obOpen Banking Lab
GlossaireSTETBlogContact
Sécurité

APP fraud

Authorised Push Payment fraud

Fraude dans laquelle la victime est manipulée pour autoriser elle-même un virement vers un compte contrôlé par le fraudeur. Cible #1 des virements instantanés et SCT Inst, plafond du PSR / réforme 2026.

Voir aussi :PSRSCAVoPSCT InstTransaction monitoringChargeback

Définition

L'APP fraud (Authorised Push Payment fraud, ou fraude au virement autorisé) désigne une fraude où la victime est manipulée pour autoriser elle-même un virement vers un compte contrôlé par le fraudeur.

Le virement est techniquement légitime — la victime saisit le montant, valide la SCA, confirme — mais elle a été trompée sur l'identité du bénéficiaire. C'est devenue la première fraude sur virement en Europe et au Royaume-Uni depuis 2020, dopée par la généralisation du virement instantané (SCT Inst).

APP fraud vs fraude carte

La différence est fondamentale :

  • Fraude carte (clonage, card not present) : la transaction n'est pas autorisée par le porteur. Le liability shift 3DS2 ou la DSP2 protège la victime, généralement remboursée.
  • APP fraud : la transaction est autorisée par le payeur, qui a fait sa SCA. Sans réglementation spécifique, la victime n'est pas remboursée. C'est ce déséquilibre que le PSR vise à corriger.

Les principaux modes opératoires

  • Faux conseiller bancaire : un fraudeur se fait passer pour le service fraude de la banque et demande de transférer les fonds vers un « compte sûr » qui est le sien. Le plus répandu en France et au UK.
  • Faux RIB / faux fournisseur : interception d'une facture, modification du RIB ; le payeur (souvent une PME ou un particulier réglant un artisan) vire au mauvais compte.
  • Romance scam : relation virtuelle de plusieurs mois, puis virements « urgents ». Pertes parfois énormes (50 à 500 K€ par victime).
  • Investment scam : fausses plateformes crypto ou FX promettant des rendements miraculeux ; la victime vire et ne récupère rien.
  • Compte de mule : le compte bénéficiaire est souvent ouvert par une mule (elle-même recrutée par arnaque). Les fonds y transitent et sont blanchis en cascade.
  • Phishing + virement : faux mail (URSSAF, impôts, livraison) déclenchant un « petit » virement de régularisation.

Pourquoi ça explose

Trois facteurs se combinent :

  • Virement instantané : les fonds sont irrévocables en quelques secondes, contre 1 à 2 jours pour rappeler un SCT classique.
  • SCA forte : paradoxalement, l'authentification renforce la confiance — ayant validé, la victime ne soupçonne pas la tromperie.
  • Ingénierie sociale outillée par l'IA : deepfake vocal, spoofing du numéro de la banque, bots conversationnels — l'attaque s'industrialise.

En France, l'Observatoire de la sécurité des moyens de paiement (Banque de France) souligne la forte croissance de la fraude par virement liée à la manipulation du payeur, devenue une part significative de la fraude scripturale.

La régulation : VoP et PSR

Deux outils majeurs en réponse :

  • VoP (Verification of Payee) : depuis octobre 2025 (règlement IPR), tout PSP doit vérifier la concordance nom + IBAN avant d'exécuter un virement, ce qui bloque les attaques au faux RIB.
  • PSR (Payment Services Regulation, proposé en 2023, application 2026-2027) : prévoit un remboursement obligatoire du payeur dans certains cas d'APP fraud (notamment spoofing), partagé entre PSP du payeur et du bénéficiaire.

Au Royaume-Uni, le PSR impose depuis le 7 octobre 2024 un remboursement obligatoire jusqu'à 85 000 £ par victime sur les Faster Payments, partagé 50/50 entre les deux PSP — un précédent suivi de près en Europe.

Côté banque : transaction monitoring

Les banques investissent dans le transaction monitoring (Hawk, ComplyAdvantage, Sardine, Featurespace, Feedzai) pour :

  • repérer les bénéficiaires inhabituels (premier virement vers un nouvel IBAN, surtout étranger) ;
  • détecter les patterns d'attaque (virements rapprochés, montants ronds atypiques) ;
  • identifier les comptes de mule (compte récent, peu actif, soudain afflux) ;
  • déclencher de la friction (pop-up d'avertissement, vérification téléphonique, délai sur le premier virement à un nouveau bénéficiaire).

Ce que l'APP fraud n'est pas

  • Pas une fraude technique : aucune compromission, aucun virement non autorisé — c'est une fraude humaine et sociale.
  • Pas couverte par le régime fraude de la DSP2 : la directive protège les paiements non autorisés, pas ceux autorisés sous escroquerie — d'où le PSR.
  • Pas synonyme de fraude au président : celle-ci en est une forme côté entreprise ; l'APP fraud englobe particuliers et entreprises.
  • Pas un cas de chargeback : aucun chargeback sur un virement ; la victime doit réclamer à son PSP, qui décide.

Dans l'écosystème PSD2

L'APP fraud est l'angle mort majeur de la DSP2 : la directive a sécurisé l'autorisation (SCA) mais pas l'intention réelle du payeur. PSR, VoP, transaction monitoring et éducation client forment l'arsenal de réponse 2025-2027 — l'un des sujets les plus chauds de la régulation paiements en Europe.

Exemples concrets

  • Faux conseiller bancaire : « je suis du service fraude de votre banque, nous avons détecté une opération suspecte, transférez vos fonds vers ce compte sûr ». Victimes de tous âges, surtout au-delà de 60 ans, pour des montants moyens de 3 à 30 K€.
  • Romance scam : en forte croissance depuis 2020 ; relation entretenue 3 à 12 mois avant des virements répétés, parfois plus de 100 K€ au total.
  • Investment scam : fausses plateformes crypto promettant 10 % par mois ; virements croissants puis disparition au moment du retrait. AMF et Banque de France publient des listes noires.
  • Royaume-Uni : depuis le 7 octobre 2024, remboursement 50/50 entre PSP jusqu'à 85 000 £ — avec, en contrepartie, beaucoup de friction ajoutée (cooling-off, pop-up).
  • VoP en zone euro : depuis le 9 octobre 2025, les banques affichent un avertissement quand le nom du bénéficiaire ne correspond pas à l'IBAN ; l'effet réel sur la fraude au faux RIB reste à mesurer.
  • Transaction monitoring : Revolut, N26 et Lydia ont investi dans des moteurs propriétaires couplés à Sardine ou Featurespace ; les pop-up « ce bénéficiaire est nouveau, êtes-vous sûr ? » deviennent la norme.
  • Tension de fond : le PSR final, attendu en 2026, accroîtra la friction sur les virements (délais, cooling-off) au prix de l'UX — l'équilibre entre prévention de la fraude et simplicité du paiement.

Sources

Retour au glossaire