Qu’est-ce que la fraude au paiement ACH et comment la prévenir ?

Le système appelé chambre de compensation automatisée (Automated Clearing House ou ACH) est un réseau qui permet de transférer de l’argent entre des comptes bancaires, généralement entre des établissements financiers. Prenant en charge les transferts par débit et par crédit, les paiements et les retraits sont envoyés à la chambre de compensation où ils attendent une autorisation avant d’arriver sur le compte bancaire final. En France, ce réseau est supervisé par trois établissements: l’Autorité des marchés financiers (AMF), l’Autorité de contrôle prudentiel et de résolution, et la Banque de France.

Qu’est-ce que la fraude au paiement ACH ?

Il y a fraude au paiement ACH lorsque des fonds sont volés via le réseau ACH. Pour ce faire, un criminel a besoin de deux choses : 

• Un numéro de compte bancaire 
• Un numéro d’acheminement bancaire 

Fort de ces informations, il peut alors transférer de l’argent depuis le compte piraté soit en une seule fois, soit sous forme de paiements répétés. Il peut aussi effectuer des paiements non autorisés pour acheter des biens ou des services. À noter que les délais liés aux paiements ACH sont une vulnérabilité critique qui est exploitée par les criminels financiers.

Fréquence des fraudes au paiement ACH ? 

Même s’il ne s’agit pas de la méthode de fraude la plus répandue, les escroqueries au paiement ACH sont en progression. En effet, en 2021, l’Association For Finance Professionals, une organisation américaine, a constaté que le pourcentage de personnes interrogées qui signalent des activités frauduleuses via le réseau ACH est passé de 34 % en 2020 à 37 % en 2021. 

Exemples de fraude au paiement ACH

En règle générale, la fraude ACH touche les banques de taille moyenne, les entreprises et les établissements scolaires. En septembre 2022, la Division Cyber du FBI a publié une note indiquant que les cybercriminels ciblent de plus en plus les prestataires de services de paiement de soins de santé afin de détourner les remboursements des frais de santé. À titre d’exemple, une grande entreprise du secteur de la santé a perdu 840 000 dollars suite à une escroquerie au paiement ACH à cause d’un pirate qui avait usurpé l’identité d’un employé et modifié les instructions ACH.

Outre les fraudes commises par des employés, les principaux exemples d’escroquerie au paiement ACH sont :

• Les violations de données : Les criminels accèdent souvent aux identifiants des clients suite à une violation de données. Dans ces cas, les fraudeurs se connectent aux comptes bancaires au moyen d’informations volées, ou achetées sur le Dark Web, avant de retirer des fonds via le réseau ACH. 
• Les escroqueries ACH par hameçonnage par email : Lorsqu’un client clique sur un lien dans un email frauduleux, il est dirigé vers un site web malveillant qui infecte son ordinateur à l’aide d’un malware. Les fraudeurs peuvent ensuite espionner les informations que le client saisit sur son clavier et s’emparer de ses informations bancaires. Cette technique est également connue sous le nom d’hameçonnage.
• La fraude aux comptes bancaires ou par tirage à découvert : Pour ce type de fraude ACH, les criminels transfèrent de l’argent d’un compte vers un autre, ouverts dans différentes banques. Lorsque le transfert est approuvé par la chambre de compensation, l’argent semble être sur le compte, mais en réalité il a déjà été déplacé.
• La perte ou le vol de carte de débit : Tant que la perte ou le vol d’une carte de débit n’a pas été signalé, les criminels peuvent utiliser ce laps de temps pour procéder à un retrait ACH non autorisé.

Nombre de ces méthodes révèlent d’autres informations qui peuvent conduire à une usurpation d’identité et/ou à une fraude par prise de contrôle de comptes. Le réseau de lutte contre la criminalité financière FinCEN a souvent mis en avant le lien entre la fraude au paiement ACH et l’usurpation d’identité, de l’argent illégalement transféré étant acheminé par le réseau ACH vers des comptes créés à l’aide d’identités volées ou fausses. 

Quel est l’impact de la fraude ACH pour les entreprises ?

L’impact de la fraude au paiement ACH peut s’avérer coûteux pour les établissements en termes de temps et d’argent consacrés à des mesures correctives, ce qui peut aussi impacter négativement les relations avec les clients et les prospects. En effet, une enquête menée en 2020 auprès de commerçants a révélé qu’« éviter les entreprises ou les services auxquels je ne fais pas confiance » était le principal moyen pour les consommateurs de protéger la confidentialité et la sécurité de leurs données personnelles en ligne.

De plus, notre enquête mondiale sur la conformité en 2023 rapporte que plus d’un responsable de la conformité sur trois cite le « risque réputationnel » comme le facteur le plus susceptible d’entraîner des changements au sein de leur établissement. Avec une augmentation de 6 points de pourcentage par rapport à l’année précédente, il s’agit du seul facteur qui augmente d’une année sur l’autre. Avec des dirigeants du monde entier qui attribuent 63 % de la valeur marchande de leur entreprise à sa réputation, il n’est pas difficile de comprendre pourquoi les niveaux d’inquiétude sont si élevés.

La fraude au paiement ACH augmente aussi la probabilité de fraude par rétrofacturation qui se produit lorsqu’un consommateur demande un remboursement (rétrofacturation) à l’émetteur de la transaction par carte alors qu’il a reçu la marchandise expédiée par le commerçant.

Comment détecter les fraudes ACH

Détecter les fraudes au paiement ACH est indispensable pour les établissements de toute taille et de tout secteur. Voici les tendances actuelles dans le domaine de la détection des fraudes ACH : 

• API sécurisées : Grâce à des interfaces de programmation d’applications (API), les établissements peuvent détecter la fraude de manière plus rapide et efficace à l’aide de deux systèmes qui communiquent entre eux de manière intégrée. Ainsi, avec l’API RESTful de ComplyAdvantage, les établissements peuvent renforcer leurs performances opérationnelles et réduire le volume de faux positifs en bénéficiant d’un accès à des données en temps réel.
• Données biométriques : Connus sous le nom de modalités physiques, linguistiques et comportementales, différents types de données biométriques peuvent aider les établissements à détecter une fraude ACH en leur permettant d’identifier le véritable être humain qui est en train d’interagir avec un appareil ou un service.
• Analyse comportementale renforcée : Une analyse comportementale qui s’appuie sur les ressources d’apprentissage automatique peut aider les établissements à dresser un tableau précis du comportement « escompté » et « inattendu » d’un compte afin qu’ils puissent prendre des mesures pour atténuer les risques quasiment en temps réel.

Lorsqu’ils ont recours à l’une des solutions de détection des fraudes indiquées ci-dessus, les établissements doivent s’assurer que cette dernière est paramétrée pour refléter leur appétit pour le risque. En effet, en adoptant une approche fondée sur le risque, les établissements doivent tenir compte du niveau de menace que la fraude au paiement ACH représente pour leur activité et déployer des solutions en conséquence. Les outils de supervision des transactions doivent également être optimisés pour détecter les signaux d’alerte ACH spécifiques et notamment :

• Les transactions ACH réalisées dans différentes régions du monde
• Les clients qui utilisent un équipement ou un compte différent de celui qu’ils utilisent habituellement
• Les collaborateurs qui ne respectent pas les protocoles de sécurité
• Les clients qui montrent des signes d’hameçonnage
• Les clients qui présentent un taux élevé de rétrofacturations ACH

Comment les entreprises peuvent-elles prévenir la fraude ACH ?

Les mesures de prévention de la fraude au paiement ACH déployées par les établissements sont notamment :

• Le gel des paiements ACH : Cela permet aux établissements de bloquer les transferts non autorisés depuis le compte d’un client.
• Le filtre des fraudes ACH : Possibilité pour les établissements de distinguer les débits et les crédits autorisés de ceux qui ne le sont pas.
• Une liste d’utilisateurs autorisés : Les établissements peuvent créer une liste de transactions régulières autorisées.
• L’authentification multifactorielle (MFA) : Les établissements doivent utiliser l’authentification multifactorielle lorsqu’ils se connectent et effectuent des transferts.
• L’autorisation de paiement à usage unique (OTP) : Un seul paiement est autorisé à la fois. Également appelé « paiement positif ».

Les employés de l’établissement doivent être pleinement formés à la prévention de la fraude au paiement ACH. Les professionnels de la conformité et de la lutte contre la fraude doivent se tenir informés des nouvelles typologies et tendances en termes de fraude ainsi que de l’actualité réglementaire et des politiques internes en matière de connaissance du client (KYC).

En outre, les établissements doivent déployer des mesures de sécurité strictes en s’appuyant par exemple sur le chiffrement des données lors du stockage et de l’envoi des identifiants des clients, y compris pour les informations d’identification communiquées par téléphone lorsque les appels sont enregistrés. Ces informations ne doivent jamais être conservées localement.