Florence Giuliano (SAS) "L'IA augmente la précision des modèles de détection de fraude utilisés par les banques"

Florence Giuliano, directrice des solutions pour la lutte contre la criminalité financière chez SAS, dresse un état des lieux des nouvelles typologies de fraudes et des innovations pour aider à leur détection.

Alors que les transactions se modernisent avec l'open banking, quelles nouvelles fraudes émergent ?

Le rapport de l'Observatoire de la sécurité des moyens de paiement, publié ce 10 septembre, fait état de la fraude sur les moyens de paiement scripturaux (chèques, cartes, virements, prélèvements…), pour un total de 1,195 milliard d'euros en 2023. La fraude à la carte, qui inclut les retraits, représente 42% des fraudes cette année, contre 39% en 2022. La fraude au virement qui avait explosé, multipliée par 3 en 5 ans en passant de 78 millions d'euros en 2017 à 313 millions en 2022, se stabilise cette année à 312 millions. Ce qui ressort également, c'est l'importance croissante des fraudes par manipulation, ou ingénierie sociale, qui représentent environ un tiers du montant total des fraudes, soit 379 millions d'euros. Ces fraudes touchent particulièrement les personnes physiques, notamment les jeunes adultes. Exemple typique : un étudiant révise tard et reçoit un SMS à 3 heures du matin qui prétend qu'il a reçu une contravention pour avoir grillé un feu rouge. Il rentre alors ses coordonnées bancaires sur un faux site, croyant qu'il s'agissait d'une démarche légitime.

Comment l'IA générative augmente le risque ces fraudes par manipulation ?

Elles deviennent de plus en plus sophistiquées grâce à des outils comme l'IA générative, qui permet de créer des emails sans fautes d'orthographe ou des deepfake très convaincants. Ce n'était pas le cas auparavant. Un ancien fraudeur expliquait comment il recherchait des informations sur ses cibles, élaborait des histoires crédibles et établissait une relation de confiance avant de manipuler ses victimes. Aujourd'hui, grâce à des technologies comme le deep voice et le deepfake, il est possible d'organiser des conférences vidéo où les participants croient interagir avec de vraies personnes, alors qu'il s'agit d'avatars numériques créés pour les tromper. 

La nouvelle réglementation met l'accent sur une meilleure communication entre les prestataires de services de paiement (PSP), en facilitant le partage d'informations sur les transactions suspectes et les typologies de fraude. L'idée est de centraliser ces données pour permettre aux banques et aux PSP de mieux réagir et d'apprendre pour prévenir plus efficacement les fraudes. C'est intéressant parce que selon où l'on se situe sur la chaine de paiement on ne voit pas les mêmes fraudes. On ne va pas se mentir, les organismes de paiement ou les banques ne sont pas toujours enclines à partager des données avec leurs confrères. Mais l'idée est très pertinente, il reste à voir à l'usage.

Comme la DSP2 l'avait déjà introduit, la DSP3 prévoit de renforcer l'authentification forte. Une bonne façon d'encore réduire la fraude par usurpation d'identité. Je ne peux pas dire si la DSP3 va avoir un aussi grand impact que la DSP2 sur les fraudes à la carte, mais il est certain que cela va favoriser le processus de détection.

Côté innovations technologiques, comment l'IA générative permet de mieux protéger, notamment en renforçant les modèles de machine learning développés par les banques ?

L'un des freins à l'efficacité des modèles de machine learning pour détecter des schémas de fraudes était la quantité de données d'entrainement. En effet, par définition, les fraudes sont des évènements rares donc les données aussi. Mais l'IA générative est très prometteuse parce qu'elle permet de créer des données synthétiques proches des données réelles, sans pour autant les répliquer. Chez SAS, nous avons utilisé cette technologie pour augmenter la taille des échantillons de données, ce qui a amélioré la précision des modèles.

L'IA générative facilite également la collaboration homme-machine et l'explicabilité des résultats pour les rendre plus compréhensifs. Elle est aussi utile dans l'automatisation des processus pour améliorer l'expérience utilisateur côté analyste. L'IA générative peut créer des systèmes où l'on pose des questions pour identifier une détection, cela évite des recherches d'informations qui prennent du temps alors que, dans le cadre de la fraude à la carte, il faut que le blocage du paiement se fasse en temps réel.

Aujourd'hui, seulement un tiers des modèles développés par les banques sont mis en production à l'échelle, notamment pour des problématiques de temps. L'IA générative va améliorer la qualité de la détection avec les données synthétiques et permettre d'aller plus vite pour la génération de code lors de la création des modèles. Mais dans la mise en production, on ne pourra pas se passer de l'humain.

Quels cas concrets d'innovations avez-vous implantés chez SAS ?

Nous utilisons plusieurs outils chez SAS. Le SAS Data Maker, par exemple, permet de générer rapidement des données synthétiques sans nécessiter de codage, ce qui aide à entraîner les modèles de machine learning pour mieux détecter les fraudes. Un autre outil est SAS Viya Copilot, qui utilise l'IA générative pour automatiser des tâches complexes, comme la validation des données ou la génération automatique de requêtes.