Avec la généralisation de l’authentification forte à deux facteurs qui sécurise efficacement les paiements par carte et la baisse constante de l’utilisation des chèques, les fraudeurs se rabattent désormais sur les fraudes de type ATO (Account Take Over) qui, par vol de données ou par ruse, visent à prendre le contrôle direct ou indirect d’un compte de paiement afin de procéder ou de faire procéder à des transferts frauduleux.

Outre l’usurpation d’IBAN, les exemples les plus connus de ces fraudes dites par manipulation sont les fraudes au faux conseiller ou l’arnaque au président.

À de rares exceptions près, les escrocs qui commettent ce type de fraude ne sont pas des génies de l’informatique qui parviennent à casser les systèmes de sécurité des banques. Si dans 28% des cas le fraudeur parvient à subtiliser les identifiants nécessaires pour se connecter à l’espace bancaire en ligne de sa victime, il y a deux fois plus de cas de fraude où les paiements sont signés de bonne foi par le mandataire autorisé.

Dans tous les cas, la fraude est possible grâce à la manipulation de la victime qui, par négligence ou naïveté, divulgue des informations nécessaires à la signature d’un ordre de paiement. Cette collaboration involontaire permet aux banques d’invoquer la négligence grave et par conséquence de refuser le remboursement du préjudice.

Cependant, de plus en plus de tribunaux invalident ce raisonnement et en France, comme ailleurs en Europe on voit la justice ordonner l’indemnisation des victimes au titre que c’est d’abord à la banque de démontrer qu’elle a effectivement mis en place toutes les mesure de prévention nécessaires. Aux yeux d’un juge, un virement d’un montant élevé vers un bénéficiaire inconnu, sans relation antérieure avec le client peut constituer une anomalie suffisante pour inciter la banque à prendre des mesures.

Cette évolution de la jurisprudence place les établissements bancaires dans un situation délicate.

Les clients exigent des paiements toujours plus fluides et rapides – on parle de paiements « sans coutures », voire automatisés ou invisibles – et ces attentes sont renforcées par des textes comme le règlement sur les paiements instantanés qui impose des transferts irrévocables, exécuté en moins de 10 secondes et sans autre limite que celle des fonds disponibles.

Dans le même temps, les clients tendent à se reposer entièrement sur leur banque et à exiger une protection infaillible. À défaut, ils n’hésitent plus à saisir les tribunaux pour obtenir un remboursement de leurs virements, même quand ceux-ci ont été dûment autorisés par eux même et destinés à payer l’hospitalisation d’un certain Brad Pitt.

On demande donc aux banques de réussir le tour de force qui consiste à mettre en place des mesures de prévention parfaitement efficaces mais totalement invisibles.

Parmi les mesures de prévention prises, on peut en citer 3 majeures :

• La vérification obligatoire des bénéficiaires, encore très récente en France, mais les retours d’expérience au Royaume-Uni et aux Pays-Bas démontrent qu’à défaut d’être parfait, le système permet une réduction importante des tentatives de fraudes.
• Le Fichier national des comptes signalés pour risque de fraude (FNC-RF), également connu sous l’acronyme anglais MISP (Malware Information Sharing Platform). Cette plateforme opérée par la Banque de France qui sera lancée en avril 2026 va permettre l’échange entre banques des numéros de comptes (IBAN) suspects. Concrètement une banque pourra refuser d’exécuter un virement (même instantané) si l’IBAN de destination est repris sur cette liste noire.
• Autre dispositif, le mécanisme d’authentification des numéros (MAN) instauré par la loi Naegelen qui oblige les opérateurs de téléphonie à authentifier les numéros appelants afin d’éviter qu’un prétendu conseiller ne vous appelle depuis un numéro qui semble être celui de votre agence bancaire (technique dite du « Spoofing»). Ce dispositif est cependant loin d’être imparable, essentiellement parce qu’il ne concerne pour le moment que les appels émis depuis ou vers des lignes fixes.

Il est malheureusement probable que ces mesure passives ne suffiront pas à éradiquer le phénomène et que les banques devront tôt ou tard imposer d’avantages de frictions dans le processus de paiement.

Un mécanisme possible et déjà proposé par certains établissements pourrait être la double signature des virements, une solution particulièrement applicable aux entreprises et aux personnes vulnérables.

Le principe est simple : un gestionnaire de compte désigne via son application bancaire un tiers de confiance, obligatoirement client du même établissement.

En cas de virement correspondant aux conditions d’alerte prédéfinies (par exemple supérieur à un certain montant ou vers un bénéficiaire hors France), le tiers de confiance reçoit une notification via son application bancaire et le virement n’est exécuté que si le titulaire et son tiers de confiance approuvent l’ordre de paiement.

Ce type de mécanisme, a contrecourant de la tendance, risque de devenir nécessaire pour protéger les clients – y compris contre eux-mêmes – car même si les technologies comme l’intelligence artificielle évoluent rapidement et permettent une détection toujours plus fine des schémas de fraude, ces mêmes technologies servent également aux fraudeurs pour établir des scénarii plus sophistiqués et efficaces.

A défaut de réussir à inculquer une capacité suffisante de détection des pièges dans le chef des utilisateurs, une baisse de la fluidité risque d’être le prix à payer pour une protection accrue contre la fraude.

Par, Geoffrey Laloux, Sponsor du Domaine d’excellence Payments chez Square Management