Dans cette tribune, Florence Giuliano, EMEA Financial Crimes Analytics Director chez SAS, analyse l’évolution des fraudes aux paiements scripturaux. Derrière une stabilité apparente des montants en 2024, elle décrit une industrialisation des attaques, dopée à l’IA et à l’ingénierie sociale, et appelle à bâtir une défense mutualisée et gouvernée à l’échelle de tout l’écosystème financier.
En 2024, le montant total des pertes liées aux fraudes aux paiements scripturaux est resté stable (1,189 Md€) mais les méthodes des fraudeurs ont évolué (1). Ces derniers exploitent désormais l’IA pour automatiser, personnaliser et industrialiser leurs méthodes. Face à cette menace devenue systémique, la réponse ne peut plus reposer sur des dispositifs isolés : elle doit s’appuyer sur une approche intégrée, mutualisée et capable de s’améliorer en continu.
2024 : une stabilité trompeuse, la fraude bascule dans le numérique
En apparence, la fraude aux moyens de paiements scripturaux (carte, virement, chèque et prélèvement) semble stabilisée. Pourtant, l’augmentation de plus de 9 % du nombre d’opérations frauduleuses (1) révèle un déplacement du risque. La baisse de la fraude sur les chèques (–26 %) contraste avec la hausse des fraudes aux virements (+12 %, 351 M€)(2) et aux cartes (+4,6 %, 519 M€) (2), ce qui traduit une exposition croissante des usages numériques. Dans ce paysage, l’ingénierie sociale joue un rôle central : elle représente près de 32 % des montants fraudés (3). Un Français sur deux s’y dit confronté, 63 % chez les 18-24 ans (4).
Une industrialisation de la manipulation
L’objectif des fraudeurs est désormais de contourner l’authentification forte, non pas en cassant le système, mais en exploitant le facteur humain : ils s’assurent que l’utilisateur légitime effectue lui-même la transaction en profitant d’une défaillance momentanée de sa vigilance. En parallèle, l’industrialisation de la tromperie se renforce, comme à Hong Kong où des escrocs ont obtenu un virement de 26 millions de dollars de la part d’un employé d’une multinationale, en utilisant l’intelligence artificielle et la technique du deepfake (5). Certains fraudeurs sont même en mesure de mettre au point des modèles criminels, capables de générer des scénarios d’attaque sur mesure (6). Dans ce contexte, l’Observatoire de la Sécurité des Moyens de Paiement (OSMP) tente de clarifier les pratiques de remboursement grâce à treize recommandations, mais la jurisprudence reste hétérogène (7). La deuxième Directive sur les Services de Paiement (DSP2) a imposé l’authentification forte (8), mais les fraudes par manipulation réussissent à en contourner l’esprit en exploitant la confiance de l’utilisateur.
Un système de défense fragmenté face à des attaques systémiques
Anticipant les limites de la DSP2, la future législation – la DSP3 et le nouveau Règlement sur les Services de Paiement (RSP) — visent une harmonisation plus ambitieuse. Ils se concentrent sur des mesures concrètes : la vérification IBAN/nom du bénéficiaire, le partage accru d’informations entre les acteurs et des droits au remboursement renforcés (9). L’AI Act complète ce dispositif en imposant une gouvernance stricte de l’IA dans les services financiers (10). Sur le terrain, les moteurs de règles restent essentiels mais génèrent trop de faux positifs et peinent à suivre des attaques mouvantes (11).
Les modèles de Machine Learning offrent une amélioration significative de la détection (+10 à +30 %) (11) mais leur efficacité dépend crucialement de la qualité et de l’accès aux données. De plus, leur déploiement exige une expertise combinée et rare : celle de la data science et celle, pointue, de la lutte contre la fraude bancaire.
Un écosystème financier fragmenté
Les banques, PSP, télécoms et autres plateformes partagent insuffisamment les signaux d’alerte (12). Cela donne un avantage aux fraudeurs qui peuvent ainsi plus facilement passer entre les mailles des systèmes de détection. Les exemptions de l’authentification forte ou du Strong Customer Authentication (SCA) en anglais demeurent des zones de risque. Les transactions sans authentification forte présentent des taux de fraude bien supérieurs, jusqu’à quarante fois plus hors Europe (13). Dans un contexte de paiements instantanés, la réactivité devient décisive. Quant aux dispositifs de prévention publics, ils jouent un rôle clé mais restent encore trop peu visibles (14).
L’intelligence artificielle, arme à double tranchant dans la lutte antifraude
L’IA permet aux fraudeurs d’industrialiser leurs attaques et de les personnaliser, les rendant ainsi plus efficaces. Pourtant, c’est cette même IA qui constitue l’un des leviers les plus efficaces pour structurer la défense. Elle permet d’anticiper les scénarios d’attaque, de détecter les anomalies en temps réel et d’analyser les comportements de paiement à partir de multiples signaux (15). Elle peut aussi renforcer les capacités d’investigation, en cartographiant les réseaux de fraude ou en automatisant l’analyse documentaire (6). La génération de données synthétiques complète la panoplie en améliorant l’entraînement des modèles sans exposer des cas réels sensibles.
Une gouvernance indispensable
Mais l’efficacité de ces outils suppose une gouvernance rigoureuse. L’AI Act impose une gestion des biais, une traçabilité des modèles et une supervision humaine continue (10). Pour ce faire, les architectures les plus résilientes associent moteurs de règles, IA, analyse réseau et surveillance comportementale dans un dispositif cohérent, destiné à renforcer le discernement humain plutôt qu’à le remplacer.
Vers une « cybernétique » des paiements
La lutte antifraude doit désormais s’inspirer des approches systémiques issues de la cyberdéfense (16). Pour répondre à des attaques distribuées, la sécurité des paiements doit fonctionner comme un système interconnecté, capable de relier les signaux, d’ajuster les règles et de réagir rapidement. La mutualisation devient un pilier de cette stratégie. DSP3 et les autorités européennes encouragent déjà le partage structuré d’informations : IBAN frauduleux, typologies émergentes, parcours d’attaque (9). Les opérateurs télécoms contribuent de plus en plus à bloquer les tentatives d’usurpation en amont grâce aux dispositifs anti-spoofing (12).
Construire une intelligence collective antifraude
Mais cette logique de coopération doit s’étendre à l’ensemble de la chaîne. Le contrat de confiance avec les usagers mérite, lui aussi, d’être repensé. La manipulation complexifie l’analyse des responsabilités et justifie une clarification accrue des règles (7). Les outils existants – blocage granulaire, plafonds ajustables, vérification systématique IBAN/nom (9) – pourraient être mieux valorisés. Une pédagogie continue, intégrée aux parcours numériques, renforcerait la vigilance sans alourdir l’expérience de paiement.
L’enjeu n’est plus d’ajouter des contrôles (en mode mille-feuille) mais de construire une défense cohérente, fondée sur la mutualisation des signaux, l’analyse avancée et une gouvernance partagée. L’IA peut devenir l’infrastructure de cette nouvelle architecture en reliant les données, en accélérant la détection et en soutenant le jugement humain. DSP3 et l’AI Act posent les premiers fondements de cette transition. Leur efficacité dépendra de la capacité collective à considérer la sécurité des paiements comme un bien commun.
Sources :
(1) Rapport annuel 2024 de l’Observatoire de la sécurité des moyens de paiement
(2) Statistiques 2024 sur la fraude aux moyens de paiement scripturaux Banque de France – 2024
(3) Fraude par manipulation – Données 2023–2024 – Observatoire de la sécurité des moyens de paiement, Banque de France – 2024
(4) Comportements des Français face aux arnaques bancaires Fédération bancaire française (FBF) – 2023
(5) Arnaque par deepfake à 26 millions d’euros à Hong Kong
(6) Conférence Fraude numérique et IA, Cour de cassation
Florence Giuliano (SAS) – 26 novembre 2025
(7) Recommandations sur les remboursements en cas de fraude (13 recommandations) – Observatoire de la sécurité des moyens de paiement, Banque de France – 2023–2024
(8) Directive (UE) 2015/2366 – DSP2 – Commission européenne
(9) Paquet DSP3 / PSR – Lutte contre la fraude et vérification IBAN/nom
Commission européenne – présenté en 2023, actualisé en 2024
(10) AI Act – Règlement européen sur l’intelligence artificielle – Conseil et Parlement européen – 2024
(11) Livre blanc L’IA au service de la sécurité des paiements scripturaux – SAS Institute – novembre 2025
(12) Loi Naegelen et dispositifs anti-spoofing – Ministère de l’Économie (DGCCRF) – 2023–2024
(13) Sixth Report on Card Fraud – Banque centrale européenne (BCE) & Autorité bancaire européenne (ABE) – 2024
(14) Ressources Cybermalveillance.gouv.fr – GIP ACYMA – Publications 2023–2024
(15) La cybernétique de la défense et de la sécurité numérique – Revue Mines – 2025
