La Banque centrale des Émirats arabes unis renforce la protection des consommateurs contre la fraude

La sécurité des services bancaires numériques aux Émirats arabes unis est sur le point de subir une transformation majeure. La fraude augmente dans la région, les criminels profitant de la faiblesse des méthodes d'authentification. Pour protéger les consommateurs, la Banque centrale des Émirats arabes unis (CBUAE) a pris des mesures décisives en publiant l 'avis n° CBUAE/FCMCP/2025/3057.

Publié en mai 2025, cet avis de la Banque centrale des Émirats arabes unis transformera essentiellement la manière dont les banques protègent leurs clients.

Dans ce blog, nous vous présentons les grandes lignes des nouvelles exigences en matière d'authentification forte et de prévention de la fraude. Nous sommes conscients que ces nouvelles règles soulèveront des questions importantes pour les responsables de la sécurité et de la banque numérique qui doivent les transformer en réalité opérationnelle. Pour des réponses plus approfondies, nous vous invitons à nous rencontrer à MEBIS, la conférence sur l'innovation bancaire au Moyen-Orient, ou à télécharger notre nouveau livre blanc.

Comprendre la nouvelle réglementation de la CBUAE

Le nouveau cadre réglementaire de la CBUAE vise à renforcer les mécanismes d'authentification utilisés pour les transactions financières et à améliorer les capacités de détection et de prévention des fraudes des institutions financières. Les nouvelles mesures de sécurité s'appliquent à la fois aux comptes bancaires numériques et aux portefeuilles électroniques.

Aperçu des exigences en matière d'authentification

Voici ce qu'il faut retenir :

Pour lutter contre les méthodes d'authentification faibles, l'avis interdit aux IF d'utiliser le SMS OTP, l'email OTP ou les mots de passe statiques comme seule méthode d'authentification pour les transactions financières et l'approvisionnement des comptes.

Pour l'accès aux appareils et aux comptes bancaires :

• Premier accès : Les IF doivent utiliser une technologie solide de vérification de l'identité telle que la reconnaissance faciale Emirates.
• Connexions récurrentes : Avec un appareil de confiance, les institutions financières peuvent utiliser des identifiants de connexion tels que des codes PIN statiques ou des données biométriques propres à l'appareil.
• Accès aux services bancaires en ligne : Les consommateurs doivent approuver une confirmation à partir d'un autre canal sécurisé. Il peut s'agir de l'application bancaire mobile ou d'un jeton électronique (par exemple, une application d'authentification autonome).

Authentification progressive obligatoire :

L'avis exige une authentification progressive pour

• Modification des limites ou des paramètres de la carte
• Modification des paramètres de sécurité
• Initiation d'un paiement
• Modification des données personnelles, telles que l'adresse ou les coordonnées
• Demande d'une nouvelle carte

Pour les transactions 3-D Secure, les institutions financières

• N'ont pas le droit d'utiliser une authentification faible pour l'authentification à deuxième facteur (2FA).
• Elles doivent utiliser des méthodes telles que la vérification in-app, les jetons logiciels, l'authentification par tapotement ou la biométrie.
• Elles seront désormais responsables des fraudes signalées sur les transactions 3D Secure qui utilisent l'OTP par SMS.

Biométrie :

L'avis encourage l'utilisation de l'authentification biométrique dans les services bancaires, comme :

• La biométrie comportementale et l'analyse comportementale
• La biométrie numérique

White paper

New CBUAE requirements: Is your bank ready?

Learn the essential insights for UAE banking security teams.

Download now

Aperçu des exigences en matière de détection et de prévention des fraudes

La Banque centrale des Émirats arabes unis impose aux banques des Émirats arabes unis des contrôles complets en matière de détection et de prévention des fraudes. En voici les grandes lignes :

Analyse des transactions en temps réel

Les IF doivent :

• Mettre en place des systèmes d'analyse des transactions pour identifier les activités inhabituelles des consommateurs afin de détecter les fraudes.
• S'assurer que leurs systèmes sont capables d'arrêter ou de refuser une activité transactionnelle suspecte en temps réel.
• Intégrer des mécanismes de notation des risques pour évaluer la probabilité d'une activité frauduleuse pour chaque transaction.
• Analyser l'activité des comptes des consommateurs afin d'identifier les comportements suspects ou à haut risque, tels que les retraits importants et soudains ou les activités effectuées à partir de lieux inhabituels.

Confirmation du bénéficiaire

• Pour les virements nationaux : Les institutions financières doivent fournir certaines informations au consommateur avant de confirmer la transaction. Il s'agit notamment du nom du bénéficiaire, de son numéro de compte, de ses coordonnées bancaires et du type de compte.
• Pour les paiements instantanés : Les IF doivent s'assurer que des contrôles sont en place pour permettre au consommateur de vérifier le nom du bénéficiaire.

Contrôles de sécurité avancés

• Services bancaires mobiles : Les IF doivent veiller à ce que des contrôles suspendent les sessions de l'application de banque mobile lorsque des partages d'écran, des logiciels malveillants ou des outils d'accès à distance (RAT) sont détectés, ou lorsque le consommateur est en communication active.
• Services bancaires en ligne : Les IF doivent s'assurer qu'aucune application de partage d'écran n'est active pendant les sessions de navigation.

Surveillance des comptes et des opérations bancaires

Les IF doivent

• Examiner périodiquement les comptes bancaires EAU dormants ou inactifs afin d'identifier toute activité inhabituelle.
• Disposer de contrôles internes pour vérifier l'identification précoce des comptes de passeurs.
• Analyser les transactions financières sur la base de comportements étranges, inattendus ou suspects.

Calendrier de mise en œuvre des nouvelles règles de la Banque centrale des Émirats arabes unis

Les institutions financières ont jusqu'au 31 mars 2026 pour se conformer à la plupart des exigences.

Toutefois, les exigences relatives aux transactions 3D Secure authentifiées par SMS OTP entrent en vigueur immédiatement.

L'évolution de la sécurité exige l'excellence de la mise en œuvre

Les exigences de la CBUAE en matière d'authentification bancaire et de prévention de la fraude représentent une évolution nécessaire dans la sécurité des services bancaires de la région. Cependant, la mise en conformité va bien au-delà de la sélection de solutions technologiques et de dispositifs de sécurité éprouvés. Il faut comprendre et relever les défis en matière de convivialité, de mise en œuvre et d'intégration.

OneSpan possède l'expertise nécessaire pour aider les banques des Émirats arabes unis à protéger les titulaires de comptes. Nous travaillons avec 60 % des 100 plus grandes banques du monde, couvrant les applications mobiles, les services bancaires en ligne, les guichets automatiques, les systèmes de succursales et les centres d'appels. Avec le portefeuille d'authentification le plus complet du secteur, ainsi que notre sécurité des applications mobiles et nos capacités de détection et de prévention des fraudes en temps réel, nous pouvons vous aider à accélérer votre mise en conformité.

Contactez-nous pour discuter de vos besoins en matière de conformité et de mise en œuvre. Parlez à notre équipe d'experts techniques et réglementaires dès aujourd'hui.