Entre transition, transformation et « disruption » digitale, le paiement instantané trouve une réponse aux attentes de mobilité, d’immédiateté et de numérisation. Les paiements instantanés pourraient selon des études représenter à horizon de 5 ans, jusqu’à 3 milliards de transactions en France, soit plus de 20 % des transactions interbancaires de détail traitées actuellement par STET. L’ensemble des marchés des paiements de détail est concerné, de la cible P2P en passant par le B2C/C2B jusqu’au B2B. Les paiements instantanés devraient ainsi toucher de nombreux secteurs : principalement les transferts de fonds, les paiements e-commerce mais aussi de proximité tels que la grande distribution, les paiements contre marchandise, le règlement de travaux, le paiement de services à la personne, le règlement d’actes notariaux. En France, les banques proposeront à leur clientèle ce nouvel instrument, et certaines dès novembre 2017.
Des risques accrus
Cette large couverture de marchés potentiels fait aussi les affaires des cyberfraudeurs. La question de la fraude est prégnante. En Grande Bretagne, Faster Payment, un des premiers systèmes de paiement instantané déployés en Europe, réalisant plus de 1,5 milliard de paiements instantanés annuels, a connu un quasi-doublement depuis son introduction en 2008. Il ne faudra pas sous-estimer la faculté d’adaptation quasiment en temps réel des fraudeurs, qui suivent l’actualité et calculent leur modèle économique en fonction de la facilité avec laquelle ils pénètrent dans les écosystèmes. Ils mettront en place des processus de contrôle à distance des objets nomades et des attaques sophistiquées en temps réel, surfant sur la vague des fonds disponibles en quelques secondes.
L’instant payment facilitera en effet les opérations de rebond vers d’autres comptes, inatteignables ou situés dans des pays où un délit frauduleux est vu comme un litige commercial, jouant ainsi sur le facteur temps pour disposer des fonds immédiatement. Le paiement instantané conjugue de fait la rapidité des autorisations en temps réel des cartes et la disponibilité instantanée des fonds. Les paiements instantanés ouvrent ainsi une voie importante de profit pour les fraudeurs, les montants transférés pouvant atteindre 15 000 euros, voire plus par accord bilatéral, montants bien plus élevés que la moyenne des transactions cartes. Le système de paiement carte est encore dual et la compensation a lieu un jour voire deux ou trois jours après la demande d’autorisation, ce qui permet encore de bloquer les fonds en paiement, même si l’autorisation a été donnée.
Des menaces… et des parades
La première difficulté pour les banques et leurs clientèles est d’anticiper le type de fraude qu’elles subiront. Elles doivent s’attendre principalement à des attaques de type
Les établissements ont pourtant plusieurs atouts en main. Tout d’abord, ils ont le recul et l’expérience de la gestion du risque en temps réel, acquis sur les transactions cartes et les tentatives d’intrusion répétées dans leurs systèmes. Les banques s’appuient entre autres, depuis le début des années 2000, sur des outils gestion du risque temps réel, à base d’intelligence artificielle, qui ont fait leur preuve sur la carte et commencent à être clonés pour les autres instruments de paiement. Elles ont aussi la connaissance de leurs clients, leurs habitudes de paiement, ce qui leur confère un avantage sur les fraudeurs.
D’autre part, les banques disposent d’un atout essentiel : la viscosité des plates-formes d’acquisition, qui est la première des armes antifraude. Les banques ont priorisé une sécurisation et une gestion du risque le plus amont possible, dès les briques acceptation et acquisition. Pour ce faire, elles ont mis en place des processus d’enregistrement des listes des bénéficiaires des virements, rapides et sécurisés, basés sur des outils d’authentification forte multimodale à base
Après la phase d’initiation et d’acceptation, la banque réalise à nouveau, une batterie de contrôles complémentaires avant de donner son accord. Ces contrôles sont très poussés et combinatoires, afin de limiter au maximum le risque. Ils portent en particulier sur les contrôles prudentiels, l’existence du compte bénéficiaire, les droits du payeur, le solde disponible intégrant une gestion des plafonds autorisés et cumulés, la listes des destinataires autorisés et/ou blacklistés, le pays du destinataire, le canal d’acquisition et son niveau de sécurisation, les dernières opérations sur le compte. Et depuis quelques années, ces contrôles sont combinés à des recherches avancées, pour mener une analyse comportementale très fine qu’apporte l’intelligence artificielle. Ceci est opéré par des moteurs de décision de type neuronal, capables de mettre en corrélation le comportement de la banque teneuse de comptes et les paramètres du compte (par exemple, les outils de scoring cartes). En complément pour répondre au défi des paiements instantanés, les banques étudient à intégrer aussi les contrôles
L’intelligence artificielle au cœur de la lutte antifraude
La première difficulté pour les banques sera donc d’anticiper les fraudes sur les paiements instantanés. Trois défis majeurs restent à relever pour le déploiement efficient et sécurisé des paiements instantanés : la sécurisation des objets nomades, en particulier le smartphone, maillon faible de la chaîne, la sécurisation des accès par les tiers de paiement aux comptes de ses clients que va légaliser la DSP2, et enfin, la sécurisation des bases de données qui permettent d’affiner les contrôles et tendre vers une gestion du risque optimale. L’objectif pour l’écosystème sera de s’adapter en intégrant la composante gestion du risque, combinant des logiciels de lutte contre les attaques et les malwares infestant les points d’acceptation, complétée par une couche d’intelligence artificielle. Verra-t-on alors, avec la propagation des moteurs d’intelligence artificielle, un arrêt de la fraude ou au contraire la génération d’un volume important de fausses alertes complexifiant la décision et le travail des back-offices ? À un service singulier qu’est l’instant payment, il faut une réponse de singularité technologique. L’intelligence artificielle, bien qu’encore en phase de réglage, sera l’un des facteurs de succès des paiements immédiats, apportant des solutions efficientes de sécurisation et d’anticipation du risque de fraude et permettant de justifier un service facturable, et ainsi trouver un modèle économique équilibré.