Lundi 19 Juin 2006
Equipe DGS

Tirer parti des données EMV non exploitées pour lutter contre la fraude

Par Michelle Trappitt et Gareth Ellis, Senior Solutions Consultants, ACI Worldwide

Les données EMV ont un très grand impact sur la sécurité des transactions. Non seulement en réduisant les fraudes, comme le montrent les derniers résultats de l’APACS, mais aussi par leur effet psychologique sur le public. On peut dire sans exagérer que le consommateur moyen n’a jamais été mieux averti des dangers de la fraude aux transactions que maintenant, dans l’environnement qui a succédé aux cartes avec puce et code secret.


Toutefois, le grand public serait surpris d’apprendre que les cartes EMV, tellement vantées et présentes dans tous les portefeuilles, ne sont pas pleinement exploitées par les banques pour lutter contre la fraude. En effet, ces cartes contiennent une grande variété de données encore inutilisées, qui pourraient servir à renforcer cette lutte.

La carte EMV standard cache une mine d’informations. Leur utilisation est la clé d’une meilleure sécurité. Actuellement, près de 500 données de gestion des risques, reçues dans le cadre des transactions EMV, ne sont pas exploitées pour analyser les fraudes. Pourtant, elles permettraient d’identifier les méthodes de fraudes et les situations de crédits à risque, et donc d’améliorer le service aux clients.

Avec ces données encore inexploitées, les banques pourraient prévenir de nouveaux types de fraudes apparus avec les cartes EMV, et s’attaquer à des modèles de fraude difficiles à identifier. L’examen précis des données EMV permet aux analystes d’établir un profil détaillé de l’utilisateur, susceptible de faciliter l’identification des fraudes. Et seules les données EMV peuvent nous aider à déceler les nouvelles attaques. Elles indiquent par exemple le nombre de tentatives manquées de saisie hors ligne du code secret, ce qui doit faire l’objet d’un contrôle si les tentatives se répètent. Elles permettent également de déterminer si la bande magnétique d’une carte a été modifiée pour laisser croire qu’elle ne contient pas de puce (réécriture du code de service).

Lorsque les institutions financières s’intéresseront aux informations concernant les transactions hors ligne effectuées sur la carte, elles découvriront véritablement les avantages de ces données EMV. En effet, les terminaux hors ligne étant souvent privilégiés par les criminels, il convient de vérifier les transactions récentes effectuées hors lignes, dès que la carte passe en ligne. Ces données donneront une meilleure vision des risques associés à cette carte, et permettront de juger s’il faut enquêter sur une fraude potentielle. À l’avenir, les émetteurs de cartes pourront les configurer pour qu’elles retournent davantage d’informations sur ces transactions hors ligne, comme le type de vendeur, la valeur et le type d’authentification utilisé.

L’étude des données EMV des transactions peut aider les analystes à déterminer le risque associé à une carte. S’ils le jugent trop élevé, ils peuvent intervenir de différentes façons pour le réduire, par exemple en abaissant le plafond pour cette carte. Pour cela, il leur faut un outil capable d’évaluer les risques à partir des données EMV, puis un autre pour modifier les paramètres de risque. Plus la relation entre l’outil de détection des fraudes et celui de gestion des paramètres EMV sera étroite, plus la solution de gestion des risques sera efficace.

Même si la carte EMV peut fournir davantage de données pour lutter contre les fraudes, il faut toutefois intégrer l’ensemble des données d’une transaction de paiement aux techniques anti-fraude. Ceci notamment important pour lutter contre la fraude à la « carte non présente », puisque la carte EMV joue un rôle universel dans les transactions de paiement.

Suite à l’adoption des cartes EMV, les tendances sur l’an passé révèlent que la fraude principale n’est plus celle à la carte perdue ou volée, avec fausse signature. La méthode privilégiée consiste désormais à voler l’identité d’une personne, pour accéder à ses comptes. Une étude récente réalisée par le magazine Which révèle que 25 % des britanniques se sont fait voler leur identité ou connaissent dans leur entourage des personnes qui en sont victimes.

Les banques les plus dynamiques ont réagi en installant des outils pour analyser chaque transaction, afin d’évaluer sa probabilité d’être frauduleuse. La technique la plus avancée consiste à utiliser un réseau neuronal pour évaluer les caractéristiques de chaque transaction, en association avec un modèle de risque personnalisé qui a été établi à partir des données de transaction, ainsi que des modèles enregistrés dans le cadre des activités acceptables et frauduleuses pour un portefeuille donné. Ce modèle neuronal personnalisé permet à un moteur de score d’évaluer les risques associés à chaque transaction, grâce à divers algorithmes et paramètres, ainsi qu’aux statistiques accumulées.

Chaque transaction est également filtrée selon des règles prédéfinies, afin de limiter le nombre de fausses alertes données aux analystes. Ces règles peuvent être mises en place, modifiées et supprimées en temps réel, donnant à la banque un contrôle et une souplesse exceptionnels.

Il est important de noter que ces techniques ne sont pas limitées aux transactions, et peuvent tout aussi bien s’appliquer aux profils types. C’est pourquoi il est possible de détecter toute activité potentiellement frauduleuse, telle que la perte d’une carte ou, plus important encore en environnement EMV, le cas des cartes émises et jamais reçues.

En récupérant d’autres informations à partir des paramètres EMV, les banques peuvent réduire davantage le nombre de fausses alertes dans leurs systèmes anti-fraude. En effet, en disposant d’un profil plus complet de l’utilisateur, le système modélisera mieux la probabilité d’une transaction frauduleuse. De la même façon, le système pourra non seulement détecter les fraudes plus tôt mais pourra identifier également les nouvelles menaces.

Associées au traitement sophistiqué des nouvelles données, ces approches peuvent servir de « réseau de sécurité » pour limiter notablement les transactions frauduleuses. Les banques ont fait des investissements financiers importants pour répondre à la conformité EMV, mais beaucoup d’entre elles n’exploitent pas tout le potentiel des données disponibles. Si les banques exploraient ces dernières plus en détail, elles, ainsi que ses clients, pourraient en tirer de nombreux avantages.

Articles similaires