Restrictions sur les retraits d'espèces aux distributeurs automatiques : ce qui va changer à partir du 1er septembre

Aujourd'hui, de nombreuses banques s'efforcent déjà de protéger leurs clients des fraudeurs par diverses mesures, notamment lors des retraits d'espèces. Cependant, à compter du 1er septembre, les établissements de crédit et financiers pourront passer des avertissements aux actes, car la Banque centrale de la Fédération de Russie a publié neuf indicateurs permettant aux banques d'identifier les fraudes.

Si la transaction est jugée « atypique » pour le client, l'émission d'espèces sera limitée à 50 000 roubles pendant 48 heures. Anton Redozubov, expert en sécurité informatique, a expliqué à MK le fonctionnement de ces nouvelles règles.

— La Banque centrale de la Fédération de Russie a publié le 21 août sur son site Internet neuf critères pour les transactions effectuées sous l’influence de fraudeurs, qui entreront en vigueur le 1er septembre. Les banques auront-elles le temps de se préparer ?

— Après avoir examiné la liste, j’ai constaté que certains points ont déjà été mis en œuvre à l’heure actuelle et fonctionnent dans le cadre des règles anti-fraude – des mesures anti-fraude.

— Il s'agit de signes tels que la discordance entre la nature, les paramètres ou le volume de la demande de retrait d'espèces du client et les transactions qu'il effectue habituellement, l'horaire et le lieu d'ouverture atypiques du distributeur automatique, le montant ou la fréquence inhabituels des retraits effectués au cours de la journée. Autrement dit, si le client retire habituellement de l'argent trois fois par mois, mais qu'il effectue soudainement des retraits toutes les 10 minutes, cela soulèvera des questions. Il en va de même pour la présence d'informations faisant état de cinq refus ou plus de retrait d'argent, notamment en raison d'un dépassement de limite de crédit ou d'erreurs de saisie du code PIN au cours de la même journée. Cette pratique est-elle déjà appliquée dans les banques ?

— Oui. Mais la liste de la Banque centrale comprend également des éléments qui reflètent notre réalité financière moderne. Elle indique notamment la demande d'argent liquide d'un client de manière inhabituelle, par exemple, non pas par carte, mais via un QR code. Elle évoque une modification de l'activité des conversations téléphoniques au moins six heures avant le retrait d'argent au distributeur automatique, une augmentation du nombre de SMS provenant de numéros inconnus, y compris via des messageries instantanées, un retrait d'argent dans les 24 heures suivant une demande de prêt ou de crédit, et un changement de numéro de téléphone pour l'autorisation dans les services bancaires en ligne. Parmi les signes d'activité suspecte figurent un changement des caractéristiques du téléphone utilisé pour retirer des fonds, la présence d'un logiciel malveillant sur son appareil, le transfert de plus de 200 000 roubles par une personne via la SBP depuis son compte dans une autre banque ou la clôture anticipée d'un dépôt du même montant. Il faut bien l'admettre : virements rapides, appels atypiques, pics d'activité dans les messageries instantanées : tout cela accompagne souvent des scénarios d'ingénierie sociale et des escroqueries.

— Les critères sont nombreux. Ne risque-t-on pas d'empêcher tout simplement les citoyens de recevoir de l'argent liquide, alors que les fêtes de fin d'année sont encore en cours et que les gens ont besoin d'argent liquide et le retirent aux distributeurs automatiques non pas près de chez eux, mais dans les stations balnéaires ?

— En fait, les règles introduites réduisent le risque de blocage arbitraire de l’argent par les banques, puisqu’elles sont désormais obligées de prendre en compte neuf facteurs, plutôt que d’agir selon des algorithmes internes et pas entièrement connus qui diffèrent d’une banque à l’autre.

— Cette décision du régulateur présente-t-elle des inconvénients ?

— Je vois le principal inconvénient dans le fait que la méthode de levée des restrictions n'est pas décrite. Il est fort probable que les banques elles-mêmes proposent des méthodes de confirmation. De plus, des faux positifs sont fréquents, notamment parmi les groupes de population socialement actifs : voyageurs, détenteurs d'un grand nombre de cartes bancaires ou clients de banques rares contraints d'utiliser des distributeurs automatiques aléatoires à proximité, et non ceux fournis par leur banque.

— Y a-t-il de nouvelles règles introduites que les banques n’ont pas utilisées auparavant dans leur pratique ?

— Oui. Par exemple, l'un des points stipule qu'une transaction est suspecte si des informations concernant la possible exécution d'une transaction sans le consentement volontaire du client, « concernant les facteurs de risque de compromission des données d'un moyen de paiement électronique, transmises dans les messages d'autorisation par l'opérateur de services d'infrastructure de paiement, si cela est prévu par les règles du système de paiement, sont disponibles. » Ce point met en lumière l'interaction entre les banques et les systèmes de paiement pour créer une protection antifraude unique. Certains points reflètent également un nouveau phénomène pour le secteur bancaire : la protection proactive, qui consiste à analyser un grand nombre de données sur les utilisateurs, à échanger des données avec les opérateurs de télécommunications, à vérifier les adresses IP, et bien plus encore. Dans ce contexte, les actions des banques visent à empêcher les fraudeurs de voler de l'argent avant même qu'ils ne commettent un délit.

— Ces critères contribueront-ils à protéger les Russes ?

— Oui, de telles fonctionnalités renforceront la protection des citoyens et de leurs comptes contre les fraudeurs. L'avantage est qu'elles interfèrent avec les étapes qui entravent grandement le travail des criminels, mais affectent très rarement les clients légitimes des banques. Je tiens néanmoins à avertir que cela créera des difficultés pour les consommateurs, car nous avons un lien direct : « plus de sécurité, moins de confort ». Et à un moment donné, un niveau de sécurité trop élevé commence à être préjudiciable, mais ce n'est pas l'option actuelle. La mesure extrême serait de proposer le passage aux ordres de paiement et aux livrets d'épargne papier, ce qui constituerait un retour en arrière et une sorte de reconnaissance de la victoire des criminels dans le domaine informatique, ce qui est fondamentalement inacceptable. De plus, cela ralentirait considérablement les processus et opérations commerciaux, auxquels les clients et les banques elles-mêmes ont depuis longtemps perdu l'habitude. Pour l'instant, la question se pose davantage de savoir comment la « disponibilité des informations » sera confirmée dans les bureaux de la Banque centrale. Nous attendons des précisions du régulateur, ou peut-être que chaque banque développera ses propres protocoles.

— Prenons un exemple concret pour comprendre. Un métallurgiste de Tcheliabinsk, par exemple, ne retirait habituellement pas plus de 50 000 roubles d'un distributeur automatique après avoir perçu son salaire et conservait le reste sur une carte pour les paiements par virement bancaire. Or, avant de partir en vacances à Sotchi, il souhaitait retirer 110 000 roubles d'un coup. Serait-il refusé ?

— Non, ils ne refuseront pas. Dans l'exemple que vous avez donné, rien ne changera pour le citoyen. Le seul fait qui se démarque des actions habituelles est un retrait unique de 110 000 roubles au lieu de 50 000 roubles. Ce n'est clairement pas une caractéristique significative. Mais si d'autres faits se présentent, ou si le montant est dix fois supérieur, ou s'il y a dix demandes de retrait au lieu d'une, la banque peut imposer une limite temporaire de 48 heures. Dans ce cas, sa carte ne sera pas bloquée, mais la limite de retrait aux distributeurs automatiques sera limitée à 50 000 roubles par jour. Malheureusement, le mécanisme de levée de cette limite n'a pas encore été décrit, par exemple lors d'un contact avec une agence bancaire ; il est donc impossible de dire comment ce contrôle sera effectué. Cependant, même avec une telle limitation temporaire, le client peut recevoir le montant requis en agence.