La fraude, le « typhon » des services financiers digitaux, un phénomène en plein essor

Jacqueline Jumah, mai 2016

Les typhons sont de grands moteurs de destruction. Lorsqu’un typhon touche terre, il provoque souvent une onde de tempête dévastatrice qui détruit tout sur son passage sans pitié. La meilleure défense contre un typhon est une prévision précise qui donne aux gens le temps et les moyens de se mettre à l’écart. Il est donc prudent d’observer, d’observer à nouveau, puis de faire attention si vous vous trouvez dans une zone sujette aux typhons.

Depuis sa création, l’industrie des services financiers digitaux est victime d’une large variété de fraudes, sur différents marchés et auprès de différents acteurs de l’écosystème. La nature et l’ampleur de ces cas de fraude ont évolué d’un marché à l’autre. En conséquence, la plupart des opérateurs de services financiers digitaux déploient aujourd’hui des équipes internes dédiées à la lutte contre la fraude. Les recherches menées par l’Institut Helix au Bangladesh et au Kenya identifient la fraude comme la principale préoccupation des agents. Nos enquêtes en Tanzanie et en Ouganda mettent aussi en évidence la prévalence de la fraude : 42 % des agents et un peu plus de la moitié des agents, respectivement, indiquent qu’eux-mêmes ou l’un de leurs employés ont été victimes de fraude au cours de l’année précédente. Sur d’autres marchés, comme la Zambie et l’Inde, la fraude est citée comme l’un des principaux défis pour l’activité d’un agent.  En réponse, l’Institut Helix a collaboré avec d’éminents spécialistes pour élaborer une formation sur la gestion des risques et de la fraude dans le cadre des services financiers digitaux. La formation met l’accent sur les principaux risques ainsi que sur les stratégies d’atténuation et de gestion des risques.

Source : Compilé à partir des enquêtes du programme Accélérateur de réseau d’agents (ANA). Des enquêtes ANA ont été menées en 2013 en Ouganda, au Kenya et en Tanzanie ; en 2014 au Bangladesh, au Kenya, au Pakistan et en Inde ; et en 2015 en Zambie, Tanzanie et Ouganda. Les graphiques comparatifs par pays contiennent les données les plus récentes disponibles. 

Les tendances indiquent à la fois de la fraude interne par des employés et de la fraude par des acteurs externes. Les employés des prestataires de service financiers digitaux peuvent utiliser leur poste pour avoir accès à des renseignements confidentiels sur les clients, surtout en l’absence d’un contrôle rigoureux, puis s’en servir pour cibler les clients et avoir accès à leurs comptes ou leurs fonds. Chez un opérateur de réseau mobile (ORM), des employés ont comploté pour voler environ 3,4 millions de dollars en accédant au compte d’attente de l’entreprise qui détient temporairement des transactions non classées ou contestées. Les employés, de connivence avec certains agents, ont ensuite pu générer de la valeur électronique et rediriger les fonds pour les retirer. Cette situation s’explique par l’absence de procédures de rapprochement appropriées et une mauvaise gestion des droits d’accès des utilisateurs au système de paiement mobile, où les membres du personnel utilisaient de multiples identifiants d’utilisateurs actifs du système. Au Rwanda, un ORM a découvert la fraude orchestrée par l’un de ses employés qui, par l’intermédiaire d’agents complices, avait réaffecté des fonds d’un montant de 673 943 dollars pour des retraits sur une période de 12 mois. En Afrique du Sud, la collusion entre quelques employés d’un important ORM et une banque a donné lieu à une fraude majeure consistant à l’échange frauduleux de cartes SIM. Il en a résulté la perte de milliers de rands.

Des tiers comme les employés d’institutions fournissant des services sous-traités ou des fraudeurs non affiliés, communiquent généralement avec des agents ou des clients indirectement par le biais d’escroqueries d’ingénierie sociale (généralement par usurpation ou hameçonnage) pour obtenir frauduleusement des renseignements sur un compte et les voler. D’autres réussissent à pirater des comptes ou des portefeuilles pour obtenir des fonds illégalement. En Inde, cinq étudiants ingénieurs ont volé des dizaines de millions de roupies à une banque du secteur privé en utilisant de fausses transactions de portefeuilles mobiles sur une période de quatre mois, depuis décembre 2015. Les étudiants ont réussi à pirater le portefeuille nouvellement introduit par la banque de sorte que si un client essayait d’envoyer des fonds à un autre détenteur de portefeuille et que le destinataire était hors ligne, l’initiateur de la transaction ne perdrait pas de fonds. Les fonds ont plutôt été retirés de la banque et dirigés vers le portefeuille du fraudeur. Cette affaire de fraude a été découverte après le détournement d’environ 1,2 million de dollars. Au Kenya, les fraudeurs qui sont généralement des détenus ayant un accès illégal aux téléphones mobiles par l’intermédiaire de syndicats, continuent de commettre des fraudes par le biais de l’ingénierie sociale. Les dernières méthodes utilisées sont l’appel ou l’envoi de SMS à des numéros aléatoires, soit en se faisant passer pour des parents demandant des fonds, soit en tant que représentants de différentes entreprises : par exemple, banques ou supermarchés communiquant des informations sur les gagnants de promotions spéciales. Dans ce dernier cas, ils demandent à l’abonné d’envoyer des fonds dans un portefeuille mobile spécifique pour « activer » ses gains, afin de recevoir ses prix en espèces.

Les derniers messages diffusés au hasard au Kenya ciblent tous ceux qui s’apprêtent à envoyer des fonds. Ces SMS incluent des messages du genre : « Nitumie ile pesa kwa hii number, simu yangu imezima », qui se traduit par « Mon téléphone s’est éteint, envoyez les fonds à ce numéro, s’il vous plaît ». L’envoi d’argent étant une activité courante, beaucoup de personnes recevant ce message sont amenées à croire qu’il a été envoyé par le destinataire prévu. Ils sont induits en erreur, pensant que le destinataire prévu a du mal à accéder à son portefeuille/téléphone habituel, et qu’il fournit donc un autre numéro pour que les fonds puissent être transférés. L’expéditeur envoie ensuite les fonds au nouveau numéro. De nombreux clients innocents ont perdu de l’argent en répondant à ces appels ou à ces SMS, et ce sont ceux qui vivent dans les zones rurales qui sont le plus souvent touchés.

Ce ne sont là que quelques exemples d’une multitude d’approches d’une créativité alarmante pour escroquer les agents et les utilisateurs finaux. Il existe également des perceptions de clients vulnérables à la fraude, comme l’indique le rapport du Groupe consultatif d’assistance aux pauvres (CGAP), MSC et BFA sur la protection des consommateurs et les risques émergents dans les services financiers digitaux, qui réaffirme également la fréquence de ces cas. La tendance générale est que les fraudes qui contournent les systèmes de back-office entraînent des pertes à grande échelle pour les fournisseurs, tandis que les fraudes moins importantes commises par des tiers ciblent souvent des montants moins élevés de la part d’agents ou de clients.

Comment les fournisseurs devraient-ils donc tenir compte de l’évolution de la fraude ?

Les pays sujets aux typhons disposent de systèmes d’alerte rapide de plus en plus sophistiqués. De même, les fournisseurs de services financiers digitaux ont besoin de systèmes sophistiqués de gestion des risques et des fraudes. Les fournisseurs doivent comprendre la fraude et suivre son évolution au fil du temps afin de la gérer efficacement, grâce à une surveillance rigoureuse de l’écosystème et en posant constamment des questions fondamentales concernant la surveillance, à savoir : Quelles sont les nouvelles activités frauduleuses ? Y a-t-il une tendance ? Tous les contrôles sont-ils conçus et exécutés adéquatement ? Les employés sont-ils conscients de leurs rôles et responsabilités et les comprennent-ils ?

Systèmes de gestion de la fraude :

Les fournisseurs de services financiers digitaux ont besoin de systèmes sophistiqués de gestion des risques et de lutte contre la fraude. Ces systèmes aident les fournisseurs à comprendre la nature des fraudes. Un grand nombre de données sont générées à partir de différents systèmes utilisés par tout fournisseur de services financiers digitaux. Ces systèmes permettent aux gestionnaires de la fraude d’utiliser les données générées et de concevoir des règles et des algorithmes pour suivre l’évolution des fraudes. Ils leur permettent également d’établir des règles de fraude pour faciliter les contrôles de collusion, de vélocité, de seuil, de listes noires, de nouveaux abonnés, de profil, d’échange de carte SIM, etc. Ces systèmes aident les fournisseurs à comprendre la fraude et à suivre son évolution au fil du temps, ce qui leur permet de la gérer efficacement et de réduire les pertes de revenus. Les outils de détection de la vélocité et des tendances, qui sont en temps réel, dynamiques, efficients et efficaces pour détecter les tendances suggérant l’existence d’une fraude sont autant de moyens supplémentaires puissants pour la gestion de la fraude.

Données et tableaux de bord fiables et pertinents

Les données sont essentielles à la surveillance et à la gestion de la fraude dans le domaine des services financiers digitaux. Des données fiables sont générées en travaillant avec les fournisseurs de technologie pour construire des systèmes ou des outils robustes qui détectent et suivent les comportements normaux et anormaux. Les fournisseurs doivent assurer des mesures de prévention robustes sur la première ligne de défense – l’enregistrement ou l’ouverture d’un compte. Combiné à des alertes pilotées par les données, ce système peut fournir des moyens de défense multicanaux en temps réel pour faire face à un large éventail de menaces de fraude. Des approches plus traditionnelles de « créateur-vérificateur » pour assurer la séparation des tâches, ainsi que des équipes de contrôle et de rapprochement au niveau du soutien administratif, sont également essentielles pour maintenir l’intégrité des systèmes financiers digitaux.

Contrôles internes

Les fournisseurs doivent assurer des contrôles internes solides, qui peuvent être de deux types : contrôles préventifs et contrôle de détection. Des contrôles préventifs peuvent inclure des mesures telles que la limitation du nombre de transactions par jour (valeur ou volume), l’authentification des transactions, l’utilisation de mots de passe à différents niveaux, un accès limité aux employés, etc. Il s’agit généralement de solutions peu coûteuses pour les fournisseurs. Par contre, les contrôles de détection se font a posteriori. Les contrôles de détection typiques sont : la compréhension des schémas de l’activité des transactions, l’examen des transactions de grande valeur/grand volume, la surveillance de l’activité de connexion des employés, etc. Ces systèmes sont en général coûteux, car les fournisseurs des services financiers digitaux doivent construire des systèmes à cette fin. En cas de fraude, les mesures préventives constituent la première ligne de défense.

Voies de  transmission de rapports et de communication claires entre les parties prenantes, y compris les clients

Différents prestataires ont des structures organisationnelles différentes, qui déterminent le nombre de parties prenantes impliquées. Au niveau interne, les gestionnaires, le soutien administratif, le service à la clientèle et les équipes des finances et d’assurance du revenu doivent tous être conscients du risque de fraude. Il faut également les encourager à communiquer toute anomalie ou activité douteuse aux parties intéressées au niveau interne. La communication externe avec les agents et les clients est tout aussi importante pour un contrôle préventif efficace. La sensibilisation des clients à la prévention du risque de fraude est une mesure préventive essentielle pour réduire les escroqueries par usurpation ou hameçonnage. Enfin, en cas de détection d’une activité suspecte, des procédures internes claires doivent être mises en place pour à la fois définir la manière d’accroître la sensibilisation et prendre des mesures immédiates. Il faut également encourager la dénonciation au sein des institutions.

L’écosystème des services financiers digitaux continue d’évoluer, mais avec un risque accru de fraude. Pour que les services financiers digitaux puissent réaliser pleinement leur potentiel, toutes les parties prenantes, y compris les régulateurs, les donateurs, les fournisseurs et leurs partenaires ainsi que les clients, ont un rôle à jouer dans la lutte contre la fraude. Ils doivent également intervenir afin de minimiser les risques de voir les services financiers digitaux balayés par la vague de typhons de fraude en pleine expansion.