Démarrer  Nous contacter 

Présentation des fraudes ACH (Automated Clearing House) : comment ces escroqueries fonctionnent-elles et comment les éviter ?

Payments
Payments

Acceptez des paiements en ligne, en personne et dans le monde entier, grâce à une solution de paiement adaptée à toutes les entreprises, des jeunes pousses aux multinationales.

En savoir plus 
  1. Introduction
  2. Types de fraude ACH
    1. Types de transactions ACH frauduleuses
    2. Prise de contrôle du compte
    3. Stratégies courantes de fraude ACH
  3. Comment tracer les paiements ACH
    1. Recueillir des informations
    2. Contactez la banque
    3. Lancer le traçage
    4. Vérifier les résultats
  4. Responsabilité en cas de fraude ACH
    1. Prélèvements non autorisés
    2. Compromission des e-mails professionnels
    3. Piratage du compte
    4. Vol de données
    5. Escroqueries par hameçonnage
    6. Menaces internes
    7. Exploitation du décalage ACH
    8. Faux paiements
  5. Détection de la fraude ACH
    1. Surveillance des transactions
    2. Procédures de vérification
    3. Pratiques de connaissance du client (KYC)
    4. Partage d’informations
    5. Plan d’intervention en cas de fraude
  6. Prévention de la fraude ACH
  7. Premiers pas avec Stripe 

Les paiements ACH (Automated Clearing House) constituent des paiements électroniques qui transfèrent des fonds entre des comptes bancaires en utilisant le réseau ACH aux États-Unis. Ce système est géré par Nacha et facilite divers types de paiements, notamment les dépôts directs des employeurs, les paiements aux sous-traitants, les paiements automatiques de factures et les transferts entre particuliers.

Comme d’autres types de paiements électroniques, les transferts ACH sont vulnérables à la fraude. Trente pour cent des Organisations ont déclaré avoir été confrontées à ce type d’activité frauduleuse en 2022, contre 24 % en 2021. Ce guide explique ce que vous devez savoir sur la fraude ACH, y compris les méthodes de fraude courantes, la responsabilité en cas de fraude ACH, et la manière de prévenir et détecter la fraude ACH.

Que contient cet article?

  • Types de fraude ACH
  • Comment retracer les paiements ACH?
  • Responsabilité en cas de fraude ACH
  • Détection de la fraude ACH
  • Prévention de la fraude ACH

Types de fraude ACH

La fraude ACH comprend une variété de stratégies qui exploitent le processus de transferts de fonds électroniques au sein du réseau ACH. Voici les différents types de fraude ACH et les méthodes couramment utilisées pour perpétrer une fraude ACH.

Types de transactions ACH frauduleuses

La plupart des types de fraude ACH se produisent lorsque des acteurs frauduleux utilisent les débits ACH pour transférer des fonds vers des comptes qu’ils contrôlent ou auxquels ils ont accès. Pour ce faire, ils accèdent sans autorisation aux coordonnées bancaires de la victime ou manipulent les systèmes de paiement existants afin d’envoyer des fonds non autorisés vers leurs propres comptes. Les fraudeurs peuvent également employer des stratégies élaborées sur le long terme afin d’échapper à la détection, en s’immisçant progressivement dans les flux ou les systèmes financiers.

Débits non autorisés

Les acteurs frauduleux peuvent initier des débits bancaires non autorisés lorsqu’ils se procurent le numéro de compte bancaire et le numéro d’acheminement bancaire d’une victime, qu’ils peuvent utiliser pour retirer des fonds de ce compte. Ils peuvent acquérir ces détails par le biais d’attaques de hameçonnage, de violations de données ou en interceptant des documents physiques tels que des chèques.

  • Exécution : Une fois en possession des informations du compte, les acteurs frauduleux peuvent initier des débits ACH en se faisant passer pour le titulaire du compte ou d’autres entités légitimes habilitées à retirer des fonds. Ces transactions peuvent être de faible montant afin d’éviter toute détection.

  • Détection et prévention : Les clients et les banques peuvent utiliser des outils tels que les filtres et les blocages ACH qui permettent aux titulaires de comptes de déterminer les particuliers et les entités autorisés à effectuer des débits. Les clients doivent surveiller régulièrement leurs comptes afin de détecter toute transaction non autorisée.

Prise de contrôle du compte

Il y a prise de contrôle du compte lorsque des acteurs frauduleux obtiennent un accès non autorisé aux plateformes numériques d’un compte bancaire. Les cybercriminels peuvent utiliser des logiciels malveillants le hameçonnage ou l’enregistrement de frappes, pour voler les identifiants de connexion.

  • Exécution : À l’aide d’identifiants de connexion, l’acteur frauduleux peut se connecter à un compte bancaire et initier des transferts ACH vers d’autres comptes qu’il contrôle.

  • Détection et prévention : Réduisez le risque de prise de contrôle du compte en mettant en place l’authentification multifactorielle (AMF) pour accéder aux plateformes bancaires et des mesures de sécurité avancées telles que la biométrie comportementale, ainsi qu’en formant les employés aux pratiques de cybersécurité.

Chèque sans provision ACH

On parle de chèque sans provision ACH lorsque des acteurs frauduleux exploitent le décalage entre l’initiation du transfert ACH et le moment où les fonds sont débités ou crédités, créant ainsi un faux solde.

  • Exécution : Des acteurs frauduleux transfèrent des fonds entre des comptes qu’ils contrôlent dans différentes banques afin de gonfler artificiellement le solde avant que les transactions ne soient compensées, ce qui leur permet de retirer ou de dépenser de l’argent qui n’existe pas.

  • Détection et prévention : Les banques peuvent utiliser des outils pour analyser les comportements susceptibles d’indiquer la présence d’un chèque sans provision, tels que des transferts interbancaires fréquents de sommes importantes. Elles peuvent également instaurer une vérification renforcée pour le déblocage des fonds.

Faux paiements

Ce stratagème consiste à envoyer des factures frauduleuses à des entreprises ou à manipuler des ordres de paiement existantes afin de détourner les paiements vers des comptes contrôlés par des acteurs frauduleux.

  • Exécution : En se faisant passer pour des fournisseurs légitimes ou en créant des commandes entièrement fictives, les fraudeurs convainquent les entreprises d’effectuer des paiements ACH vers des comptes erronés.

  • Détection et prévention : Les entreprises devraient vérifier les modifications apportées aux coordonnées bancaires auprès de leurs partenaires habituels via un canal de communication sécurisé et distinct. Une formation régulière des employés à l’examen minutieux des factures et des requêtes de paiement peut prévenir ce type de fraude.

Stratégies courantes de fraude ACH

Les acteurs frauduleux peuvent utiliser les méthodes suivantes pour accéder aux données nécessaires à la réalisation d’une fraude ou convaincre des parties autorisées d’effectuer des débits sur leurs comptes. Les acteurs frauduleux peuvent également exploiter les faiblesses de différents systèmes (banque, courriel, stockage de données) pour orchestrer une attaque sur plusieurs fronts, ce qui complique la tâche des entreprises et des banques en matière de suivi et de prévention de la fraude.

Vol de données

Un acteur frauduleux intercepte ou vole des informations confidentielles des clients afin de les utiliser pour effectuer des transactions frauduleuses. Cela peut impliquer le piratage des bases de données d’une entreprise, d’un vol physique tel que le vol de documents, ou de techniques d’ingénierie sociale pour recueillir des données sensibles.

  • Exécution :Une fois que les acteurs frauduleux disposent de suffisamment de données, ils peuvent les utiliser pour initier des transactions ACH frauduleuses ou les vendre sur le marché noir.

  • Détection et prévention : Les entreprises peuvent se prémunir contre le vol de données grâce au chiffrement des données sensibles, l’application des pratiques rigoureuses en matière de sécurité informatique et les audits réguliers de sécurité. Les entreprises doivent veiller à ce que les documents physiques soient sauvegardés et supprimés en toute sécurité.

Escroqueries par hameçonnage

On parle d’hameçonnage lorsque des acteurs frauduleux trompent la cible en lui révélant des informations sensibles telles que des identifiants de connexion et des numéros de compte, généralement par le biais de faux courriels ou de sites web qui imitent des entités légitimes.

  • Exécution : Une fois les informations obtenues, les acteurs frauduleux peuvent les utiliser pour accéder à des comptes et effectuer des transactions non autorisées, notamment des débits ACH.

  • Détection et prévention : La sensibilisation des utilisateurs à la reconnaissance des tentatives d’hameçonnage et à la vérification de l’authenticité des requêtes d’informations sensibles peut réduire le risque. Les entreprises devraient également envisager de mettre en place des filtres de courriel et des protocoles de sécurité afin de détecter et bloquer les courriels d’hameçonnage.

Compromission des courriels professionnels (BEC)

Dans cette escroquerie sophistiquée, les acteurs frauduleux utilisent des stratégies d’hameçonnage pour se faire passer pour des dirigeants d’entreprise ou des fournisseurs.

  • Exécution :Des acteurs frauduleux peuvent falsifier ou intercepter des courriels dans lesquels ils demandent au personnel financier de modifier les informations relatives aux comptes pour les paiements ACH, de rediriger ces paiements vers des comptes qu’ils contrôlent, ou de leur demander d’initier des transferts vers des comptes frauduleux.

  • Détection et prévention : Les procédures de vérification, telles que la signature secondaire par un autre employé, peuvent contribuer à prévenir ce type de fraude. Les employés doivent être capables de reconnaître les tentatives d’hameçonnage et se méfier des modifications apportées aux informations de paiement qui leur sont communiquées uniquement par courriel.

Menaces internes

Il arrive que des particuliers au sein d’une organisation, tels que des employés ou des sous-traitants, abusent de leurs privilèges à des fins personnelles.

  • Exécution : Les personnes internes peuvent initier des transactions non autorisées ou modifier les informations de comptes pour détourner des fonds.

  • Détection et prévention : Des audits réguliers, la séparation des tâches et la surveillance des activités inhabituelles peuvent contribuer à atténuer ce risque. Il est également important d’instaurer une culture de la sécurité et un comportement éthique.

Comment tracer les paiements ACH

La traçabilité des paiements ACH peut aider à résoudre des problèmes telles que la non-réception de fonds, des erreurs ou des suspicions de fraude. Plus tôt vous lancez une recherche, plus il est facile de suivre les détails avec précision.

Recueillir des informations

Pour retracer un paiement ACH, commencez par recueillir toutes les informations pertinentes sur la transaction ACH, notamment le montant de la transaction, la date, le numéro de compte de la transaction ou le numéro de référence, ainsi que les numéros des comptes émetteur et destinataire et les noms des banques.

Contactez la banque

Contactez la banque où la transaction a été initiée (si vous êtes l’expéditeur) ou la banque au sein de laquelle les fonds ont été envoyés (si vous êtes le destinataire). Les appels téléphoniques peuvent être plus efficaces que les courriels pour les questions urgentes. Communiquez à la banque tous les détails de la transaction.

Lancer le traçage

Votre banque vous demandera probablement de remplir un formulaire de requête officielle de recherche. Elle enverra ce formulaire à travers le réseau ACH à l’autre banque impliquée dans la transaction et vérifiera si la transaction a été traitée de manière appropriée par chaque banque, le statut actuel de la transaction et où des divergences ou des erreurs se sont produites. Certaines banques peuvent prélever des frais pour les services de recherche.

Le traçage de ACH peut durer plusieurs jours ouvrables. Faites un suivi régulier pour vérifier l’état d’avancement de la recherche.

Vérifier les résultats

Une fois la traçabilité effectuée, les banques concernées fournissent un rapport qui détaille le parcours de la transaction et les éventuels problèmes rencontrés. En cas d’erreur, les banques peuvent la rectifier en retraitant la transaction ou en effectuant les ajustements nécessaires sur les soldes des comptes. Conservez une trace écrite de toutes les communications et des résultats de la traçabilité. Ces documents peuvent aider à résoudre les litiges et servir de preuves si une action en justice s’avère nécessaire.

Responsabilité en cas de fraude ACH

La question de la responsabilité dans la fraude ACH varie au cas par cas. Toutefois, les lois sont généralement favorables aux consommateurs, mais ont des exigences plus strictes pour les entreprises et les banques. Aux États-Unis, les lois comme l'Electronic Fund Transfer Act (EFTA) limitent considérablement la responsabilité des consommateurs en cas de transactions électroniques non autorisées, tant que les titulaires des comptes agissent dans les délais impartis. Les entreprises peuvent être tenues d’assumer le coût de la fraude si elles ne peuvent pas démontrer qu’elles ont mis en place des contrôles adéquats. Les banques peuvent quant à elles être tenues responsables si leurs procédures de sécurité sont jugées inadéquates ou si elles ne respectent pas les protocoles convenus.

La plupart du temps, la résolution de la responsabilité dans les scénarios de fraude ACH peut impliquer des négociations entre les parties concernées et peut nécessiter une intervention juridique pour déterminer l’entité fautive. La mise en œuvre de mesures préventives rigoureuses et le maintien de procédures claires et documentées pour le traitement des transactions électroniques peuvent aider les organisations à réduire les risques et à clarifier la responsabilité en cas de fraude.

Voici la manière dont la responsabilité est généralement attribuée dans les scénarios courants tels que les débits non autorisés, la compromission des e-mails professionnels ou le piratage de compte.

Prélèvements non autorisés

Les réglementations telles que l’EFTA aux États-Unis imposent à la banque du client de rembourser les transactions non autorisées, à condition qu’il les signale dans les 60 jours suivant la réception du relevé.

Compromission des e-mails professionnels

En cas de compromission des e-mails professionnelles, c’est l’entreprise dont l’employé a autorisé la transaction qui est en cause, surtout s’il a fait preuve de négligence et n’a pas respecté les procédures de sécurité internes.

Piratage du compte

Les clients ne sont généralement pas responsables des transactions frauduleuses résultant d’un piratage de compte s’ils en informent la banque en temps utile. Quant aux banques, elles peuvent être tenues responsables si elle n’ont pas mis en œuvre des mesures de sécurité suffisantes.

Vol de données

Lorsqu’un acteur malveillant tire parti d’une brèche de sécurité des données, l’entreprise peut être tenue responsable si elle a été négligente dans la façon dont elle a sécurisé ses données. La négligence peut se traduire par le non-respect des normes de sécurité du secteur ou l’absence de mesures préventives adéquates.

Escroqueries par hameçonnage

Si un client est victime d’une escroquerie par hameçonnage et signale des transactions non autorisées en temps opportun, la banque couvrira généralement les pertes. Si le client a fait preuve d’une négligence manifeste (en partageant par exemple son code PIN ou son mot de passe), il sera considéré comme partiellement ou totalement responsable des pertes.

Menaces internes

L’organisation où l’acteur malveillant exerce ses activités porte généralement la responsabilité de ces pertes, en particulier si des contrôles ou une surveillance inadéquats ont facilité la fraude. Dans certains cas, les banques peuvent intenter des poursuites contre l’auteur des faits.

Exploitation du décalage ACH

L’auteur des faits peut être tenu responsable en cas de fraude. Les banques peuvent également être tenues responsables si elles n’ont pas détecté et arrêté l’activité suspecte en raison de l’absence de systèmes de surveillance appropriés.

Faux paiements

L’entité qui n’a pas vérifié l’authenticité de la demande de paiement ou de la facture peut être tenue responsable, en particulier si elle n’a pas fait preuve de vigilance. Les banques ne sont généralement pas responsables si elles ont traité la transaction conformément aux instructions reçues.

Détection de la fraude ACH

La détection de la fraude ACH nécessite une surveillance, une vérification et un partage minutieux des informations. Voici ce que vous devez savoir.

Surveillance des transactions

Mettez en œuvre un logiciel spécialisé qui analyse en permanence vos transactions ACH par rapport à des références établies et à des modèles historiques. L’apprentissage automatique et l’intelligence artificielle peuvent apprendre le comportement de paiement typique de votre entreprise et signaler les transactions potentiellement suspectes en fonction des modèles complexes que les humains pourraient ne pas remarquer. Les éléments suivants peuvent constituer des signes de fraude potentielle.

  • Adresses IP ou appareils inhabituels utilisés lors des transactions

  • Écarts observés en termes de volume ou de montant des transactions par rapport aux moyennes historiques

  • Paiements accordés aux nouveaux bénéficiaires, en particulier ceux qui se trouvent dans des emplacements géographiques à haut risque

  • Heures de transaction irrégulières (au-delà des heures d’ouverture des entreprises)

  • Requêtes urgentes (par exemple, courriels ou appels qui exigent une action immédiate) qui incitent les entreprises à accélérer les paiements ou à transférer de l’argent sur des comptes inconnus.

  • Incohérences constatées sur les noms, numéros de compte ou d’autres informations du compte qui figurent sur une requête de paiement.

Procédures de vérification

  • Examen manuel des transactions à haut risque : Examinez en toute minutie les transactions signalées par vos outils de surveillance. Le personnel spécialisé doit vérifier les irrégularités dans les coordonnées du bénéficiaire, l’historique des paiements et toute communication connexe.

  • Audits ponctuels : Effectuez des audits aléatoires sur un sous-ensemble de transactions ACH. Même si vous ne découvrez aucune fraude, certains acteurs frauduleux pourraient être dissuadés s'ils savent qu'une entreprise examine attentivement les transactions à tout moment.

  • Analyse des retours ACH : Surveillez de près les retours effectués par ACH. Des taux de retour élevés peuvent indiquer des débits non autorisés ou des informations frauduleuses relatives aux bénéficiaires. Analysez les raisons des retours et recherchez des modèles.

Pratiques de connaissance du client (KYC)

  • Vérification du client : Avant d'initier des paiements récurrents ou d’ajouter de nouveaux bénéficiaires, procédez à une vérification minutieuse préalable. Vérifiez les adresses et la légitimité des entreprises et comparez-les aux listes de sanctions et aux bases de données sur la fraude.

  • Surveillance des relations : Vérifiez régulièrement les changements de comportement des bénéficiaires, leur style de communication ou la mise à jour de leurs informations bancaires qui pourraient indiquer qu’un compte a été compromis.

Partage d’informations

  • Collaboration avec la banque : entretenez une communication ouverte avec le service de prévention de la fraude de votre banque. Il peut vous avertir de l’apparition de mécanismes de fraude et collaborer avec vous dans le cadre des enquêtes.

  • Réseaux sectoriels : Rejoignez les associations sectorielles et les réseaux de prévention de la fraude. Le partage des informations relatives aux menaces et des bonnes pratiques permet à chacun de garder une longueur d’avance sur les acteurs frauduleux.

Plan d’intervention en cas de fraude

N’attendez pas qu’un incident survienne pour décider de l’action à mener. Concevez de manière proactive un plan qui comprend les étapes suivantes.

  • Qui contacter au sein de votre banque

  • Protocoles de rapport et d’enquête internes

  • Mesures visant à limiter les dommages (gel des comptes, modification des coordonnées d’identification, etc.)

  • Exigences relatives à l’intervention des services chargés du maintien de l’ordre

Prévention de la fraude ACH

La fraude ACH représente une menace majeure pour les entreprises, notamment en matière de perte de fonds et d’atteinte à la réputation. Voici comment renforcer vos systèmes de défenses et prévenir les tentatives de fraude ACH.

  • Authentification multifactorielle (AMF) : Appliquez l’authentification AMF pour toutes les connexions et les transactions financières. Exigez une étape de vérification supplémentaire, au-delà du simple nom d’utilisateur et du mot de passe. Cela réduit le risque d’accès non autorisé même si les identifiants de connexion sont compromis.

  • Paiements préautorisés : Ce système de vérification des débits ACH permet aux entreprises d’autoriser au préalable des bénéficiaires et des montants légitimes pour les débits ACH. Tout écart déclenche des alertes qui sont vérifiées avant le processus, ce qui permet d’éviter les retraits frauduleux.

  • Formation du personnel : Formez le personnel à reconnaître les tentatives de hameçonnage, les stratégies d’ingénierie sociale et les signaux d’alerte associés à la fraude ACH. Expliquez-leur les procédures à suivre pour traiter les transactions ACH et signaler toute activité suspecte.

  • Séparation des tâches : Mise en œuvre un système dans lequel différents employés s’occupent de tâches telles que l’initiation des paiements, l’approbation des transactions et le rapprochement des comptes. Cela réduit le risque de voir un seul employé manipuler le système à des fins frauduleuses.

  • Surveillance en temps réel : Utilisez des outils de surveillance des transactions en temps réel pour identifier les anomalies et les activités suspectes et les interrompre avant qu’elles ne soient traitées.

  • Procédures de rapprochement : Instaurez des procédures de rapprochement approfondies pour comparer les paiements attendus aux débits et crédits réels. Effectuez une vérification régulière des relevés bancaires et identifiez toute anomalie susceptible de révéler une activité frauduleuse.

  • Chiffrement des données : Veillez à ce que toutes les données sensibles, y compris les coordonnées sur les comptes et les comptes financiers, soient chiffrées au repos et en transit. Il est ainsi beaucoup plus difficile pour les acteurs frauduleux de voler des informations précieuses, même s’ils parviennent à pirater vos systèmes.

  • Contrôles d’accès :Mettez en place des contrôles d’accès rigoureux aux systèmes de traitement des données financières et des virements ACH. N’accordez l’accès qu’aux personnes qui en ont réellement besoin et appliquez des politiques rigoureuses en matière de mots de passe, que vous devez régulièrement modifier.

  • Services de prévention de la fraude : Envisagez de vous associer à des spécialistes de la prévention de la fraude qui proposent des services avancés de veille et de surveillance des menaces. Ces services peuvent fournir des couches de sécurité supplémentaires et une expertise dans la détection des tentatives de fraude sophistiquées.

  • Participation au réseau ACH : Participez aux initiatives de réduction des risques du réseau ACH. Ces initiatives apportent des ressources et des outils permettant de repérer les nouvelles menaces et les bonnes pratiques pour lutter contre la fraude ACH.

Le contenu de cet article est fourni uniquement à des fins informatives et pédagogiques. Il ne saurait constituer un conseil juridique ou fiscal. Stripe ne garantit pas l'exactitude, l'exhaustivité, la pertinence, ni l'actualité des informations contenues dans cet article. Nous vous conseillons de consulter un avocat compétent ou un comptable agréé dans le ou les territoires concernés pour obtenir des conseils adaptés à votre situation particulière.

Plus d'articles

Envie de vous lancer ?

Créez un compte et commencez à accepter des paiements rapidement, sans avoir à signer de contrat ni à fournir vos coordonnées bancaires. N'hésitez pas à nous contacter pour discuter de solutions personnalisées pour votre entreprise.
Payments

Payments

Acceptez des paiements en ligne, en personne et dans le monde entier, grâce à une solution de paiement adaptée à toutes les entreprises.

Documentation Payments

Trouvez un guide qui vous aidera à intégrer les API de paiement de Stripe.