La fraude aux paiements poussés autorisés est l’une des rares menaces dans le secteur des services financiers qui ne repose pas sur l’intrusion dans des systèmes ou le contournement des mécanismes de contrôle. Elle fonctionne en s’intégrant à ces structures.
Le client se branche. Les informations de paiement sont entrées correctement. La transaction est approuvée.
D’un point de vue technique, tout fonctionne normalement.
C’est ce qui rend la fraude aux paiements poussés autorisés si difficile à stopper. Elle ne déclenche pas d’alerte, car elle ne fonctionne pas selon les schémas habituels de fraude. Elle repose simplement sur un changement du contrôle : la décision d’envoyer de l’argent est influencée avant même que la transaction ne commence.
Au moment où les systèmes de prévention de la fraude aux paiements entrent en scène, le processus est déjà enclenché.
Pourquoi « autorisé » ne signifie pas « sécuritaire »
Le terme lui-même donne lieu à une interprétation erronée. Si un paiement est autorisé, il doit donc être légitime. Cette logique s’appliquait lorsque la fraude résultait principalement d’un accès non autorisé ou d’un piratage de compte.
Ce n’est plus vrai.
Dans les scénarios d’arnaques, l’autorisation est le mécanisme et non la mesure de sécurité. L’utilisateur est incité à agir, souvent sous la pression ou par le biais de belles paroles soigneusement élaborées qui lui donnent l’impression que le paiement est à la fois nécessaire et urgent.
C’est là que les méthodes traditionnelles de prévention de la fraude aux paiements commencent à montrer leurs limites. Les mécanismes de contrôle sont conçus pour détecter les activités suspectes et non pour mettre en évidence une intention de manipulation. Lorsque le client agit conformément aux attentes du système, il n’y a pas vraiment de raison d’intervenir.
Ainsi, ce type de fraude est de plus en plus répandu, semblant légitime à chaque étape du processus.
La décision précède la transaction
Ce qui distingue la fraude aux paiements poussés autorisés, c’est le moment où elle se produit. Elle ne se produit ni lors de l’authentification ni lors du traitement des transactions. Elle survient plus tôt, soit au moment où l’utilisateur décide s’il peut se fier à la requête.
Cette décision est souvent influencée par des interactions qui n’ont pas lieu dans le cadre du paiement lui-même : des messages, des conversations ou des situations qui permettent d’établir une relation de confiance avant que toute opération financière ne soit effectuée.
Par exemple, les tendances observées dans la recrudescence des arnaques numériques à l’imposteur sur différents canaux en ligne montrent comment les cybercriminels parviennent à gagner en crédibilité bien avant même qu’un paiement ne soit demandé. Et au moment où un paiement est demandé, le contexte semble suffisamment légitime pour que l’utilisateur ne se pose plus de questions quant aux risques.
De même, les stratégies décrites concernant la manière dont les escrocs exploitent les déclencheurs émotionnels dans les arnaques caritatives montrent à quel point la prise de décision est influencée avant même qu’une transaction n’ait lieu.
Dans les deux cas, la transaction en elle-même n’est pas suspecte. Le problème réside dans la décision y menant, laquelle repose sur des informations erronées.
Pourquoi la détection intervient trop tard
Les institutions financières ont investi des sommes importantes dans la détection des fraudes pendant ou après une transaction. La cotation des risques, la détection des anomalies et l’analyse comportementale contribuent toutes à identifier les problèmes potentiels.
Mais dans les cas de fraude aux paiements poussés autorisés, ces signaux sont souvent faibles, voire inexistants.
Le client utilise son propre appareil. Le montant du paiement peut se situer dans la fourchette habituelle. Ce comportement n’est peut-être pas suffisamment inhabituel pour susciter des inquiétudes. Même lorsque des signaux de risque apparaissent, ils sont souvent interprétés isolément, sans que l’on ait une vision d’ensemble du contexte qui a influencé la transaction.
Cela pose un problème de synchronisation. Les mécanismes de détection interviennent au moment de l’exécution, alors que la fraude elle-même a déjà eu lieu au moment de la décision.
Pour combler cet écart, il faut repenser le lieu et la manière dont les interventions sont menées.
Ajouter des mécanismes de contrôle au moment crucial
Pour lutter efficacement contre la fraude liée aux paiements poussés autorisés, les institutions financières doivent intervenir avant que la transaction ne soit finalisée, c’est-à-dire au moment où l’utilisateur se demande s’il souhaite poursuivre.
C’est là que la vérification d’identité revêt une importance cruciale.
Au lieu de se fier uniquement aux signaux au niveau transactionnel, les établissements peuvent déterminer si le destinataire est une personne physique ou une entreprise légitime, si son identité correspond aux modèles attendus, et s’il existe des indicateurs de risque associés à cette contrepartie.
C’est au moment où l’utilisateur décide de poursuivre ou non qu’il est possible de stopper ce type de fraude. Cela nécessite un autre type de mécanisme de contrôle, qui consiste à vérifier la légitimité du bénéficiaire avant que le paiement ne soit effectué. C’est là que la protection des paiements en temps réel vérifie l’identité du destinataire avant que l’argent ne soit transféré, ce qui permet aux institutions d’intervenir à un stade où la décision est encore réversible.
Il ne s’agit pas de créer des obstacles, mais de prendre la bonne décision au bon moment.
Repenser la prévention de la fraude aux paiements sous l’angle du risque décisionnel
Les fraudes aux paiements poussés autorisés mettent en évidence un problème plus général dans le domaine de la prévention de la fraude aux paiements : l’accent a été mis sur les transactions, et non sur les décisions.
Or, les transactions sont le résultat de décisions. Si la décision repose sur des informations falsifiées, la transaction paraîtra légitime, quelle que soit la sophistication du système de détection.
En mettant l’accent sur le risque lié à la décision — c’est-à-dire en évaluant la fiabilité du destinataire et le contexte dans lequel s’inscrit le paiement —, les institutions peuvent lutter contre la fraude à la source.
Associée à une détectiondes arnaques alimentée par l’IA qui identifie les interactions frauduleuses à travers différents canaux, cette approche permet d’implanter un modèle de défense plus complet. Le point de départ de la transaction est ainsi lié au déplacement final des fonds, ce qui permet aux institutions de comprendre non seulement ce qui se passe, mais aussi les raisons derrière la transaction.
Passer de la surveillance des transactions à la prévention des conséquences
La recrudescence des fraudes aux paiements poussés autorisés oblige à repenser la manière dont les stratégies de prévention de la fraude sont établies. Il ne suffit plus de surveiller les transactions, car les signaux les plus critiques apparaissent avant même que la transaction ne soit lancée.
La prévention nécessite une bonne compréhension de l’identité, du contexte et de l’intention.
En intégrant des mécanismes de contrôle dans le processus de paiement, les institutions financières peuvent passer d’une simple posture réactive face aux activités suspectes à une prévention totale des cas de fraude. Cela permet non seulement de réduire les pertes, mais renforce également la confiance des clients envers les systèmes de paiement numériques.
En effet, dans les cas de fraude aux paiements poussés autorisés, le moment le plus crucial n’est pas celui où le paiement est traité.
C’est plutôt là où la décision d’envoyer les fonds est prise.
Stoppez la fraude aux paiements poussés autorisés avant que les fonds ne soient transférés; découvrez comment Identité360 Paiements de Scamnetic évalue l’identité des destinataires avant même le transfert de fonds.
[JB1]link to https://scamnetic.com/blog/account-takeover-fraud-evolution/
[JB2]link to https://scamnetic.com/blog/the-rise-of-digital-imposter-scams/
[JB3]link to https://scamnetic.com/blog/the-scammers-toolbox-on-charity-scams/
[JB4]link to https://scamnetic.com/payment-protection/
[JB5]link to https://scamnetic.com/knowscam/
[JB6]link CTA to https://scamnetic.com/payment-protection/
