En forte croissance (+64% entre 2021 et 2022), la fraude au virement met les banques au défi. Les traditionnels dispositifs de sécurité touchent leurs limites face à l'appétit des cybercriminels, et les régulateurs poussent pour moderniser les pratiques. Quelles sont les nouvelles tactiques anti-fraude ? Et quelles sont les banques qui s'en emparent ? On fait le point.
C'est, parmi les moyens de paiement à votre disposition, l'un des plus sûrs. Mais c'est aussi celui qui enregistre la plus forte croissance de la fraude. En 5 ans, de 2018 à 2022, le montant total des sommes détournées a été multipliée par 3, pour atteindre 313 millions d'euros, selon l'Observatoire de la sécurité des moyens de paiement (OSMP) de la Banque de France. Pire, le nombre d'opérations frauduleuses a explosé : +64% entre 2021 et 2022. Les chiffres ne mentent pas : les cybercriminels, contrariés par la sécurisation croissante des paiements par carte bancaire, se reportent massivement sur la fraude au virement.
Virement, chèque, carte bancaire... Ces fraudes qui vous coûtent encore très cher
Comment opèrent-ils ? Selon l'OMSP, « près de 70% du préjudice financier résulte d'attaques ayant ciblé les virements initiés depuis les interfaces de banque en ligne, principalement utilisées par les particuliers et les petites entreprises ». En clair, le mode opératoire dominant est le suivant :
- les malfaiteurs parviennent à accéder à votre espace bancaire en ligne, souvent grâce à des données issues d'opérations d'hameçonnage (ou phishing).
- Ils ajoutent à votre liste de bénéficiaires de virement un compte bancaire dont ils ont la maîtrise, généralement ouvert en usurpant l'identité d'un tiers.
- Au besoin, pour contourner les dispositifs d'authentification forte, ils contactent directement leur victime, en se faisant passer pour un conseiller de la banque.
- Ils initient des virements vers le compte frauduleux. Pour brouiller les pistes, le butin passe, en quelques minutes, de compte en compte, pour finir souvent à l'étranger. Là où il devient quasi impossible de tracer et récupérer l'argent.
On le voit : monter une opération de fraude au virement n'a rien de simple. Pourtant, le jeu en vaut la chandelle : en 2022, le montant moyen d'une opération frauduleuse atteignait 4 000 euros. Ce type d'arnaques permet, non seulement, de vider les comptes courants, mais aussi les comptes épargne. Les économies d'une vie, pour certaines victimes.
Temporisation et plafonnement, des recettes classiques
Que font les banques pour arrêter l'hémorragie ? Traditionnellement, elles prévoient deux parades. La première consiste à plafonner le montant des sommes transférables par virement. Toutes les banques qui ont accepté de nous répondre y recourent de façon plus ou moins restrictive.
| Banque | Plafonnement des virements sortants |
|---|---|
| BNP Paribas | Oui (montants différents selon le profil des clients) |
| Crédit Agricole | Oui (montants différents selon les caisses et le profil des clients) |
| Crédit Mutuel de Bretagne | Oui |
| La Banque Postale | Oui |
| BoursoBank | Pas de plafond pour les virements classiques 2 000 euros par jour pour les virements instantanés |
| Fortuneo | 6 000 euros par virement (10 000 euros par semaine) 6 000 euros par jour en instantané 5 virements par jour (20 virements par mois) |
| N26 | 2 000 euros par virement 5 virements par jour |
| Revolut | 100 000 euros par virement |
L'autre parade consiste à imposer, au moment de l'ajout d'un nouveau bénéficiaire, un délai de temporisation avant le premier virement. Cette solution est utilisée par BNP Paribas (24h), le Crédit Agricole (durée variable selon les caisses), par le Crédit Mutuel Arkéa (seulement sur le site web) et par La Banque Postale. BoursoBank y recourt aussi, mais uniquement lorsque l'ajout se fait via une « connexion non reconnue ». Les autres se contentent d'un recours à une authentification forte, soit au moment d'accéder à l'application (pour les banques 100% mobiles N26 et Revolut), soit au moment de l'ajout du bénéficiaire.
Ces deux solutions, toutefois, ont en commun d'être, pour les clients, des irritants, qui les limitent dans l'usage qu'ils peuvent faire du virement comme moyen de paiement. Et, les statistiques le montrent, elles touchent également leurs limites face aux nouvelles stratégies des fraudeurs.
Des opérations sous surveillance
La plupart des banques qui ont accepté de communiquer sur le sujet nous l'ont confirmé : la sécurisation des virements passe également par des dispositifs de surveillance automatisés permettant, de façon prédictive, de repérer d'éventuelles opérations à risque. C'est le cas de BNP Paribas, du Crédit Mutuel Arkéa, de la Banque Postale ou encore de BoursoBank. Sur quels critères ? Pour éviter de faciliter la vie aux fraudeurs, nos interlocuteurs n'ont pas souhaité les dévoiler. Mais on peut imaginer qu'y figurent le montant du virement, l'heure à laquelle il est initié, la nature du compte bénéficiaire, les habitudes de payeur...
L'accent mis sur la prévention...
La dégradation des chiffres de la fraude au virement est suffisamment préoccupante pour justifier une intervention des régulateurs. En mai dernier, l'OSMP, qui dépend de la Banque de France, a publié une série de 13 recommandations destinées à cadrer les politiques des banques, et plus généralement des prestataires de services de paiement. Plusieurs d'entre elles les encouragent à améliorer les informations présentées au moment de l'authentification forte utilisée pour valider une opération sensible : en plus de la nature de l'opération et de son montant, le nom de son bénéficiaire ou son caractère irrévocable.
Un effort de prévention que plusieurs banques ont commencé à mettre en place. BoursoBank est une des plus zélées dans le domaine. Pour lutter contre certaines techniques de manipulation, la banque en ligne demande, par exemple, à l'usager de préciser s'il est au téléphone avec un collaborateur lorsqu'il ajoute un bénéficiaire de virement. Au risque parfois d'agacer... Dans un récent fil posté sur le forum de MoneyVox, un usager de BoursoBank se plaignait ainsi de devoir en passer par 6 étapes pour pouvoir effectuer un virement vers un nouveau bénéficiaire !
... pas encore sur la vérification
BoursoBank est aussi une des premières à être en conformité avec une autre recommandation de l'OSMP : celle qui consiste à prévenir l'usager en l'absence de contrôle de la concordance entre l'IBAN enregistré et le nom du bénéficiaire. Lors de l'ajout d'un nouveau bénéficiaire, la banque en ligne affiche ainsi le message suivant : « Il s'agit d'un client d'une autre banque, nous ne sommes pas en mesure de vérifier son existence réelle. »
Pourquoi cette recommandation de l'OSMP ? Il s'agit, là encore, de mettre en garde l'usager : le fait de fournir, en même temps que son IBAN, le nom du bénéficiaire, ne signifie pas que leur concordance sera contrôlée. Dans les faits, ce n'est d'ailleurs jamais le cas : aucune des banques que nous avons interrogées ne le fait.
C'est pourtant possible. Une solution, baptisée Diamond, a été développée à cet effet par la société SEPAmail, la même qui a mis en place la solution permettant d'automatiser le transfert des opérations récurrentes lors d'un changement de banque, dans le cadre de la signature d'un mandat de mobilité. Mieux, cette application, déployée en 2018, a été adoptée par les 6 principaux groupes bancaires français : BNP Paribas, BPCE (Banque Populaire et Caisse d'Epargne), Crédit Agricole, Crédit Mutuel, CIC, La Banque Postale et Société Générale. Mais aucune ne l'active pour sécuriser les virements de leurs clients particuliers. Son usage, souvent payant, est limité aux entreprises, qui l'utilisent pour s'assurer de la validité des coordonnées bancaires de leurs clients.
Obligatoire d'ici 2026
Les banques, cependant, vont devoir s'y mettre. Pour une raison simple : cet « IBAN check » va bientôt devenir obligatoire. La mesure figure dans un texte adopté récemment, extension du règlement encadrant l'espace unique européen de paiement en euros (SEPA). Son objectif : promouvoir le remplacement du virement classique, effectif en 24 à 48 heures, par le virement instantané, réalisé en moins de 10 secondes. Ce dernier, lancé en 2017, tarde à s'imposer : il ne représentait fin 2022 que 11% du volume des virements en Europe. Insuffisant pour les institutions européennes, qui placent de grands espoirs dans ce nouveau moyen de paiement. Celui, notamment, d'en faire le fer de lance de sa souveraineté dans le domaine, face à la mainmise des réseaux états-uniens Visa et Mastercard.
Paiements : c'est quoi, cet EPI qui va remplacer Paylib et veut rivaliser avec la carte bancaire ?
Ce retard à l'allumage s'explique : pour amortir le coût de développement de ce nouveau moyen de paiement, la plupart des banques ont choisi de le faire payer, autour d'un euro pièce en moyenne en France. Logiquement, pour accélérer la transition, l'UE va imposer, d'ici 2026, la gratuité du virement instantané. Mais la généralisation des paiements en temps réel a un revers : celui de nuire, faute de temps, à la qualité des contrôles anti-fraude effectués par les banques et les prestataires de paiement. D'où le choix d'exiger l'IBAN Check comme parade supplémentaire.
En Europe et en France, le chantier a déjà commencé. Le Crédit Mutuel Arkéa nous a confirmé qu'il travaillait « sur l'initiative de place bancaire permettant de vérifier si un IBAN est frauduleux ». La Banque Postale, de son côté, annonce le lancement, en 2024, de son projet d'IBAN Check. Bonne nouvelle pour elles : selon nos informations, SEPAmail Diamond, la solution interbancaire française qu'elles exploitent déjà, pourrait bien servir de modèle pour la future solution déployée à l'échelle européenne.
