Prévention de fraude dans le trafic des paiements en Suisse  

Les tentatives de fraude sont de plus en plus sophistiquées. Quelles évolutions observe-t-on à l’heure actuelle?

Outre l’hameçonnage, la fraude compte depuis des années parmi les cyberincidents les plus souvent signalés à l’Office fédéral de la cybersécurité (OFCS). Il peut s’agir par exemple de faux appels téléphoniques émanant soi-disant d’autorités, d’arnaques à la commission, notamment par le biais d’offres d’investissement fictives ou de factures falsifiées, de faux jeux-concours servant d’appâts pour obtenir des données personnelles ou des paiements, ou encore d’escroqueries à la petite annonce avec offres de vente fictives ou processus de paiement manipulés.

Pourquoi cette multiplication des tentatives de fraude? 

Il y a diverses explications. L’une d’entre elles réside indéniablement dans les possibilités techniques actuelles. On dispose aujourd’hui d’outils basés sur l’intelligence artificielle (IA) à la fois faciles d’accès et peu coûteux, qui permettent même à des novices de générer des textes, des sons ou des images plus vrais que nature. Selon certaines études, en Europe, l’IA intervient dans plus de 40 % des tentatives de fraude détectées dans le secteur de la finance et du trafic des paiements. Les méthodes utilisées pour tromper les personnes et accéder à des données sensibles ou à de l’argent sont par exemple l’hypertrucage (deepfakes), la fraude à l’identité synthétique et la fraude par ingénierie sociale.

Une activité lucrative pour les fraudeuses et les fraudeurs? 

Oui, sans aucun doute. Des études récentes estiment à plus de USD 400 milliards les pertes mondiales subies par les consommatrices et les consommateurs en raison d’arnaques par courriel (scams). La Suisse n’est pas épargnée. La statistique policière de la criminalité pour 2024 fait état de plus de 42 000 cas de cyberfraude, soit 40 % de plus qu’en 2023.  

Quelle réaction de la part des banques suisses? 

Les banques suisses sont conscientes de la menace croissante que représente la fraude en ligne. Elles savent que l’augmentation des paiements frauduleux sape la confiance de la clientèle dans les moyens de paiement numériques, génère des coûts inutiles et accroît le risque de réputation. Elles prennent donc des dispositions pour informer et protéger au mieux leur clientèle. 

Outre les mesures techniques et organisationnelles, il peut s’agir de mesures de sensibilisation ciblées. Parmi ces mesures figurent en bonne place les campagnes de sensibilisation destinées à la clientèle comme au personnel et réalisées par les banques elles-mêmes ou dans le cadre d’initiatives indépendantes, par exemple eBanking - en toute sécurité! ou card security. L’objectif est d’informer sur les types de fraude courants et de donner des conseils concrets pour s’en protéger.  

Au niveau technique, les banques misent sur des systèmes de sécurité à plusieurs niveaux, très sophistiqués, qui détectent et bloquent les paiements suspects, ainsi que sur une authentification sécurisée à l’aide de procédures multifactorielles, de solutions biométriques ou, de plus en plus, d’une authentification contextuelle. Elles appliquent également des restrictions organisationnelles, par exemple l’exclusion des ordres de paiement par courriel ou des contrôles supplémentaires spécifiques lors des appels vidéo. 

Quel potentiel d’amélioration au sein de la branche? 

Au-delà des mesures prises par chaque établissement, l’étude préliminaire de l’ASB montre qu’une collaboration plus étroite dans certains domaines permet d’accroître l’efficacité et l’efficience des mesures existantes. Entrent dans le cadre de cette collaboration les campagnes coordonnées de sensibilisation, l’analyse interbanques des données de transaction, ou encore les partages structurés d’expertise sur différents moyens de paiement et différents secteurs. Il est très important d’impliquer d’autres acteurs, à savoir les entreprises de télécommunication, les plateformes de commerce en ligne et les réseaux sociaux, car ceux-ci sont également des maillons des chaînes frauduleuses. Enfin, il est déterminant d’intégrer les informations émanant des autorités de police cantonales dans le panorama de la situation, qui évolue en permanence.

Et où en est-on dans la mise en œuvre de ces recommandations? 

S’agissant des campagnes communes de sensibilisation, de nouvelles discussions ont eu lieu entre les acteurs concernés et les banques. L’année prochaine, nous nous attacherons à préciser encore les buts visés, les feuilles et route et la gouvernance. Je suis convaincu que nous réaliserons des progrès importants vers la concrétisation de notre ambition commune. 

S’agissant des mesures techniques, de nouveaux tests de faisabilité ont été effectués. Le service d’évaluation des risques qui est prévu vise à aider les établissements à identifier les transactions suspectes au niveau du réseau avec davantage de précision encore et, surtout, en temps réel. Dès le déclenchement du paiement, la banque émettrice pourra faire calculer un indicateur de risque sur la base des transactions déjà traitées dans le réseau et l’utiliser comme un signal supplémentaire intégré dans ses propres modèles d’évaluation. Le système apprendra en permanence pour être à même d’identifier les nouveaux types de fraude, mais aussi pour minimiser le nombre de fausses alarmes (false positives) et éviter ainsi que des paiements légitimes soient bloqués. Une de nos références à cet égard est une approche comparable d’EBA Clearing. 

Par ailleurs, l’ASB se mobilise pour intensifier le dialogue technique entre les expertes et experts en fraude dans différents domaines – notamment trafic des paiements, télécommunications, plateformes de commerce en ligne, réseaux sociaux – ainsi qu’avec les autorités compétentes. L’objectif est d’identifier en amont les scénarios de fraude nouveaux ou émergents et d’apporter une aide optimale à la branche au niveau de la prévention et de la prise de mesures communes. La fraude se construit tout au long d’une chaîne complexe, où de nombreux acteurs jouent un rôle déterminant. C’est la raison pour laquelle une étroite collaboration entre toutes les parties prenantes est indispensable – des mécanismes de protection contre le SIM swapping et le caller ID spoofing dans le domaine des télécoms à la lutte contre les faux profils et les campagnes de scam sur les réseaux sociaux, en passant par le blocage des comptes frauduleux sur les plateformes. Il faut une approche coordonnée pour que les mesures préventives soient à la fois efficaces et proportionnées. Nous nous concentrerons sur cet aspect l’année prochaine, dans le cadre d’un groupe de travail dédié.

Le rôle des banques en matière de prévention des fraudes: quel bilan? 

La criminalité financière est organisée aujourd’hui en réseaux professionnels transnationaux. A l’ère des services financiers numériques, renforcer les capacités technologiques ne suffit pas pour lutter efficacement contre la fraude. Il faut également de la confiance et une collaboration accrue entre les banques et les autres acteurs. Moyennant une telle collaboration, la place financière suisse a toutes les cartes en main pour mettre en œuvre des mesures efficaces de prévention des fraudes. 

C’est pourquoi l’ASB a fait de la prévention des fraudes une de ses priorités stratégiques et pérennisé son groupe de travail, afin d’intensifier le dialogue avec les banques et d’engager de nouvelles actions efficaces avec d’autres partenaires.