Fraude aux paiements l’IA change la donne et impose une nouvelle défense financière

En 2024, le montant total des pertes liées aux fraudes aux paiements scripturaux est resté stable (1,189 Md€) mais les méthodes des fraudeurs ont évolué (1). Ces derniers exploitent désormais l’IA pour automatiser, personnaliser et industrialiser leurs méthodes. Face à cette menace devenue systémique, la réponse ne peut plus reposer sur des dispositifs isolés : elle doit s’appuyer sur une approche intégrée, mutualisée et capable de s’améliorer en continu.

Derrière une apparente stabilité des pertes (1,189 Md€ en 2024), la fraude aux paiements scripturaux change radicalement de visage (1). Grâce à l’IA, les attaques gagnent en volume, en précision et en sophistication. Face à cette mutation, les réponses en silos atteignent leurs limites : seule une approche globale, mutualisée et évolutive peut permettre de reprendre l’avantage.

Une fraude en hausse portée par les usages numériques

En apparence, la fraude aux moyens de paiements scripturaux (carte, virement, chèque et prélèvement) semble stabilisée. Pourtant, l’augmentation de plus de 9 % du nombre d’opérations frauduleuses (1) révèle un déplacement du risque. La baisse de la fraude sur les chèques (–26 %) contraste avec la hausse des fraudes aux virements (+12 %, 351 M€)(2) et aux cartes (+4,6 %, 519 M€) (2), ce qui traduit une exposition croissante des usages numériques. Dans ce paysage, l’ingénierie sociale joue un rôle central : elle représente près de 32 % des montants fraudés (3). Un Français sur deux s’y dit confronté, 63 % chez les 18-24 ans (4).

Deepfake manipulation IA la fraude passe à l’échelle industrielle

L’objectif des fraudeurs est désormais de contourner l'authentification forte, non pas en cassant le système, mais en exploitant le facteur humain : ils s'assurent que l'utilisateur légitime effectue lui-même la transaction en profitant d'une défaillance momentanée de sa vigilance. En parallèle, l’industrialisation de la tromperie se renforce, comme à Hong Kong où des escrocs ont obtenu un virement de 26 millions de dollars de la part d’un employé d’une multinationale, en utilisant l'intelligence artificielle et la technique du deepfake (5). Certains fraudeurs sont même en mesure de mettre au point des modèles criminels, capables de générer des scénarios d’attaque sur mesure (6). Dans ce contexte, l’Observatoire de la Sécurité des Moyens de Paiement (OSMP) tente de clarifier les pratiques de remboursement grâce à treize recommandations, mais la jurisprudence reste hétérogène (7). La deuxième Directive sur les Services de Paiement (DSP2) a imposé l’authentification forte (8), mais les fraudes par manipulation réussissent à en contourner l’esprit en exploitant la confiance de l’utilisateur.

DSP2 ses limites face à des attaques toujours plus sophistiquées

Anticipant les limites de la DSP2, la future législation - la DSP3 et le nouveau Règlement sur les Services de Paiement (RSP) — visent une harmonisation plus ambitieuse. Ils se concentrent sur des mesures concrètes : la vérification IBAN/nom du bénéficiaire, le partage accru d'informations entre les acteurs et des droits au remboursement renforcés (9). L’AI Act complète ce dispositif en imposant une gouvernance stricte de l’IA dans les services financiers (10). Sur le terrain, les moteurs de règles restent essentiels mais génèrent trop de faux positifs et peinent à suivre des attaques mouvantes (11).

Les modèles de Machine Learning offrent une amélioration significative de la détection (+10 à +30 %) (11) mais leur efficacité dépend crucialement de la qualité et de l'accès aux données. De plus, leur déploiement exige une expertise combinée et rare : celle de la data science et celle, pointue, de la lutte contre la fraude bancaire.

Paiements un écosystème encore trop cloisonné face aux fraudeurs

Les banques, PSP, télécoms et autres plateformes partagent insuffisamment les signaux d’alerte (12). Cela donne un avantage aux fraudeurs qui peuvent ainsi plus facilement passer entre les mailles des systèmes de détection. Les exemptions de l’authentification forte ou du Strong Customer Authentication (SCA) en anglais demeurent des zones de risque. Les transactions sans authentification forte présentent des taux de fraude bien supérieurs, jusqu’à quarante fois plus hors Europe (13). Dans un contexte de paiements instantanés, la réactivité devient décisive. Quant aux dispositifs de prévention publics, ils jouent un rôle clé mais restent encore trop peu visibles (14).

IA antifraude un levier clé pour détecter en temps réel

L’IA permet aux fraudeurs d’industrialiser leurs attaques et de les personnaliser, les rendant ainsi plus efficaces. Pourtant, c’est cette même IA qui constitue l’un des leviers les plus efficaces pour structurer la défense. Elle permet d’anticiper les scénarios d’attaque, de détecter les anomalies en temps réel et d’analyser les comportements de paiement à partir de multiples signaux (15). Elle peut aussi renforcer les capacités d’investigation, en cartographiant les réseaux de fraude ou en automatisant l’analyse documentaire (6). La génération de données synthétiques complète la panoplie en améliorant l’entraînement des modèles sans exposer des cas réels sensibles.

AI Act et DSP3 vers une régulation plus structurante

Mais l’efficacité de ces outils suppose une gouvernance rigoureuse. L’AI Act impose une gestion des biais, une traçabilité des modèles et une supervision humaine continue (10). Pour ce faire, les architectures les plus résilientes associent moteurs de règles, IA, analyse réseau et surveillance comportementale dans un dispositif cohérent, destiné à renforcer le discernement humain plutôt qu’à le remplacer.

Vers une cybersécurité des paiements inspirée de la cyberdéfense

La lutte antifraude doit désormais s’inspirer des approches systémiques issues de la cyberdéfense (16). Pour répondre à des attaques distribuées, la sécurité des paiements doit fonctionner comme un système interconnecté, capable de relier les signaux, d’ajuster les règles et de réagir rapidement. La mutualisation devient un pilier de cette stratégie. DSP3 et les autorités européennes encouragent déjà le partage structuré d’informations : IBAN frauduleux, typologies émergentes, parcours d’attaque (9). Les opérateurs télécoms contribuent de plus en plus à bloquer les tentatives d’usurpation en amont grâce aux dispositifs anti-spoofing (12).

Mutualisation des données la clé d’une intelligence antifraude collective

Mais cette logique de coopération doit s’étendre à l’ensemble de la chaîne. Le contrat de confiance avec les usagers mérite, lui aussi, d’être repensé. La manipulation complexifie l’analyse des responsabilités et justifie une clarification accrue des règles (7). Les outils existants - blocage granulaire, plafonds ajustables, vérification systématique IBAN/nom (9) - pourraient être mieux valorisés. Une pédagogie continue, intégrée aux parcours numériques, renforcerait la vigilance sans alourdir l’expérience de paiement.

Le temps du “mille-feuille” de contrôles est révolu. Place à une défense cohérente, collective et pilotée par la donnée. L’IA peut en devenir la colonne vertébrale, en reliant les informations, en détectant plus vite et en éclairant les décisions humaines. DSP3 et l’AI Act ouvrent la voie — encore faut-il que l’ensemble des acteurs jouent collectif et considèrent la sécurité des paiements comme un bien commun.

Sources
(1) Rapport annuel 2024 de l’Observatoire de la sécurité des moyens de paiement
(2) Statistiques 2024 sur la fraude aux moyens de paiement scripturaux Banque de France - 2024

(3) Fraude par manipulation - Données 2023–2024 - Observatoire de la sécurité des moyens de paiement, Banque de France - 2024

(4) Comportements des Français face aux arnaques bancaires Fédération bancaire française (FBF) - 2023
(5) Arnaque par deepfake à 26 millions d’euros à Hong Kong
(6) Conférence Fraude numérique et IA, Cour de cassation Florence Giuliano (SAS) - 26 novembre 2025

(7) Recommandations sur les remboursements en cas de fraude (13 recommandations) - Observatoire de la sécurité des moyens de paiement, Banque de France - 2023–2024

(8) Directive (UE) 2015/2366 - DSP2 - Commission européenne

(9) Paquet DSP3 / PSR - Lutte contre la fraude et vérification IBAN/nom Commission européenne - présenté en 2023, actualisé en 2024

(10) AI Act - Règlement européen sur l’intelligence artificielle - Conseil et Parlement européen - 2024

(11) Livre blanc L’IA au service de la sécurité des paiements scripturaux - SAS Institute - novembre 2025

(12) Loi Naegelen et dispositifs anti-spoofing - Ministère de l’Économie (DGCCRF) - 2023–2024

(13) Sixth Report on Card Fraud - Banque centrale européenne (BCE) & Autorité bancaire européenne (ABE) - 2024 (14) Ressources Cybermalveillance.gouv.fr - GIP ACYMA - Publications 2023–2024

(15) La cybernétique de la défense et de la sécurité numérique - Revue Mines - 2025