Quatre points clés à retenir concernant les nouvelles menaces de fraude et d'escroquerie dans le domaine des services bancaires et des prêts destinés aux petites entreprises

Les petites et moyennes entreprises (PME) sont souvent considérées comme le pilier de l’économie américaine. Bien que les définitions de ce qui constitue une PME varient, le Pew Research Center estime que 99,9 % des entreprises aux États-Unis pourraient être considérées comme des PME. Bien que bon nombre de ces 33 millions de petites entreprises soient des « solopreneurs » (ou entreprises individuelles), dans la mesure où elles n’emploient pas de salariés, les quelque 6 millions de PME disposant d’un personnel salarié représentent au total près de la moitié (46 %) des emplois du secteur privé aux États-Unis.

Les PME, tout comme les particuliers, sont souvent la cible de fraudes et d'escroqueries. En effet, le risque pour les PME – et, par extension, pour leurs prestataires de services financiers – est sans doute plus élevé, car les montants en jeu peuvent être nettement plus importants et parce que les PME ne bénéficient pas des mêmes protections juridiques et réglementaires que les particuliers.

Notre récente session « Expert Talks », disponible à la demande, a abordé les nouvelles menaces de fraude et d'escroquerie dans le secteur bancaire et du crédit destiné aux PME, en s'appuyant sur les analyses et les commentaires d'experts et de professionnels du secteur :

Bien qu’il soit courant de regrouper des dizaines de millions d’entreprises sous l’appellation « PME », cela occulte la grande diversité qui caractérise ce secteur ainsi que les différents types de menaces auxquelles elles peuvent être confrontées. Les entreprises, souvent considérées comme plus sophistiquées que les particuliers, bénéficient de protections juridiques et réglementaires nettement moins importantes. Par exemple, des lois telles que la « Truth in Lending Act », la « Fair Credit Reporting Act », la « Gramm-Leach-Bliley Act » et la « Electronic Funds Transfer Act » ne s'appliquent qu'aux consommateurs, et non aux entreprises. Les PME, qui peuvent revêtir des formes juridiques telles qu'une société à responsabilité limitée (LLC), une société en nom collectif ou une société par actions, comme une « S corp » ou une « C corp », ne bénéficient pas de ces protections, même lorsque leur taille, leur champ d'activité et leur niveau de sophistication peuvent se rapprocher davantage de ceux des consommateurs.

Comme l'ont souligné les intervenants, les schémas de fraude au sein des très petites entreprises sont susceptibles de refléter ceux observés chez les consommateurs, notamment en ce qui concerne la vulnérabilité aux techniques d'ingénierie sociale. Les très petites entreprises sont également plus susceptibles de ne pas disposer des contrôles en place dans les grandes entreprises, tels que le double pouvoir de signature et des fonctions comme celle de contrôleur de gestion ou d'audit interne, ce qui peut les rendre plus vulnérables.

Une différence notable par rapport aux caractéristiques et au comportement des consommateurs réside dans le rythme relativement rapide de création de nouvelles entreprises : en 2023, environ 5,5 millions de nouvelles entreprises ont vu le jour. Et quelle est l’une des premières démarches les plus courantes pour une entreprise nouvellement créée ? L’ouverture d’un compte bancaire. Or, le manque relatif de données disponibles sur les entreprises nouvellement créées peut compliquer leur intégration.

C'est un lieu commun de dire que la lutte contre la fraude et les escroqueries s'apparente au jeu du « tape-la-taupe ». Les malfaiteurs cherchent sans cesse à repérer les failles dans les systèmes des prestataires financiers et d'autres acteurs et, une fois celles-ci identifiées, ils les exploitent sans pitié jusqu'à ce que ces attaques soient détectées et que la faille sous-jacente soit corrigée.

Dans le secteur des PME, selon les intervenants, la prise de contrôle de compte et la fraude par virement bancaire restent des menaces courantes, ciblant souvent les entreprises effectuant des transactions d’un montant élevé. Les escroqueries par intermédiaire, dans lesquelles des malfaiteurs interceptent les communications liées à une transaction légitime, sont également en hausse. Dans ces scénarios, l’intermédiaire se fait généralement passer pour une partie ou un prestataire de services impliqué dans la transaction, ce qui entraîne le détournement des paiements vers son propre compte plutôt que vers la destination prévue.

Les fraudes commerciales par usurpation d’identité et les fraudes synthétiques sont également en hausse et ont été particulièrement répandues pendant la pandémie de COVID-19, les programmes d’aide gouvernementaux tels que le « Paycheck Protection Program » (PPP) offrant aux fraudeurs des cibles lucratives. On observe également une inquiétude croissante concernant les fraudes de type « bust out », dans lesquelles des entités prennent le temps de se constituer une image de marque paraissant légitime afin de solliciter un crédit, puis disparaissent avec les fonds. Les outils et plateformes numériques ont rendu l’enregistrement d’une entreprise de plus en plus rapide, facile et relativement peu coûteux, ce qui permet aux fraudeurs de créer rapidement de nouvelles entités pour mener à bien ce type d’escroqueries. Enfin, l’essor des cryptomonnaies a contribué à une recrudescence des techniques d’ingénierie sociale telles que le « pig butchering », les attaques par ransomware et d’autres types de fraudes et d’escroqueries qui exploitent les failles des contrôles liés aux cryptomonnaies.

Les partenariats entre banques et fintechs ont donné naissance à une nouvelle génération de produits bancaires et de crédit innovants, mais ces modèles opérationnels compliquent également l’identification et la gestion des risques de fraude et d’escroquerie, ont expliqué les intervenants. Les banques engagées dans des relations de partenariat, parfois appelées « banking as a service » (BaaS), doivent considérer le BaaS comme une activité principale, plutôt que comme une « expérience » ou un test, et réaliser les investissements nécessaires pour gérer ces unités opérationnelles de manière sûre et saine.

Le cadre de gestion des risques et de la conformité, ainsi que les politiques, procédures, systèmes et effectifs correspondants, sont susceptibles de présenter des différences notables entre un modèle de partenariat entre une banque et une fintech et une banque traditionnelle desservant directement une clientèle de PME. Les partenariats avec des fintechs en contact direct avec la clientèle doivent intégrer leurs processus et opérations de conformité à ceux de leurs partenaires bancaires. Mais surtout, les banques et leurs partenaires fintech doivent comprendre leurs objectifs respectifs et parvenir à un alignement lorsqu’il s’agit de concilier croissance et pratiques sûres d’intégration des clients et d’octroi de crédits. De plus en plus, tant les fintechs que les banques partenaires considèrent que la conformité, lorsqu’elle est bien menée et dotée de ressources suffisantes, peut constituer un avantage concurrentiel.

En matière de risques dans le secteur des PME, l’intelligence artificielle constitue à la fois un atout et une menace. Entre les mains d’acteurs malveillants, les outils d’IA générative, qui permettent de créer rapidement et à grande échelle des images et des documents d’apparence réaliste, peuvent contribuer à amplifier considérablement les tactiques de fraude et d’escroquerie. Compte tenu du manque de données facilement accessibles sur les petites entreprises, il n’est pas rare que les banques et les fintechs qui les accompagnent s’appuient encore sur des documents téléchargés manuellement, tels que les actes constitutifs, les relevés bancaires, les informations sur les bénéficiaires effectifs, etc. Or, les outils d’IA générative ont rendu la création de faux documents d’apparence authentique nettement plus facile et moins coûteuse, ce qui accroît le risque pour les institutions qui continuent de s’appuyer sur des vérifications manuelles des documents.

D’un autre côté, l’IA est rapidement déployée pour faciliter les processus d’intégration des clients et de vérification préalable au sein des PME. Nos intervenants ont expliqué comment l’IA peut être utilisée pour analyser de vastes ensembles de données, y compris des données non structurées telles que du texte, afin d’identifier des schémas dont la reconnaissance nécessiterait un effort manuel considérable. Les outils d’IA peuvent également être mis à profit pour lutter contre les acteurs malveillants utilisant de faux documents, en détectant les enregistrements générés de manière synthétique, notamment les fausses pièces d’identité et les fausses factures.

Le paysage de la fraude et des escroqueries visant les PME et les institutions financières qui les accompagnent est complexe et évolue rapidement. Lorsqu’il s’agit d’agir rapidement, les malfaiteurs ont, à bien des égards, l’avantage, car ils ne sont pas soumis aux mêmes contraintes juridiques, réglementaires et organisationnelles que les entreprises légitimes. Cela est particulièrement évident dans le domaine de l’IA, où les fraudeurs et les escrocs exploitent rapidement les outils d’IA pour améliorer et intensifier leurs activités, même si le secteur continue de riposter en développant et en adoptant de manière responsable ses propres technologies et capacités en matière d’IA.

À mesure que les modèles opérationnels des services bancaires et des prêts destinés aux petites entreprises gagnent en complexité, la collaboration entre les établissements financiers, les fintechs et les fournisseurs de données est, et restera, essentielle pour garder une longueur d'avance sur les acteurs malveillants et protéger les petites entreprises contre tout préjudice financier.

Avertissement
Les informations fournies dans cet article ne constituent pas et ne visent pas à constituer des conseils professionnels ; toutes les informations, tous les contenus et tous les documents sont fournis à titre informatif et éducatif uniquement. Par conséquent, avant de prendre toute mesure sur la base de ces informations, nous vous recommandons de consulter les professionnels compétents.