Planet-Fintech
L'actualité des sociétés qui disruptent l'industrie financière

Banni?res 2024


Les interfaces de programmation PSD2 : quelles mesures peut prendre l’industrie pour lutter contre les menaces de fraude ?

Par RobTharle, expert fraude et authetification SME, NICE Actimize


Les institutions financières devraient prendre en charge la fourniture d’API, même lorsqu’elles ne sont pas soumises à des pressions réglementaires, par exemple, pour les comptes autres que les comptes de paiement, dans l’UE. Cela devrait remplacer la suppression des écrans plutôt que de simplement bloquer ces services. Par ailleurs, cela contribuera à réduire les aspects d’ingénierie sociale liés au partage de certificat et constituera ainsi une nouvelle source de revenus.

Les interfaces de programmation PSD2 : quelles mesures peut prendre l’industrie pour lutter contre les menaces de fraude ?
Comme nous l’avions tous prévu, les nouvelles menaces de fraude qui pourraient arriver sur le marché avec l’implantation de nouvelles API PSD2 nécessiteront un traitement particulier en raison de leur complexité. Comme c’est généralement le cas, il n’existe pas de solution miracle pour lutter contre les nouvelles menaces de fraude, quelle qu’en soit l’origine, et le fait qu’une approche à plusieurs couches soit nécessaire ne devrait pas être une surprise. Mais il reste encore beaucoup à faire pour relever ces défis, au-delà de l’approche restrictive que nous adoptons peut-être actuellement.Tout d’abord, les institutions financières devraient travailler ensemble en tant qu’industrie, notamment les nouveaux prestataires de services tiers (TPP), pour fournir une éducation et des messages clairs aux clients afin qu’ils soient informés des fraudes à surveiller. Il convient notamment de veiller à ce qu’il existe une méthode indépendante permettant aux clients d’identifier les véritables prestataires de services tiers et le cas échéant, ceux autorisés, par exemple, dans l’UE.

Les prestataires de services tiers devraient être encouragés à mettre en œuvre des systèmes de prévention de la fraude à plusieurs couches similaires à ceux des institutions financières traditionnelles, par exemple le profilage des dispositifs, la détection des logiciels malveillants, la biométrie comportementale aux points d’extrémités client, ainsi que les analyses avancées et le profilage sophistiqué en matière de fraude.

Les institutions financières feraient également bien de ne pas importuner les clients avec des politiques d’authentification clairement globales et d’avoir des modèles reposant sur le risque afin lorsque les prestataires de services tiers procèdent à une authentification, puissent prendre en charge un message client sensible.

Cela devrait inclure le partage des meilleures pratiques et des données en matière de fraude et de sécurité afin de réduire la fraude dans l’ensemble de l’écosystème. Ces solutions devraient être obtenues par l’intermédiaire d’organismes professionnels ou par le biais de consortiums de fournisseurs de solutions de lutte contre la fraude. Par ailleurs, ces solutions pourraient inclure des éléments tels que des informations sur les dispositifs réputés mauvais par exemple, ou sur des comptes réputés être des mules financières. Cet effort devrait être intensifié afin d’élaborer des modèles et des processus clairs en matière de responsabilité pour encourager les meilleures pratiques et réduire les coûts dans l’ensemble du système.

Développer des plates-formes de profilage consacrées aux fraudes

Quelles sont les principals mesures que doivent prendre les institutions financières ? Tout d’abord, les institutions financières devraient développer leurs plates-formes de profilage consacrées aux fraudes pour traiter les opérations Open Banking comme un canal distinct, tout en veillant à ce que le système voit autant d’opérations (de préférence toutes) que possible, effectuées par le client. Cela implique de créer des modèles et des procédures sur mesure pour ces nouveaux types de transactions, tout en évitant de créer des cloisonnements, comme ce fut le cas par le passé.

En outre, les institutions financières devraient augmenter le volume des données disponibles pour ces systèmes afin d’inclure le profilage des dispositifs, la détection des logiciels malveillants et la biométrie comportementale. Elles devraient également inclure des données sur les prestataires de services tiers eux-mêmes. Les institutions financières dans l’UE devraient également envisager d’utiliser la directive PSD2 comme justification juridique dans le cadre du RGPD pour recueillir la position des clients et d’autres données permettant de prévenir la fraude.

En Europe, il sera également important d’utiliser les exemptions d’authentification forte du client (SCA) prévues par la PSD2, afin de réduire les frictions pour les clients, mais également afin de s’assurer que les contrôles et les signalements de fraude portent sur les transactions les plus risquées, permettant ainsi d’améliorer l’efficacité et de réduire les coûts.

Le profilage de la fraude devrait également être étendu pour couvrir les prestataires de services tiers eux-mêmes, par exemple : « Quel risque pose-t-il en fonction du comportement observé ? » Celui-ci doit être mis à jour en temps réel et peut ensuite être utilisé dans les modèles. Il peut également être utilisé pour vérifier les certificats validant l’identité d’un prestataire de services tiers et son droit de proposer des services, en fonction du risque. Cela prendra de l’ampleur lorsqu’il y aura des centaines de prestataires tiers, et permettra ainsi de réduire les coûts et les délais.

Pour gagner la bataille contre les nouvelles menaces de fraude, les institutions financières devront mettre en place un système de reporting et de surveillance des transactions Open Banking, afin de donner un aperçu de la manière dont ces transactions sont utilisées et détournées, en recherchant les anomalies et en appréhendant toutes les nouvelles typologies de fraude. Cette démarche est importante pour détecter les attaques et connaître les endroits où un développement et des ressources sont nécessaires. Dans le cadre de cette compréhension, entreprendre des exercices de piratage (red team) sur les cas d’utilisation connus et potentiels relatifs aux services Open Banking est une bonne idée. Cela permettra aux entreprises de mettre en place des contrôles potentiels en cas d’attaques futures.

Les banques et les institutions financières pourraient également envisager de faire bon usage de l’Open Banking en devenant elles-mêmes des prestataires de services tiers. Plusieurs banques britanniques, à l’instar de Lloyds et Barclays, ont déjà commencé à le faire. Si les banques peuvent voir tous les comptes d’un client sur l’ensemble de l’industrie, elles pourraient identifier la fraude et réduire les faux positifs. Elles pourraient également penser comme un prestataire de services tiers, ce qui sera utile pour prévenir la fraude par le biais de ces derniers. Par ailleurs, elles devraient examiner d’autres possibilités qu’offre l’Open Banking, par exemple, comme la source d’identité fiable, pour soutenir l’Open Banking.

Il existe de véritables problèmes liés aux fraudes auxquels il faut s’attaquer, mais il existe également des moyens permettant de profiter des avantages que peut offrir l’Open Banking aux clients et aux institutions financières. Par ailleurs, les entreprises peuvent mettre en place des activités par elles-mêmes, mais toutes les parties prenantes de l’écosystème devraient s’unir pour garantir ces avantages pour tous.


Rob Tharle
Lundi 27 Mai 2019



Nouveau commentaire :