifactorielle permet aux institutions financières de réduire considérablement le risque d’accès non autorisé ou d’opérations frauduleuses, en ajoutant une couche de protection supplémentaire aux paiements en temps réel.

4.2 Technologie automatisée

L’automatisation simplifie diverses étapes du traitement des paiements, notamment le suivi des opérations, l’analyse des données et les mécanismes d’intervention. En automatisant ces processus, les institutions financières peuvent accélérer la détection et la prévention des opérations frauduleuses, réduisant ainsi la dépendance à l’intervention manuelle et diminuant considérablement le temps nécessaire pour contrer d’éventuelles menaces. En ayant recours à l’apprentissage machine et à l’intelligence artificielle, les banques peuvent analyser les données sur les opérations pour comprendre les nouvelles pratiques frauduleuses et s’y adapter pour faciliter la détection et la prévention en temps réel.

4.3 Moteur de décision en temps réel sur les fraudes et capacités d’apprentissage machine

L’intégration de moteurs de décision en temps réel sur les fraudes, dotés d’algorithmes avancés et de capacités d’apprentissage machine, permet aux institutions financières d’analyser et d’évaluer continuellement les données transactionnelles et les tendances de fraude en temps réel. Elles sont ainsi en mesure d’identifier et de signaler rapidement les activités douteuses, ce qui leur permet de détecter et de signaler immédiatement les tentatives de fraude visant les PTR.

5. Formation et sensibilisation

5.1 Stratégie de sensibilisation des clients

Les institutions financières peuvent renforcer la sensibilisation des clients finaux en leur communiquant des renseignements au sujet des risques découlant des fraudes visant les PTR ainsi que des conseils de sécurité, à savoir créer des mots de passe forts, faire preuve de prudence face aux tentatives d’hameçonnage, vérifier régulièrement les mouvements du compte et se tenir informé à l’aide des campagnes de sensibilisation, des bulletins et des courriels sur les fraudes.

5.2 Formation et perfectionnement continu de la main-d’œuvre

Les initiatives de formation continue et de perfectionnement professionnel font en sorte que la main-d’œuvre demeure qualifiée et outillée pour répondre à l’évolution des difficultés dans le traitement en temps réel. Offrir aux employés de la formation sur les divers types de fraudes visant les PTR, notamment les manœuvres frauduleuses courantes et les signaux d’alerte pour identifier et arrêter la fraude, améliorera au bout du compte l’efficacité et la sécurité de l’ensemble de l’écosystème des paiements.

5.3 Création d’un forum

La création d’un forum consacré à la fraude et regroupant des représentants d’institutions financières, de fournisseurs de technologies, d’organismes gouvernementaux et sectoriels servira de plateforme de discussion, d’échange de connaissances et de développement de pratiques exemplaires pour le traitement en temps réel. Ce forum permettra aux participants sectoriels de communiquer des détails sur les nouvelles tendances de fraude et menaces, et de collaborer à la mise au point de solutions novatrices pour renforcer la sécurité des PTR.

Conclusion

Dans le contexte continuellement changeant des PTR, la lutte contre la fraude demeure un défi plus que jamais actuel et croissant. Les tactiques des fraudeurs évoluent au même rythme que les avancées de la technologie, ce qui fait ressortir la nécessité d’une vigilance constante et d’innovation dans les stratégies de prévention de la fraude.

Les clients ne devraient pas se trouver sur la première ligne de défense; les banques doivent utiliser une approche proactive et renouveler leurs méthodes de prévention de la fraude en temps réel pour prendre les criminels sur le fait. En encourageant la collaboration entre les parties prenantes, en adoptant les nouvelles technologies et en utilisant des cadres réglementaires solides, nous pouvons préserver l’intégrité des PTR.

Chose certaine, les fraudes se perpétueront; les participants doivent donc rester déterminés à combattre la fraude pour assurer l’évolution d’un écosystème de paiements sécuritaire et fiable, de façon à exploiter pleinement les avantages des paiements en temps réel. 

Vous avez aimé? Pour découvrir nos récents points de vue et services, visitez nos ressources sur les paiements et les crimes financiers.