La gestion du risque sur les cartes prépayées anonymes est un enjeu majeur

Le rapport annuel de l’Observatoire de la Sécurité des Moyens de Paiement, publié le 20 juillet 2022, met en évidence l’essor fulgurant de la monnaie électronique. De fait, le volume des transactions a cru de 78,8% entre 2020 et 2021 pour atteindre une valorisation de 1 milliard d’euros.

Le terme « monnaie électronique » englobe « toutes les valeurs monétaires stockées sous une forme électronique représentant une créance sur l’émetteur ». Ces créances peuvent être stockées en ligne, sur des terminaux mobiles, ou sur des supports physiques (cartes cadeau, cartes bancaires prépayées) puis utilisées suivant un périmètre prédéfini pour réaliser des achats et des retraits d’espèces.

Ces supports peuvent être répartis entre trois grandes catégories : les titres spéciaux de paiement (Titres-restaurant, CESU, Chèques-vacances), les cartes prépayées anonymes (solde maximum : 150€, telles que les cartes CADO Store), ou les cartes prépayées soumises à KYC[1] (montant supérieur à 150€, comme les cartes CADO le Pot Commun ou Visa PCS). Notre étude est focalisée sur les cartes prépayées anonymes, particulièrement perméables aux risques de fraude ou de blanchiment.

[1] Processus de vérification de l’identité d’un client et d’évaluation des risques associés

Fraude au prépayé : des statistiques optimistes

Malgré la croissance de ce moyen de paiement « à risques », l’Observatoire des moyens de paiement estime que le taux de fraude observé sur la monnaie électronique reste « relativement négligeable ». Un ressenti modéré qui tranche avec les remontées « terrain ». Comment expliquer ce décalage ?

S’il peut être en partie expliqué par les caractéristiques de la monnaie électronique et par la faiblesse relative des montants engagés, il est également imputable à une faible détection des fraudes de la part des émetteurs. En effet, les statistiques de l’Observatoire découlent directement des déclarations réglementaires adressées par les émetteurs de monnaie électronique.

Or, la fraude s’est fortement industrialisée durant la pandémie de Covid-19, comme le montrent la multiplication des arnaques au CPF ou le perfectionnement des mails de phishing. Cette évolution lui a permis de sortir du champ de vision des émetteurs sans disparaître pour autant. Pour preuve, si la fraude diminue dans les statistiques, elle coûte de plus en plus cher aux consommateurs.

Un phénomène encore plus marqué sur le prépayé, où des supports peu traçables sont distribués via un circuit étendu comportant plusieurs vulnérabilités.

Si l’on exclut les cas isolés de détournements de fonds pouvant survenir au sein même de l’émetteur, les distributeurs et les utilisateurs restent particulièrement exposés au risque de fraude.

… Qui contrastent avec la réalité terrain : la fraude n’épargne personne

Dans le schéma classique, l’escroc gagne la confiance de sa victime (client particulier ou professionnel) suivant une méthode éprouvée (fausses annonces, fraude aux sentiments, arnaque au faux policier…) pour la convaincre de transférer des fonds au moyen de cartes prépayées.

Ainsi, plusieurs buralistes distribuant des supports prépayés ont été victimes de fraudes élaborées où les fraudeurs usurpaient l’identité de l’émetteur sous un prétexte quelconque (souvent, ironiquement, en prétextant une fraude) pour obtenir les codes de coupons prépayés qu’ils dépensaient par la suite.

Ce recours à l’ingénierie sociale complique la détection de la fraude – en particulier sur des supports anonymes – dans la mesure où il brouille la distinction entre le fraudeur et le consommateur. En outre, les fraudeurs prennent soin de multiplier les supports pour contourner les seuils de connaissance client (procédures KYC) applicables au prépayé au-delà de 150€. Ainsi, un fraudeur cherchant à obtenir 1500€ exigera 10 cartes anonymes de 150€ plutôt qu’un support nominatif à 1500€.

Cette fraude d’un genre nouveau constitue un risque financier élevé pour toutes les parties prenantes. Pour les émetteurs, ce risque financier se double d’un fort enjeu juridique et réputationnel. Juridique, car l’arsenal législatif se renforce et se complexifie rapidement. Or, nous avons vu que ce renforcement s’effectuait souvent au détriment des acteurs bancaires. Réputationnel, car la lutte contre la fraude – et les obligations qui en découlent – complique les relations avec les clients.

Comment s’en prémunir ?

Pour répondre à ces enjeux, les émetteurs doivent mener une stratégie de gestion des risques efficace sur le plan organisationnel et technique. La gouvernance de l’émetteur doit tenir compte des risques (physiques, informatiques…) spécifiques à ses produits prépayés et intégrer les mesures de prévention et de contrôle adaptées. Pour être efficace, cette politique doit être complétée par des mesures de sécurité opérationnelles.

Sur le prépayé, cela implique de paramétrer les offres pour limiter l’occurrence d’opérations à risques (fixation de seuils, restrictions par secteurs…) et d’assurer un suivi des opérations au moyen d’outils (par exemple, PrismE/A) et de stratégies dédiées. L’optimisation des stratégies et des paramètres permet de limiter la survenue d’incidents et contribue directement à l’amélioration du parcours client.

Parallèlement, ces derniers doivent faire l’objet d’un travail de communication et de sensibilisation pour contrer une fraude qui se déplace sur le champ de l’ingénierie sociale. Ce basculement, qui complique sa détection par des moyens techniques, fait de la relation client un maillon essentiel de la lutte contre la fraude.

Plus que jamais, les émetteurs de titres prépayés doivent élargir leur dispositif de surveillance pour y impliquer leurs clients et partenaires tout au long de la chaîne de distribution. Car, comme toutes les solutions de paiement, les cartes prépayées anonymes sont aussi fondées sur la confiance.

Suivez-nous