Paiements instantanés et irrévocables exigent une relance de la prévention de la fraude

Lorsqu’un acheteur est trompé en effectuant un achat frauduleux, il s’attend à une réparation de la part de son fournisseur de services financiers. Ces garde-fous sont l’une des raisons pour lesquelles les cartes de crédit sont devenues prédominantes aux États-Unis — non seulement les consommateurs peuvent contester les charges après coup, mais de nombreux émetteurs alertent également proactivement les utilisateurs lorsqu’une activité suspecte se produit.

Des protections similaires existent pour les paiements ACH, mais elles dépendent en grande partie du délai entre l’initiation du paiement et le règlement. Avec les paiements en temps réel, tels que ceux facilités par FedNow et le réseau RTP, cette marge disparaît.

Alors que ces deux systèmes gagnent du terrain, notamment dans les cas d’utilisation B2B, les stratégies de prévention de la fraude doivent évoluer pour faire face à des paiements instantanés et irréversibles.

Dans un récent podcast de PaymentsJournal, Darren Beyer, Directeur Produit chez Qolo, et Suzanne Sando, Analyste principale en gestion de la fraude chez Javelin Strategy & Research, ont discuté de la façon dont la convergence des paiements plus rapides et de la fraude de plus en plus sophistiquée stimule une refonte complète de l’architecture de prévention de la fraude. Cela a également mis une pression exigeante sur les institutions financières pour mettre en œuvre des contrôles de risque très précis tout en préservant l’expérience client.

La fenêtre se ferme

Alors que les paiements plus rapides érodent le filet de sécurité traditionnel autour des transactions, les institutions doivent déplacer la détection de la fraude vers des étapes plus précoces du processus de paiement. Par le passé, les organisations bénéficiaient de périodes d’examen prolongées, durant lesquelles les fonds pouvaient être annulés si nécessaire. Cette capacité devient rapidement une chose du passé.

« Dans le monde des paiements instantanés, notamment autour de RTP et FedNow, vous avez un mouvement et un règlement instantanés de l’argent. Et c’est là que réside le problème, car il n’y a plus de temps pour revenir en arrière », a déclaré Beyer. « Il n’y a pas de fenêtre où vous pouvez dire : ‘Je n’avais vraiment pas l’intention de l’envoyer’ ou ‘J’ai mal tapé ce numéro de compte spécifique.’ »

« Avec cela disparu, il devient moins facile pour les personnes envoyant des paiements de corriger les problèmes, et cela ouvre la porte aux fraudeurs », a-t-il ajouté.

Dans cet environnement, trouver le bon équilibre entre une prévention forte de la fraude et une expérience client fluide est difficile, surtout compte tenu des attentes élevées façonnées par les transactions par carte et ACH.

Ces défis accélèrent la nécessité de décisions en temps réel, où les entreprises analysent plusieurs points de données pour évaluer le risque de paiement avant de le traiter. Cependant, atteindre une grande précision dans la décision nécessitera probablement d’introduire un certain niveau de friction. Bien que cela puisse sembler nouveau dans le contexte des paiements en temps réel, des méthodes comme l’authentification multifactorielle sont déjà familières tant pour les banques que pour les clients.

« Chaque fois que je me connecte à YouTube, je reçois un code à usage unique à six chiffres », a déclaré Beyer. « Si je dois faire cela pour YouTube, pourquoi mon institution financière ne me demande-t-elle pas de faire la même chose ? Elle le fait quand je me connecte, mais si je fais un gros paiement, cela devrait-il aussi se produire ? La ‘friction’ d’obtenir un code à usage unique vaut-elle les deux ou trois secondes supplémentaires nécessaires pour le saisir sur le site ? Je pense que oui. »

Le défi consiste à appliquer la bonne quantité de friction dans un modèle de paiement émergent. C’est là que l’authentification renforcée joue un rôle clé. Elle permet aux institutions d’ajuster les contrôles, permettant aux paiements à faible risque de se dérouler sans problème tout en soumettant les transactions à risque plus élevé à une surveillance accrue.

Même ainsi, introduire une quelconque friction dans le parcours client peut soulever des préoccupations pour les institutions financières.

« On a supposé que la sécurité renforcée ruinerait l’expérience client, mais Javelin a constaté qu’une bonne sécurité peut améliorer la confiance et l’adoption de certains canaux et méthodes de paiement, ainsi que des nouvelles technologies », a déclaré Sando. « Les consommateurs et les entreprises veulent savoir que leurs comptes et leur argent sont protégés et qu’ils peuvent faire confiance à l’institution et aux organisations avec lesquelles ils choisissent de faire affaire. »

L’écart technologique qui se creuse

Mettre en œuvre des protections qui restent invisibles aux utilisateurs légitimes tout en étant très efficaces contre les acteurs malveillants n’est pas une mince affaire, mais les outils pour optimiser cet équilibre s’améliorent rapidement.

L’intelligence artificielle a été essentielle pour faire progresser ces capacités, comme dans presque tous les secteurs. Cependant, de nombreuses institutions financières ont tardé à adopter ces technologies.

« C’est un scénario où l’industrie évolue si rapidement, mais les acteurs traditionnels — processeurs et banques opérant dans un cadre réglementaire et dans un environnement où l’on ne peut pas empêcher les gens d’accéder à leur argent — ont toutes ces contraintes », a déclaré Beyer. « Les fraudeurs, eux, ne les ont pas, et ils peuvent commencer à jouer avec tous ces nouveaux outils d’IA. »

« Il y a toujours eu un écart », a-t-il ajouté. « Les fraudeurs ont toujours été en avance sur les institutions financières et les processeurs, et la raison en est qu’ils sont plus agiles ; ils peuvent faire les choses plus rapidement. Si cet écart n’existait pas, il n’y aurait pas de fraude. »

Malheureusement, cet écart n’est pas seulement persistant, il s’élargit. Les avancées rapides dans l’IA générative et l’émergence d’agents IA ont permis aux cybercriminels d’accroître à la fois la vitesse et l’étendue de leurs attaques.

« Les acteurs malveillants peuvent adopter ces technologies rapidement, et ils sont incroyablement créatifs. Je ne veux pas leur faire des éloges, mais ils sont très inventifs dans la façon dont ils prennent des risques pour utiliser ces nouvelles technologies », a déclaré Sando. « Il est difficile pour les institutions financières de suivre le rythme en matière d’adoption de toute innovation. »

« Il n’est pas surprenant que l’IA pose un problème pour la manipulation criminelle », a-t-elle dit. « Mais nous savons aussi qu’elle constitue un atout majeur pour les services financiers, qu’ils pourraient exploiter pour automatiser certains aspects de l’expérience client. Ou même l’expérience des employés, pour des tâches qui, auparavant, nécessitaient une revue manuelle des transactions ou des opérations typiques lors d’enquêtes de fraude. »

Renforcer le système

L’IA est rapidement devenue centrale dans la défense moderne contre la fraude, grâce à sa capacité à détecter les anomalies dans d’énormes ensembles de données. Cependant, la montée des paiements en temps réel stimule la demande pour une infrastructure intelligente pouvant servir de couche d’authentification dans le flux de paiement.

Cela est particulièrement critique dans les environnements commerciaux, où des contrôles trop restrictifs peuvent entraîner des refus ou des retards injustifiés — des problèmes qui peuvent rapidement dégénérer en dommages opérationnels et réputationnels graves.

En fin de compte, les paiements plus rapides ne se contentent pas de pousser à une meilleure technologie, ils obligent les institutions financières à repenser toute leur approche de la prévention de la fraude.

« Les organisations qui réussissent dans les paiements instantanés seront celles capables de prendre des décisions de risque aussi rapidement que l’argent circule dans ce contexte en temps réel », a déclaré Sando. « La détection de la fraude n’est plus simplement une fonction de back-office qui se déroule en arrière-plan sans que l’on en ait une connaissance réelle. Il faut mettre en avant la détection de la fraude car c’est désormais une pièce essentielle de l’expérience de paiement. »

Ce changement de mentalité est essentiel. La menace de fraude ne disparaît pas, mais les institutions peuvent tirer parti d’une constante : la recherche de gains faciles conduit souvent les criminels sur le chemin de la moindre résistance.

« Les fraudeurs trouveront toujours un moyen, mais ils ne sont fondamentalement pas différents des autres acteurs économiques », a déclaré Beyer. « Ils ont un retour sur investissement, leur temps est précieux, et ils iront là où ils peuvent en tirer le meilleur parti. Si votre banque ou votre processeur est plus difficile à franchir que celui de votre voisin, ils iront chez votre voisin. »

« Faites de votre bastion, votre forteresse, votre porte de château — toute l’armure que vous allez mettre autour de votre système. Faites-la meilleure que celle de vos concurrents, et ils iront chez eux », a-t-il ajouté. « Vous n’aurez jamais un système totalement à l’épreuve de la fraude. Les fraudeurs seront toujours en avance, mais si vous vous améliorez par rapport aux autres, vous ne serez pas la cible, ce sont eux qui le seront. »