Les groupes de protection des consommateurs font pression depuis longtemps en ce sens, et les responsables politiques sont de plus en plus ouverts à cette idée.
Je veux parler de la nouvelle selon laquelle le Royaume-Uni introduira immédiatement ce mois-ci de nouvelles règles strictes pour protéger – et, surtout, pour indemniser – les victimes de ce que l’on appelle la fraude APP.
APP, qui signifie “authorised push payment”, décrit toute escroquerie dans laquelle la victime est trompée et doit volontairement verser de l’argent à un escroc. Ce terme générique peut couvrir de nombreux types de tromperie : faux biens comme des billets de concert qui sont payés mais jamais reçus ; fraude à la romance où la cible prête de l’argent pour couvrir une crise vécue par son nouvel amour supposé ; fraude à l’investissement où des actions sans valeur sont payées d’avance ; fraude familiale où un escroc se fait passer pour un parent en difficulté ayant un besoin urgent d’argent ; fraude par usurpation d’identité où un appel semble provenir de votre banque et vous avertit de transférer de l’argent pour le protéger, mais où l’argent va à l’escroc – et bien d’autres variantes.
Toutes ces pratiques ont en commun le fait qu’au lieu de prendre l’argent, la victime est trompée au point de le donner volontairement – d’autoriser le paiement de l’avance. Toutes ces pratiques seront couvertes par le nouveau système.
La fraude par APP est devenue un problème de plus en plus important pour les entreprises, pour leurs régulateurs et, en fin de compte, pour les gouvernements. En effet, le coût de ces escroqueries ne cesse d’augmenter et le nombre de personnes touchées, souvent au point d’en perdre la vie, ne cesse de croître.
Les derniers chiffres disponibles en Grande-Bretagne, provenant de UK Finance, montrent que le nombre de cas a augmenté de 12 % d’une année sur l’autre, portant le nombre de victimes à 232 429 en 2023, leurs pertes s’élevant à 459,7 millions de livres sterling.
Ces chiffres énormes rendent le problème de plus en plus difficile à ignorer.
De nombreuses personnes connaissent personnellement une victime – et les médias rapportent chaque semaine de nouveaux cas, souvent très médiatisés.
La semaine dernière, Moira Stuart, présentatrice chevronnée de journaux télévisés, a révélé publiquement qu’elle avait failli être victime d’une escroquerie à l’usurpation d’identité. Elle n’y a mis fin que lorsqu’elle est heureusement entrée dans une agence de sa banque alors qu’elle était au téléphone avec un escroc qui prétendait l’appeler de cette agence.
Heureusement, cela a permis aux vrais employés de la banque de détecter les faux et elle a été sauvée, mais elle s’est sentie gênée d’avoir été si près d’être victime et a voulu avertir les autres. Des cas comme celui-ci – et il y en a eu beaucoup – ont permis de mettre la question à l’ordre du jour.
À partir de la semaine prochaine, le 7 octobre, les banques britanniques devront rembourser aux victimes de fraude jusqu’à 85 000 livres sterling de leurs pertes éventuelles. Et elles doivent le faire très rapidement, dans les cinq jours suivant la présentation d’une demande d’indemnisation crédible.
En toute justice pour les banques, il ne s’agit en réalité que de rendre obligatoire ce que nombre d’entre elles ont déjà fait volontairement. Mais les nouvelles règles, annoncées et mises en œuvre par le régulateur des systèmes de paiement (PSR), représentent néanmoins une formalisation de la position selon laquelle il incombe aux banques elles-mêmes d’éradiquer ces escroqueries plutôt qu’aux clients individuels.
Il couvrira certainement la plupart des gens : sur les plus de 200 000 cas enregistrés l’année dernière, 411 seulement ont donné lieu à des pertes supérieures au plafond d’indemnisation prévu par le régime, soit 85 000 livres sterling, ce qui représente moins de 0,25 % des victimes annuelles. La plupart des victimes seront donc entièrement couvertes. Il existe cependant quelques exceptions. Toute personne ayant elle-même commis une fraude ne sera pas éligible. Il appartiendra à l’autorité de régulation de déterminer les modalités d’application et les personnes concernées.
Il est intéressant de noter que l’annonce contient également une note de bas de page : une fois que la banque ou la société de paiement a remboursé un client victime, elle peut elle-même réclamer 50 % de ses pertes à l’institution financière que le fraudeur a utilisée pour recevoir l’argent volé.
De toute évidence, l’objectif est d’inciter toutes les institutions financières à faire en sorte qu’il soit plus difficile pour les fraudeurs de recevoir de l’argent par voie électronique et de disparaître ensuite, comme ils sont nombreux à le faire aujourd’hui. Mais elle ouvre également la voie à d’intéressantes batailles futures entre les organisations financières sur la question de la responsabilité et de la délimitation de celle-ci.
Et, plus généralement, elle devrait encourager chacun à examiner plus attentivement que jamais qui utilise ses comptes et dans quel but.
Cette décision est, dans un certain sens, un pari de l’autorité de régulation. Le PSR espère manifestement qu’en réponse aux nouvelles règles, les banques continueront à essayer de sensibiliser leurs clients au risque d’APP et ajouteront des mesures supplémentaires pour essayer de l’attraper avant qu’il ne se produise. Par exemple, il est désormais courant que les applications bancaires posent des questions telles que “Faites-vous confiance à cette personne ?” lors d’un transfert d’argent. De plus, de nombreuses banques demandent même à leurs clients de s’entretenir personnellement avec leur équipe de lutte contre la fraude avant d’autoriser des virements plus importants.
Le danger est qu’une fois que les clients réalisent qu’ils sont couverts contre les escroqueries, ils deviennent moins vigilants, et non plus. Ainsi, s’ils voient des billets d’Oasis en vente en ligne et qu’ils ne sont pas sûrs qu’il s’agisse d’une vraie ou d’une escroquerie, ils pourraient prendre un pari en sachant qu’ils obtiendront soit les billets qu’ils recherchent désespérément, soit un remboursement obligatoire de leur banque cinq jours plus tard. Elles ne voudront pas voir des clients blasés jouer avec leur argent.
Toutefois, il est important de noter que les banques ne sont pas les seules entités impliquées dans la chaîne de responsabilité. Les sites web qui hébergent des publicités frauduleuses, les fournisseurs d’accès à Internet et les services d’hébergement qui donnent accès aux plateformes, et même les applications de rencontres qui ne vérifient pas les utilisateurs, manquent cruellement d’obligation de rendre des comptes. À l’heure actuelle, la responsabilité de la protection des clients incombe presque entièrement aux banques, tandis que les autres étapes du processus sont souvent négligées. Cette lacune dans la surveillance permet aux escrocs de prospérer, et pour resserrer les mailles du filet, il faudra s’attaquer à ces vulnérabilités en dehors du secteur bancaire.
Mais si la fraude augmente au lieu de diminuer, que se passera-t-il ensuite ? Cela pourrait enfin être le signal pour les banques d’utiliser des contrôles de reconnaissance des numéros dans les transactions des clients. S’il est facile pour un fraudeur d’usurper un numéro pour faire croire qu’il appelle, par exemple, d’une banque internationale, la technologie de reconnaissance des numéros n’est pas aussi facile à tromper – en fait, il est pratiquement impossible de tromper ces systèmes lorsqu’ils sont basés sur des données historiques et des renseignements sur les télécommunications en temps réel.
Les banques doivent impérativement améliorer la vérification de l’identité de leurs clients “à profil bas”. Les contrôles d’identité des numéros de téléphone mobile peuvent aider à vérifier non seulement le numéro, mais aussi l’identité derrière le numéro, et l’appareil en cours de session tout au long du cycle de vie du client. L’intégrité mobile est essentielle au début du cycle de vie, mais aussi lors des transactions à haut risque.
Par exemple, la vérification devrait commencer lors de l’intégration afin de réduire la probabilité que les fraudeurs obtiennent un compte bancaire en premier lieu, les contrôles KYC standard, combinés avec des contrôles plus avancés, tels que les contrôles de présence en ligne pour les clients “à profil fin”. Lorsqu’elles envoient de l’argent, les banques doivent authentifier la transaction en vérifiant que le numéro de téléphone mobile n’a pas été recyclé, que le portage ou le transfert d’appel n’est pas activé et qu’il n’y a pas d’activité de changement de carte SIM.
Au-delà de la simple vérification de l’identité, les banques devraient tirer parti de la connaissance de la situation. Si les informations comportementales peuvent aider à détecter des schémas frauduleux, les informations situationnelles liées à l’appareil mobile lui-même peuvent fournir une protection supplémentaire. La vérification en temps réel du comportement du mobile – par exemple si un appareil est engagé dans une activité inhabituelle lors d’une tentative de transaction – peut aider à stopper la fraude dans son élan.
Jusqu’à présent, seules les grandes banques utilisaient régulièrement les données pour prévenir la fraude par APP à ce niveau de sophistication. Le nouveau plafond de remboursement obligatoire offre aux petites banques une occasion importante de suivre le mouvement. Compte tenu du coût croissant de la fraude, investir dans de telles mesures préventives pourrait être une décision financière judicieuse pour les institutions de toutes tailles, d’autant plus que les règles du PSR placent le fardeau de la protection directement sur les banques.
Le partage des données est un autre élément clé dans la lutte contre la fraude par APP. Les banques peuvent détecter les fraudes potentielles en déterminant si le compte destinataire est personnel ou professionnel, si le numéro de téléphone mobile lié au compte a déjà été signalé et s’il a un historique d’activités suspectes. Lorsque des signaux de risque s’accumulent – tels que le comportement du compte, des montants de transaction inhabituels et des informations sur l’appareil mobile – la transaction doit être signalée pour faire l’objet d’une enquête plus approfondie. En partageant ces données entre institutions, les banques peuvent collaborer plus efficacement pour stopper les transactions frauduleuses.
Le Royaume-Uni semble avoir une longueur d’avance sur cette question. De nombreux autres gouvernements et régulateurs dans le monde observeront ce qui se passera au Royaume-Uni. Cette mesure mettra-t-elle un terme à la croissance de la fraude par APP ou ne protégera-t-elle les clients qu’aux dépens des banques – et au détriment de l’économie britannique dans son ensemble ? Il y a beaucoup à jouer. Surveillez cet espace.
Last updated on février 18, 2025
TMT permet à votre entreprise de vérifier d'importants indicateurs de fraude sans détruire l'expérience de vos clients, en prévenant la fraude et en éliminant l'anxiété, la frustration et la perte de temps pour toutes les personnes impliquées. Prenez contact avec nous pour réduire la fraude APP.
Contactez nousNous fournissons les données les plus complètes sur les appareils, les réseaux et la numérotation mobile.
Contactez nous > Discutez avec un expert >