Au delà de l’annonce du montant global de la fraude aux moyens de paiements – qui dépasse 1,2milliard d’euros pour l’année 2021-, le rapport de l’OSMP* nous éclaire cette année sur les 3 principaux foyers de fraude dans les paiements scripturaux :
- Le chèque qui continue d’afficher des niveaux de fraude préoccupants. Peu digital et difficile à sécuriser, il constitue une porte d’entrée pour initier des schémas de fraude permettant ensuite à de l’exfiltration de fonds via la carte ou le virement..
- La carte, représente 33,9 % du montant total de la fraude mais 90,5% des fraudes unitaires subies par les particuliers. Ce secteur a fait l’objet d’une grande transformation que nous vous proposons de développer.
- Le virement : le réel challenge actuel. L’instant Payment et les virements traditionnels supportent beaucoup de cas d’usage innovants, et les niveaux de sécurisation ne sont pas encore à l’état de l’art. De nombreux efforts restent encore à fournir par tous les acteurs pour disposer d’un cadre sécuritaire ou pourront pleinement s’exprimer les innovations.
Retour sur le chantier de la DSP2 sur l’écosystème de la carte.
Des Investissements importants consentis sur plusieurs années
L’industrie du paiement et les banques en particuliers ont massivement investi dans les infrastructures d’échange de données de paiements. Pour schématiser, le challenge pour passer en mode DSP2 était d’être capable de traiter 3 fois plus de transactions en volume avec des messages d’authentification 2 fois plus complexes. Le tout dans un marché de l’e-commerce en forte croissance, et en y ajoutant des scoring** de risque. Un sacré défi !
Ces nouvelles infrastructures de paiements permettent désormais de mieux sécuriser les transactions et d’adapter les parcours à chacune des situations de paiement. Par exemple, il fallait prévoir les cas où le paiement est désynchronisé de l’acte d’achat, comme lors d’une réservation de voyage, où en réalité, le panier est partagé entre un hôtelier, une compagnie aérienne et un loueur de voiture. Ces évolutions permettent de véhiculer beaucoup plus d’informations qui supportent désormais tous ces cas d’usage. Ensuite, il fallait pouvoir apposer à ces messages un niveau de risque. La maturité des approches Data ont permis également de déployer des solutions performantes.
Cet ensemble de chantiers a été mené avec de nombreux acteurs : les commerçants, les prestataires techniques, les réseaux de paiement, le tout orchestré par le régulateur via les groupes de travail de l’OSMP.
Plus de 90 % des clients du Groupe BPCE s’authentifient désormais avec Secur’Pass
En parallèle, les banques ont dû intégrer un second facteur à toutes leurs authentifications. Pendant 10 ans, l’authentification via SMS suffisait à valider un paiement. En moins de 3 ans, l’ensemble des paiements est passé à la double authentification en accompagnant tous les clients et chacun de leurs besoins. Aujourd’hui, pour le Groupe BPCE, ce sont plus de 9M de clients qui ont adopté cette méthode d’authentification, à la fois conforme aux exigences de la Directive, mais aussi plus robuste et bien plus intégrée dans les services digitaux que nous proposons via notre application mobile bancaire. Nous pouvons nous satisfaire d’avoir su transformer cette contrainte réglementaire en un booster pour améliorer les services de paiement. Il suffit de constater les excellentes évaluations que nous avons sur les stores pour nous rendre compte de l’effet positif qu’a entrainé cette accélération.
Des taux de fraude objectifs comme règle du jeu commune à l’ensemble des acteurs du paiement
Enfin, il fallait absolument revenir à des niveaux de fraude plus raisonnables. En outre, les textes de la DSP2 introduisent dans les déclaratifs réglementaires des taux de fraude clairs et partagés par tous. Les 2 chantiers précités – les infrastructures et la méthode d’authentification – étant derrière nous, nous pouvions commencer à mieux travailler la Data et construire des scoring qui nous permettent une meilleure maitrise de la fraude sur le périmètre DSP2, en utilisant le parcours frictionless**** à bon escient. Grâce aux seuils proposés par les textes (0,13% pour une exemption à 100€/ 0,06% pour 250€), nous avons pu ouvrir un dialogue objectif avec les commerçants et définir une ambition commune en matière de lutte contre la fraude. Aujourd’hui, en Europe, tous les acteurs sont entrés dans ce cercle vertueux de la lutte contre la fraude tout en offrant des parcours clients simplifiés. Les chiffres de l’OSMP témoignent de cet effort collectif et les premiers éléments recueillis sur S1 / 2022 confirment cette tendance.
Les nouveaux chantiers à venir
L’International à surveiller
En zoomant en détail dans les statistiques du rapport, la figure G14 nous présente une sécurisation à 2 vitesses. Tout d’abord l’Europe et la France qui présentent des tendances à la baisse, et ensuite le Grand international, qui lui subit toujours des taux de fraude bien supérieurs. A la sortie de la crise sanitaire et avec la reprise économique, ces secteurs doivent faire l’objet d’une surveillance particulière, et amener progressivement les autres continents vers des parcours plus sécurisés, s’inspirant du bilan positif de la DSP2.
Maintenir un niveau de performance sur le sans contact et le paiement mobile
Pour compléter le panorama sur la carte, nous pouvons aussi évoquer 2 confirmations apportées par le rapport :
- Le sans contact, qui représente 57% des volumes*(G12), se maintient à des taux de fraude très proches de ceux d’une transaction authentifiée par le code et la puce (0,013 % vs 0,011 % pour 57 % des volumes cartes).
- Le paiement mobile, dont l’essor s’effectue sereinement puisque la croissance des volumes s’accompagne d’une intéressante diminution de la fraude en taux (de 0,102 % de fraude en 2020 à 0,074 % en 2021 pour +75 % de transactions sur la même période).
Sécuriser en profondeur les virements
Nous assistons à des attaques de plus en plus sophistiquées de la part des fraudeurs en termes d’ingénierie sociale : phishing, appels de faux conseillers, appels de techniciens d’opérateurs mobiles, fraude à la carte vitale. Tous ces scénarii ont pour objectif de contourner la sécurité des systèmes en mettant la pression sur la vulnérabilité des clients. Les virements sont la cible de ces attaques car la digitalisation permet l’instantanéité dans l’exécution de ces paiements. Le virement instantané est par nature irrévocable et les fraudeurs l’ont bien compris. Les mêmes chantiers qui ont permis de sécuriser les transactions cartes sont désormais nécessaires pour accompagner le développement de ce moyen de paiement universel et prêt à supporter les initiatives de demain dans un écosystème partagé avec les commerçants, les acteurs du paiement et les pouvoirs publiques.
* OSMP : Observatoire de la sécurité des moyens de paiement
** DSP2 : La deuxième Directive Européenne sur les Services de Paiement
*** Scoring : évaluation des risques-clients
**** Frictionless : transaction sans authentification forte