La fraude, le casse-tête inévitable des fintech
Le secteur bancaire est le terrain de jeux favori des fraudeurs. Carte bancaire, virement, crédit, chèque… les jouets ne manquent pas. Les institutions financières traditionnelles ne sont pas les seules cibles des fraudeurs. Les fintech aussi, notamment celles spécialisées dans le prêt aux particuliers. Plusieurs start-up ont accepté de raconter leurs expériences au JDN. Premier fait marquant : les tous premiers cas de fraude. "Cela arrive très vite. Tous les fraudeurs se jettent sur les nouveaux services", affirme Michaël Diguet, CEO de Yelloan, une jeune société de prêt personnel qui a développé le concept de garantie participative pour faciliter l'accès au crédit. "Quand on a lancé une nouvelle offre de crédit sur le marché, des gens se sont fait passer pour nous. Certains clients m'ont prévenu que de faux sites ont été créés. Dans ces cas-là, ils copient le site, font de fausses demandes de crédit et demandent des frais de dossiers", raconte le dirigeant, dont le taux de fraude est plus "élevé que la normale mais qui descend progressivement."
Les fintech doivent par conséquent se saisir du sujet dès le début de leur activité. "A notre lancement commercial fin 2011, nous avions recruté un vrai expert de la fraude. Puis, nous avons rapidement embauché des analystes qui venaient d'établissement de crédit", raconte Thomas Beylot, cofondateur et chief product & brand officer chez Younited Credit, spécialiste du crédit à la consommation en ligne. Même stratégie du côté de Finfrog, une fintech qui propose des crédits entre 200 et 600 euros. "Dès le départ, nous avons consulté des experts et mis en place des procédés et méthodes d'anticipation de la fraude", confie Riadh Alimi, CEO de Finfrog. "Nous avons fait un audit de sécurité avant le lancement grand public du site", dévoile de son côté Matthieu Sénéchal, cofondateur de la plateforme de distribution de produits financiers Mieuxplacer.com
Des réseaux en bande organisée
Mais la meilleure anticipation du monde ne suffit pas à contrer les fraudes. Malgré la vigilance des fintech interrogées, les fraudes se suivent mais ne se ressemblent pas. De la fraude "malhonnête" qui consiste à truquer des fiches de paie à la fraude d'identité (cartes d'identité ou passeports volés) en passant par la création de faux sites, toutes les méthodes sont bonnes pour tenter de d'obtenir un crédit. Certaines plus originales ont également été détectées par les fintech françaises. "Il y a quelques années, on avait demandé à des internautes de laisser des avis sur une plateforme indépendante. Des fraudeurs se sont fait passer pour nous et ont laissé un numéro de téléphone pour que les gens les appellent pour contracter un crédit", se souvient Thomas Beylot. "On a également repéré des profils Facebook et LinkedIn avec des photos de Charles Egly (un des cofondateurs de Younited Credit, ndlr) qui contactent des personnes pour leur demander de faire un crédit", complète-t-il.
Les fraudes, plus imaginatives soient-elles, sont soit l'œuvre de personnes isolées ou de vastes réseaux organisés spécialisés dans le vol d'identité. "Il existe des mafias avec des plateaux entiers de personnes", confirme Michaël Diguet. Ces réseaux sont particulièrement appréhendés par les fintech. "Nous avons eu par exemple des cas de réseaux qui se sont fait passer pour des courtiers qui travaillaient avec nous. Ils récupéraient ainsi des documents de personnes qui souhaitaient faire des crédits et s'en servaient pour eux-mêmes", illustre Romain Mazoué, chief risk & data officer chez Younited Credit.
"Quand vous vous lancez dans un nouveau pays, les fraudeurs pensent que vous êtes moins prêt"
La fraude dépasse les frontières. Younited Credit qui est présent dans six pays (France, Italie, Espagne, Autriche, Allemagne et Portugal) en a fait les frais. "Quand vous vous lancez dans un nouveau pays, vous êtes un nouvel entrant sur le marché. Du coup, les fraudeurs pensent que vous êtes moins prêt. Ils pensent que vous testez moins de chose", expose Romain Mazoué. "Nous avons eu beaucoup de fraudes en Italie par exemple. Après, il est difficile de comparer chaque pays car ça dépend de plusieurs paramètres dont le produit", explique Thomas Beylot. Younited Credit, comme ses confrères, ne communiquent pas sur le coût que représente la fraude. "Quand on octroie un crédit à tort dans le cas d'un fraudeur malhonnête, on ne perd pas forcément le crédit mais dans le cas d'une usurpation d'identité, on peut perdre tout le montant du crédit", justifie Romain Mazoué.
Du machine learning à l'API
Pour lutter contre la fraude, chaque fintech a sa recette. Pour Yelloan, rien de bien compliqué puisque la start-up s'est associée aux banques dès le début de son activité. Autrement dit, les banques partenaires de Yelloan portent le risque et s'occupent donc des problématiques de fraude (et ont leurs propres outils). Mais rien n'empêche Yelloan de creuser le sujet. "Nous avons des algorithmes pour détecter les fausses garanties et les faux comptes pour les faux garants", révèle Michaël Diguet. "Nous avons aussi testé des outils anti-fraude que nous suggérons aux banques partenaires. Enfin, nous avons construit un score de garantie efficace. C'est un score de fraude à titre expérimental car on ne peut pas réglementairement le faire. Avec le score, on va chercher la donnée directement dans la banque. Cela va révolutionner la lutte contre la fraude. Nous espérons le vendre un jour à nos partenaires bancaires", confie le dirigeant de la fintech.
Chez Younited Credit, la problématique est différente puisque les prêts accordés émanent de fonds privés et non de banques partenaires. Le fintech a donc dû développer des outils maison. "Nous avons fait des progrès sur notre base de données interne pour mieux identifier les profils de fraudeur. On combine le score et le machine learning", résume Thomas Beylot. "Depuis un an, nous travaillons avec d'autres acteurs sur une technologie d'intelligence artificielle de pièces transmises pour le dossier. Par exemple, la machine reconnait si une pièce d'identité est fausse ou non et quand elle a une suspicion, elle nous prévient. Cela fait baisser la fraude de manière significative", assure le dirigeant.
"La fraude évolue, c'est un travail permanent d'assurer la défense du service"
De plus, Younited Credit travaille avec un agrégateur sur du scraping de données Concrètement, l'outil collecte directement les données sur l'interface bancaire du consommateur au lieu de demander un relevé de compte, qui peut être facilement falsifiable. "C'est une information pure sans retraitement. Avec l'API (que permettra la directive sur les données de paiement, DSP2, ndlr), ce sera plus rapide et plus sécurisé", affirme Roumain Mouzé.
De son côté, Mieuxplacer.com travaille avec Greenpoint, spécialiste de l'expérience client et de l'externalisation des processus métier, pour vérifier si la pièce d'identité du client est valide et que la personne n'est pas sur la liste des personnes sensibles", explique Matthieu Sénéchal. "Nous avons un système de monitoring qui voit tout ce qui se passe. Pour les questions de fraude, il faut être très réactif. Et on ne peut pas se dire qu'une fois que c'est sécurisé c'est fini. La fraude évolue, c'est un travail permanent d'assurer la défense du service", argue Matthieu Sénéchal.
En effet, la fraude n'est pas prêt de disparaître. Les fraudeurs trouveront de nouvelles techniques. "Le cas des petites fraudes vont prendre moins d'importance petit à petit grâce notamment aux API mais les réseaux organisés, certes plus ponctuels, seront de plus en plus sophistiqués", atteste Romain Mouzé. "Il ne faut pas sous-estimer l'exposition à la fraude et ne pas sous-estimer la créativité des fraudeurs", conclut-il.