Imaginez ce scénario : vous êtes en voyage d’affaires à l’étranger. C’est le temps des Fêtes et vous avez hâte de bientôt rentrer à la maison pour passer du temps avec vos amis et votre famille. Vos parents âgés, qui ne vous ont pas vus depuis longtemps, sont particulièrement enthousiastes, et votre mère planifie tous vos repas et desserts préférés. Puis, un soir, le téléphone sonne chez vos parents. La personne au bout de la ligne dit que vous êtes détenu·e et que la seule façon de vous libérer est que vos parents transfèrent 10 000 $ vers un compte à l’étranger. Perplexes et ébranlés, ils obéissent. Après votre arrivée à la maison, en toute sécurité, vos parents apprennent qu’il s’agissait d’une arnaque. Ils appellent la banque pour signaler la fraude, mais malheureusement, l’argent a déjà disparu.
Voici un scénario plus répandu et plus coûteux : vous travaillez au service des comptes fournisseurs d’une grande société. Dans le cours normal des activités, un fournisseur envoie une facture par courriel qui indique qu’il a également mis à jour ses renseignements bancaires et vous demande d’envoyer un paiement en vous servant des nouveaux renseignements. Rien d’autre dans ces échanges de routine ne semble avoir changé, donc vous faites ce que l’on vous demande. Peu de temps après, vous vous rendez compte qu’une attaque d’hameçonnage a réussi à infiltrer le fournisseur et que vous venez de « payer » un fraudeur.
Ce genre de choses arrivent tout le temps, mais la bonne nouvelle, c’est qu’elles peuvent être évitées. Le secteur bancaire utilise déjà plusieurs méthodes pour détecter les comportements anormaux sur les comptes de ses clients. Toutefois, les tactiques des auteurs de menaces sont de plus en plus sophistiquées, grâce à la pandémie en particulier, ce qui fait que les banques doivent répondre aux attentes des consommateurs et des organismes de réglementation afin de détecter et de traiter les paiements frauduleux comme ceux que je viens de décrire.
Le chemin le plus parcouru
Au fil des ans, les techniques d’analyses de données avancées liées aux crimes financiers ont progressé. Les règles et les modèles se sont axés sur la détection des comportements qui ne ressemblent pas au client, y compris les connexions depuis des emplacements ou des appareils inhabituels. Le comportement de connexion, les habitudes d’utilisation typiques du téléphone, et même les habitudes et techniques de saisie du client sont des solutions qui aident à déterminer s’il se connecte légitimement à son compte bancaire en ligne.
Toutefois, les clients continuent d’être victimes d’arnaques sentimentales, de compromissions des courriels d’affaires, d’escroqueries d’investissement, d’escroqueries liées aux cryptomonnaies, et la liste s’allonge. Les banques ont vraiment besoin d’améliorer leur analyse du comportement des clients pour pouvoir se concentrer sur d’autres activités liées aux clients, comme les paiements. Voici un exemple concret : ces parents, dans le premier scénario, avaient-ils déjà viré de l’argent vers un compte à l’étranger auparavant? Supposons que la réponse est non. Il est devenu de plus en plus manifeste que les banques devraient accorder une attention accrue à ce genre de choses, car cela ferait une énorme différence dans la protection de leurs clients et de leur argent, et des banques elles-mêmes.
Le fait est que les acteurs de menaces s’adaptent constamment aux nouveaux outils et aux nouvelles stratégies et technologies que les banques mettent en œuvre pour protéger leurs clients et leurs transactions. Avec le lancement des services bancaires numériques, les auteurs de menaces vont désormais plus loin que les simples prises de contrôle de compte en ligne à partir de leurs propres appareils et adresses IP. Maintenant, ils masquent habituellement les activités de connexion pour se faire passer pour des clients, infiltrent des appareils par maliciel ou utilisent le numéro de téléphone du client afin de contourner l’authentification multifacteur. L’hameçonnage demeure également courant : les clients reçoivent des liens suspects par l’intermédiaire desquels les auteurs de menaces obtiennent des informations confidentielles pour pouvoir accéder à des services bancaires en ligne ou installer des maliciels sur l’ordinateur d’un client.
J’espère avoir été claire dans mes deux scénarios d’introduction : les clients sont parfois forcés d’envoyer volontairement des paiements pour ce qu’ils croient être des raisons légitimes, seulement pour apprendre qu’ils ont été victimes d’une arnaque. Dans bien des cas, les auteurs de menaces prétendent être représentants d’une banque et réussissent à convaincre les clients de leur donner leur mot de passe à usage unique.
Changement de paradigme
On s’attend de plus en plus à ce que les banques détectent les paiements frauduleux lorsqu’ils semblent constituer un comportement anormal pour le client, même si un client a volontairement amorcé et autorisé le paiement. Au Royaume-Uni, le système judiciaire a établi la règle du « Quincecare duty », qui oblige les banques à protéger leurs clients d’eux-mêmes si les volontés ou instructions de ces derniers sont susceptibles de faciliter une fraude. L’application de la règle du « Quincecare duty » transfère cette responsabilité aux banques. Cela signifie que les banques font face à de plus grandes attentes en ce qui a trait à leur rôle d’empêcher leurs clients d’effectuer des paiements frauduleux, même lorsque le client est victime d’une escroquerie.
Je crois que les banques doivent adapter leurs approches actuelles en prenant deux mesures : 1) fournir de la formation et des ressources aux clients, et 2) utiliser l’analyse des comportements pour mieux gérer les relations. En ce qui concerne la première mesure, les banques doivent continuer d’éduquer les clients en les mettant au courant des diverses escroqueries qui existent et en leur montrant comment se protéger. Quant à la deuxième, bien que les banques aient à juste titre mis l’accent sur les principes de connaissance des clients dans le cadre de leur régime de réglementation, cette orientation doit changer : la nouvelle norme devrait être la connaissance de l’entreprise de votre client. Pour ce faire, des méthodes d’analytique avancée doivent être utilisées pour évaluer les comportements transactionnels du client.
La rigueur en matière de connaissance du client adoptée au moment de l’intégration doit être maintenue tout au long du cycle de vie du client, mais les institutions doivent également continuer d’en apprendre davantage sur leurs clients et leurs affaires. Pour ce faire, elles peuvent surveiller les habitudes de dépenses et les comportements de paiement des clients afin de déterminer si un paiement est anormal ou non. Les organismes de réglementation et vos clients commerciaux vous remercieront, mais ce seront sans doute vos parents âgés qui vous en seront les plus reconnaissants.
Publication multilingue
Cette publication est aussi offerte dans les langues suivantes :
Tenez-vous au courant de sujets qui vous intéressent.
Inscrivez-vous aujourd’hui pour avoir accès à du contenu personnalisé en fonction de vos intérêts.