Confirmation de Payee est à venir au Royaume-Uni, mais va-t-il protéger les clients des banques contre la fraude?

Steven Murdoch, août 20, 2019
Confirmation of Payee is coming to the UK, but will it protect bank customers from fraud?

Le régulateur du système de paiement (PSR) vient d’annoncer que les six plus grandes banques du Royaume-Uni doivent vérifier si le nom du destinataire d’un transfert correspond à ce que pense l’expéditeur. Cette nouvelle fonctionnalité devrait aider à combler une faille de sécurité dans les paiements en ligne : le nom du bénéficiaire des transferts est ignoré, contrairement aux attentes et contrairement aux chèques. Cette sécurité améliorée devrait rendre certaines fraudes plus difficiles, mais les banques doivent être empêchées d'exploiter le changement pour transférer injustement la responsabilité du crime restant aux victimes.

L’objectif du PSR est que les contrôles soient pleinement mis en œuvre d’ici mars 2020, soit un peu plus que leur promesse initiale au Parlement de septembre 2018 et l’objectif suivant de juillet 2019. La nouvelle proposition, connue sous le nom de Confirmation de Payee, ne couvre également que les six plus grands groupes bancaires, mais cela devrait couvrir 90% des transferts. Son but est de se défendre contre les criminels qui trompent les victimes en transférant des fonds sous le faux prétexte que l'argent va au nouveau compte de la victime, alors qu'il va vraiment au criminel. Les pertes de cette fraude, connu sous le nom d’escroqueries de paiement push, sont souvent changerla vie , ce qui entraîne la misère pour les victimes.

Vérifications sur le nom du destinataire rendra cette escroquerie particulière plus difficile, donc peu susceptibles d'empêcher tous les types d'escroqueries de paiement push, ils nous l'espérons forcer les criminels à adopter des stratégies qui sont plus faciles à prévenir. Le risque que les représentants des consommateurs et les organismes de réglementation devront surveiller est que ces nouvelles mesures de sécurité pourraient entraîner la responsabilité injuste des victimes. Ce scénario est, malheureusement, probablement parce que le code volontaire de protection des consommateurs pour les escroqueries de paiement push excuse la banque de la responsabilité si elles montrent au client une confirmation de l’avertissement Payee.

Couverture ebook
E-book

Piratage de compte : Garantir la protection de ses clients et de son activité

Luttez contre le piratage de compte et protégez vos clients à chaque étape de leur parcours numérique.

Télécharger

Attention à la fatigue et aux incitations mal alignées

Dans ma réponse à la consultation sur ce code de protection des consommateurs, j’ai soulevé la question de la «fatigued’avertissement» - que les clients seront montrés de nombreux avertissements non pertinents alors qu’ils font des services bancaires en ligne et cela réduit la probabilité que les clients remarqueront ceux importants. Même la confirmation des avertissements de Payee sera souvent erronée, par exemple si le compte bancaire du destinataire est sous un nom différent de ce que l'expéditeur attend. Si les deux noms sont très différents, l'expéditeur ne sera pas donné plus de détails, mais si le nom entré est proche du nom dans les dossiers bancaires de l'expéditeur doit être dit ce que le bon est et a demandé de comparer.

J'ai également noté que le transfert de la responsabilité de la banque à la victime lorsqu'un avertissement de confirmation de payee est affiché crée des incitations erronées pour les banques. Demander au client de vérifier le nom du destinataire n'est qu'une des nombreuses mesures de sécurité que la banque peut appliquer. Détecter, par exemple, les transactions qui ne sont pas de caractère pour le client et les bloquer, ou rechercher des modèles inhabituels de transferts vers le compte bénéficiaire. Les banques devraient être incitées à déployer tous les systèmes de prévention de la fraude à leur disposition, mais avec le code tel qu'il est écrit, dès que les banques ont montré une confirmation de l'avertissement Payee, ils peuvent transférer la responsabilité à la victime sans rien faire de plus.

En conclusion, j’ai soutenu que la norme de diligence que les clients sont censés appliquer pour se protéger contre la fraude par paiement poussif devrait être comme l’exige la directive sur les services de paiement pour d’autres types de fraude : qu’ils n’agissent pas avec négligence grave. Autrement dit, la banque ne peut transférer la responsabilité de la fraude à la victime que si elle démontre qu'un client a agi avec « un mépris conscient et volontaire de la nécessité d'utiliser des soins raisonnables, ce qui est susceptible de causer des blessures graves prévisibles ou des dommages aux personnes , la propriété, ou les deux". Si un client n'agit pas sur un avertissement de confirmation de Payee, alors cela pourrait contribuer à un argument qu'ils ont été grossièrement négligent, mais il ne serait pas en soi suffisant. Par exemple, les effets de la fatigue d'avertissement, l'état d'esprit du client et la sophistication du criminel pourraient montrer que, néanmoins, le client a agi raisonnablement.

En général, si la fraude est causée par des banques ou d'autres institutions qui ne relèvent pas de leur devoir de diligence de l'empêcher, alors de nouvelles mesures de sécurité qui sont exploitées pour transférer la responsabilité aux victimes aggraveront la situation, et non pas l'amélioreront. Les institutions ne sont pas plus susceptibles d'agir avec compétence et pourraient même être incitées à faire pire. Cela s’est produit avec Chip et PIN, semble susceptible de se produire pour la fraude de paiement push, et pourrait facilement se reproduire à l’avenir à moins que les régulateurs agissent rapidement.

Cet article, initialement publié le 5 août 2019, est paru pour la première fois sur Bentham’s Gaze.

Steven Murdoch est architecte de la sécurité de l'innovation au OneSpan Innovation Center de Cambridge. Il est chercheur à l'Université Royal Society au Groupe de recherche sur la sécurité de l'information du Département d'informatique de l'University College de Londres.