La détection de la fraude dans les services financiers a toujours consisté à mettre en correspondance des schémas. Pendant des décennies, les seuils statiques et les listes de blocage ont bien fonctionné, jusqu’à ce que les criminels parviennent à les contourner. L’intelligence artificielle (IA) change la donne. Au lieu de comparer les transactions à des schémas malveillants connus, les systèmes modernes établissent une base de référence comportementale pour chaque compte et signalent tout ce qui n’y correspond pas. Cela a des conséquences sur la façon dont la fraude est détectée, sur la fréquence à laquelle les transactions légitimes sont bloquées, et sur l’ampleur de l’infrastructure sous-jacente que les entreprises doivent mettre en place elles-mêmes.
Nous allons voir ci-dessous comment fonctionne l’IA pour la détection de la fraude, à quel stade du tunnel de paiement elle est mise en œuvre, ainsi que les considérations en matière de conformité et de sécurité liées au déploiement de modèles de machine learning (ML) dans un secteur réglementé.
Points clés
La détection de la fraude par IA fonctionne en modélisant les comportements normaux et en signalant les anomalies, plutôt qu’en comparant les transactions à des règles prédéfinies.
Pour de nombreuses entreprises, les faux refus sont aussi coûteux que la fraude elle-même. Les modèles comportementaux permettent de les réduire en apportant une dimension contextuelle aux décisions que les systèmes basés sur des règles traitent de manière binaire.
Le déploiement de l’IA pour la détection de la fraude introduit des obligations en matière d’explicabilité et de partialité auxquelles les moteurs de règles ne sont pas soumis. Les systèmes de production doivent s’appuyer à la fois sur des solutions techniques et sur des processus d’audit continus pour rester en conformité.
Pourquoi la détection de la fraude dans les services financiers change-t-elle ?
Pendant des années, la détection de la fraude s’est appuyée sur des règles. Si une transaction correspondait à un schéma prédéfini, se produisait trop fréquemment, dépassait une certaine valeur ou provenait d’un emplacement signalé, elle était bloquée pour vérification. Le problème est que les criminels ont appris ces règles et se sont adaptés. Ils ont limité les transactions juste en dessous des seuils, fragmenté les transferts entre plusieurs comptes intermédiaires et créé des identités synthétiques qui ne déclenchaient aucune des règles existantes. En d’autres termes, une fois que les pirates ont compris le système, ils ont appris à opérer juste en dehors de celui-ci.
En parallèle, les paiements numériques ont explosé. Les nouveaux canaux de paiement, les wallets et le commerce transfrontalier ont considérablement augmenté le volume des transactions et les opportunités de fraude. Les pertes mondiales liées à la fraude à la carte bancaire ont dépassé 33,8 milliards de dollars en 2023. La surface d’attaque a augmenté beaucoup plus vite que ne le permettaient les systèmes basés sur des règles. Dans un système basé sur des règles, chaque nouveau mécanisme de fraude nécessite une nouvelle règle, et chaque nouvelle règle nécessite une mise à jour manuelle du système. Cette rigidité crée un problème de maintenance permanent.
Le machine learning (ML) change la donne. Les modèles de ML entraînés sur des données comportementales et transactionnelles peuvent détecter des anomalies subtiles ou des activités qui ne correspondent pas au comportement typique d’un client ou à des tendances plus générales du réseau. Plus important encore, ils peuvent signaler une activité suspecte même si elle ne correspond pas à une signature de fraude connue.
Comment l’IA pour la détection de la fraude fonctionne-t-elle dans le secteur des finances ?
Les systèmes basés sur des règles vérifient si une transaction correspond à un schéma malveillant connu. Les systèmes d’IA vérifient si une transaction correspond à ce à quoi on pourrait s’attendre de la part de ce compte à ce moment-là, compte tenu de tout ce que l’on sait du comportement de ce client.
Voici comment l’IA prend en charge la détection de la fraude.
Modélisation comportementale
Au lieu de s’appuyer sur des seuils fixes, les systèmes d’IA établissent des profils de référence de l’activité normale pour chaque compte. Ils apprennent à reconnaître des schémas, tels que les catégories de commerçants habituelles, les montants typiques des transactions, les appareils familiers ou les emplacements. Une transaction qui semble normale en soi peut tout de même être signalée si elle s’écarte du profil de référence comportemental.
Adaptation constante
La fraude évolue rapidement, et les règles statiques ont souvent du mal à suivre. Les modèles de ML, en revanche, sont réentraînés à partir de nouvelles données. Ils s’appuient à la fois sur les cas de fraudes confirmés et sur les cas précédemment manqués, ce qui permet aux systèmes de détection de s’adapter à mesure que les mécanismes de fraude évoluent.
Visibilité au niveau du réseau
Les grands prestataires de paiement ont un avantage, car ils peuvent entraîner des modèles sur de vastes ensembles de données. Stripe Radar, par exemple, analyse des centaines de signaux par transaction (tels que les informations de carte, l’empreinte d’identification des appareils, l’historique des achats ou les schémas comportementaux) et génère un score de risque en quelques millisecondes. Étant donné que Radar apprend des paiements effectués par des millions d’entreprises à travers le monde chaque année, il peut attribuer des scores de risque à chaque paiement et bloquer automatiquement les paiements à haut risque.
Décisions en temps réel
La détection de la fraude doit intervenir pendant la fenêtre d’autorisation de la carte, qui ne dure généralement que quelques millisecondes. Les systèmes d’IA peuvent évaluer des centaines de signaux pendant ce laps de temps et produire instantanément un score de risque, ce qui permet à l’entreprise d’approuver la transaction, de la bloquer ou de déclencher une authentification supplémentaire sans ralentir le tunnel de paiement.
Quelles sont les techniques d’IA utilisées pour la détection de la fraude dans le secteur des finances ?
Les systèmes de détection de la fraude s’appuient rarement sur une seule technique d’IA. Ils combinent plutôt plusieurs approches, chacune étant conçue pour détecter différents types de fraude.
Ces techniques permettent d’optimiser la détection de la fraude.
Apprentissage supervisé
Les modèles supervisés sont entraînés à partir de données de transactions historiques étiquetées comme frauduleuses ou légitimes. Ces modèles apprennent à reconnaître les schémas qui permettent de distinguer les deux. Les méthodes de gradient boosting, telles que XGBoost, sont particulièrement efficaces sur les données de transactions structurées et fournissent des scores d’importance des fonctionnalités interprétables. Leur limite réside dans le fait qu’elles détectent principalement des mécanismes de fraude similaires à ceux déjà observés dans les données d’entraînement.
Apprentissage non supervisé
Les techniques non supervisées permettent de détecter des fraudes inédites. Les algorithmes de clustering et les auto-encodeurs identifient les transactions qui ne correspondent pas aux schémas établis et mettent en évidence les anomalies, même lorsqu’aucune étiquette de fraude n’existe encore. Cela les rend particulièrement utiles pour identifier rapidement les nouvelles stratégies d’attaque.
Analyse de graphes
La fraude se produit souvent au sein de réseaux, plutôt que sous forme d’événements isolés. Des identités synthétiques peuvent partager des adresses ou des appareils, et des comptes coordonnés peuvent interagir avec les mêmes entreprises avant de devenir défaillants. Les modèles basés sur des graphes, notamment les réseaux neuronaux de graphes, analysent les liens entre les entités pour révéler ces structures cachées.
Biométrie comportementale
Certains systèmes analysent également la façon dont les utilisateurs interagissent avec leurs appareils. Le rythme de frappe, les schémas de balayage et les comportements d’utilisation des appareils créent une signature comportementale difficile à reproduire pour un pirate informatique, même avec des identifiants volés.
Grands modèles de langage
Les grands modèles de langage (LLM) commencent à faire leur apparition dans les opérations antifraude, principalement pour analyser des données non structurées, telles que les tickets du service de support, les explications relatives aux litiges ou les communications contenant des indices que les modèles traditionnels ne peuvent pas traiter facilement.
Comment la détection de la fraude par IA s’applique-t-elle aux paiements, aux transactions et à la gestion des risques ?
Les systèmes d’IA affinent en permanence leur compréhension de ce qui est normal, puis s’appuient sur ce contexte pour prendre des décisions concernant le comportement de paiement du client. Voici où la détection de la fraude par IA est déployée dans différents types d’activités financières.
Autorisation des transactions en temps réel
Les réseaux de cartes et les prestataires de paiement disposent de quelques millisecondes pour décider d’approuver ou non une transaction. Les modèles doivent trouver le juste équilibre entre vitesse et précision. Stripe Radar effectue une analyse complète des signaux dans la fenêtre d’autorisation et génère un score de risque qui peut déclencher l’authentification 3D Secure (3DS), bloquer complètement une transaction ou l’autoriser, selon les règles configurées par l’entreprise.
Surveillance post-transaction
Certains types de fraude ne deviennent visibles que sur plusieurs transactions. C’est là que la détection du piratage de compte, la fraude interne et les schémas multi-transactions ont tendance à se manifester. Les banques et les prestataires de paiement effectuent des analyses par lots pour détecter les cas de piratage de compte ou la fraude liée aux paiements Push autorisés (APP). Il s’agit de scénarios qui peuvent sembler légitimes au niveau de chaque transaction, mais qui révèlent un comportement suspect au fil du temps.
Onboarding et vérification d’identité
L’IA est également utilisée plus tôt dans le cycle de vie du client. Les systèmes de vérification de documents analysent les pièces d’identité, effectuent des tests de détection du vivant lors de la vérification d’identité et recoupent les signaux relatifs aux appareils et aux comportements pour détecter les identités synthétiques avant l’ouverture de comptes.
Gestion des risques liés au portefeuille
L’IA alimente la prise de décision en matière de crédit, les contrôles de vélocité sur les portefeuilles de comptes et les calculs d’exposition en temps réel. Une entreprise procédant à l’évaluation des risques pour des conditions de paiement à 30 jours nets peut utiliser des modèles de ML pour déterminer si le comportement de paiement d’un nouveau client ressemble à celui de comptes qui ont par la suite fait défaut.
Quel est l’impact de la détection de la fraude par IA dans le secteur des finances sur l’expérience client ?
Chaque contrôle antifraude est susceptible de perturber un client honnête. Empêcher les fraudeurs d’agir sans pénaliser les clients honnêtes constitue l’un des plus grands défis du secteur des paiements. Les anciens systèmes basés sur des règles étaient sujets aux faux positifs : les clients voyageant à l’étranger, effectuant des achats dans un nouveau commerce ou dépensant des sommes anormalement élevées, voyaient souvent leurs transactions refusées.
Les modèles d’IA peuvent évaluer le contexte d’une transaction plutôt que de se limiter à ses seules caractéristiques. Un achat d’équipement de plein air d’une valeur de 600 € effectué au Portugal par un client américain pourrait paraître suspect aux yeux de systèmes basés sur des règles statiques, mais un modèle comportemental qui sait que ce client voyage fréquemment et effectue régulièrement des achats chez des commerçants spécialisés dans le plein air pourrait l’approuver en toute confiance. Plutôt que d’appliquer la même étape de vérification à chaque transaction, les systèmes antifraude modernes ne la mettent en œuvre que si le score de risque le justifie. Stripe Radar peut déclencher sélectivement la 3DS et demander une authentification supplémentaire pour les transactions dont le score dépasse un certain seuil de risque. Les transactions à faible risque ne sont ainsi pas interrompues.
Cependant, les systèmes d’IA ne sont pas infaillibles. Les modèles entraînés à partir de données historiques peuvent initialement passer à côté de nouvelles stratégies d’attaque jusqu’à ce qu’ils disposent de suffisamment d’exemples pour les intégrer. C’est pourquoi les analystes de la fraude et les processus de vérification manuelle restent essentiels pour enquêter sur les cas particuliers et les nouveaux mécanismes de fraude.
Qu’implique la détection de la fraude basée sur l’IA pour la sécurité et la conformité dans le secteur des finances ?
Le déploiement de l’IA pour la détection de la fraude introduit un ensemble différent de considérations en matière de conformité. Il est important de tenir compte de ce qui suit avant la mise en œuvre.
Explicabilité
Les institutions financières doivent être en mesure d’expliquer pourquoi une transaction a été bloquée ou signalée. De nombreux systèmes de production y parviennent grâce à des méthodes d’interprétabilité, telles que les SHapley Additive exPlanations (SHAP), qui décomposent le résultat d’un modèle en fonction de la contribution de caractéristiques individuelles. Même si le modèle sous-jacent est complexe, les enquêteurs peuvent toujours voir les signaux qui ont influencé la décision.
Risque de biais
Les modèles de ML s’appuient sur des données historiques, y compris sur les biais présents dans ces données. Si certaines zones géographiques, certains types d’entreprises ou certaines données démographiques de clients ont été signalés de manière disproportionnée par le passé, les modèles risquent de reproduire ces schémas. Des audits réguliers des taux de faux positifs et de faux négatifs entre différents groupes constituent une garantie de la qualité des modèles.
Pression des adversaires
Les fraudeurs testent les systèmes de détection. S’ils identifient des caractéristiques fortement pondérées par un modèle, ils peuvent tenter de concevoir des transactions qui semblent présenter un faible risque. Les mesures de défense comprennent les ensembles de modèles, l’offuscation des caractéristiques et la surveillance des changements inhabituels dans les données d’entrée qui indiquent des tentatives de test ou de contournement.
Répartition des responsabilités
Toute entreprise utilisant Stripe constatera qu’une grande partie de cette infrastructure est invisible. Stripe gère la maintenance des modèles, le réentraînement de ces derniers, et la sécurité de l’infrastructure de détection elle-même. Les entreprises contrôlent la couche de configuration, qu’il s’agisse de définir des règles Radar personnalisées, d’ajuster les seuils de risque ou de décider quand déclencher une authentification supplémentaire.
La création et la maintenance de modèles demandent beaucoup de ressources. C’est pourquoi de nombreuses entreprises s’appuient sur des outils tels que Stripe Radar, qui disposent de systèmes de détection de la fraude bien établis.
Comment Stripe Radar peut-il vous aider ?
Stripe Radar s’appuie sur des modèles d’IA entraînés à partir des données issues du réseau mondial de Stripe pour détecter et prévenir la fraude. Ces modèles sont continuellement mis à jour pour tenir compte des nouvelles tendances, ce qui permet de protéger votre entreprise face à l’évolution des risques.
Stripe propose également Radar for Fraud Teams, qui permet aux utilisateurs d’ajouter des règles personnalisées adaptées à des scénarios spécifiques et d’accéder à des analyses avancées sur la fraude.
Radar peut aider votre entreprise à :
Prévenir les pertes dues à la fraude : Stripe traite plus de 1,9 milliard de paiements chaque année. À ce niveau d’échelle, Radar peut détecter et prévenir la fraude avec une précision inégalée, ce qui vous permet de limiter les pertes financières.
Augmenter les revenus : les modèles d’IA de Radar sont notamment entraînés avec des données réelles, provenant de litiges, d’informations clients ou encore de la navigation. Ils permettent à Radar d’identifier les transactions à risque tout en réduisant le nombre de faux positifs, augmentant ainsi vos revenus.
Gagner du temps : Radar est intégré à Stripe et ne nécessite aucune ligne de code pour être configuré. Vous pouvez suivre vos performances en matière de fraude, définir des règles et accéder aux analyses depuis une plateforme unique, pour plus d’efficacité.
En savoir plus sur Stripe Radar, ou démarrer dès aujourd’hui.
Le contenu de cet article est fourni à des fins informatives et pédagogiques uniquement. Il ne saurait constituer un conseil juridique ou fiscal. Stripe ne garantit pas l'exactitude, l'exhaustivité, la pertinence, ni l'actualité des informations contenues dans cet article. Nous vous conseillons de solliciter l'avis d'un avocat compétent ou d'un comptable agréé dans le ou les territoires concernés pour obtenir des conseils adaptés à votre situation.