ARNAQUE AU FAUX RIB
L’escroquerie au « faux RIB » ou plus exactement au « changement de domiciliation bancaire » connaît un certain essor. Variante de l’escroquerie dite « au faux président », cette arnaque est la plus simple à réaliser ! Elle ne nécessite aucune connaissance en informatique et peu de recherches d’informations par le biais de la relation sociale.
DES SYNERGIES ENTRE LA LUTTE CONTRE LA FRAUDE, LA COMPLIANCE ET LA PISTE D’AUDIT FIABLE ?
Aujourd’hui, la majorité des entreprises sont sensibilisées au risque de fraude. Ce risque augmente de manière notoire lors de la création ou de la mise à jour d’un tiers. Vigilantes, les sociétés procèdent à de nombreuses vérifications avant modification dans leurs bases. Mais ces processus de contrôle, indispensables pourtant, sont trop souvent manuels et chronophages. Dans le même temps, les normes comptables et les procédures de contrôle évoluent. Les entreprises ont donc l’obligation de mettre en place une piste d’audit fiable, qui concerne toutes les factures, envoyées ou reçues, dématérialisées et papier. Une priorité, prévenir la fraude L’objectif de l’administration est de vérifier le cycle de vie d’une transaction, du début à la fin de l’opération. Une vérification destinée à prévenir tout risque de fraude et à s’assurer que l’opération a été réalisée dans le respect des lois et règlements. Tous les formats informatiques sont admis au plan fiscal. La condition est de mettre en place des contrôles documentés et permanents qui constituent la « piste d’audit ». Il peut s’agir de contrôles intégrés sous forme de traitements informatiques, de contrôles papier ou manuels ou d’une combinaison des deux. Pour une facture fournisseur, par exemple : Vérification du numéro de TVA intracommunautaire du fournisseur, Contrôle de l’identité du fournisseur, Analyse des mentions obligatoires sur facture, de la présence d’un numéro de bon de commande. Dans le cadre la lutte contre la fraude, ce sont les mêmes informations que nous allons chercher à tester et à valider. Notamment concernant la fraude aux paiements. Une synergie factuelle sur le contrôle du tiers Même si les finalités sont différentes, il va nous falloir procéder à la vérification du tiers et se poser les questions de bon sens : Mon tiers existe-t-il, et existe-t-il toujours ? Le numéro de TVA qui figure sur la facture que je viens de réceptionner est-il valide ? Est-ce que cette facture a fait l’objet d’un bon de commande ? A-t-elle été validée par un hiérarchique accrédité qui a donné son bon à payer ? Des contrôles automatisés, efficients et sûrs Nous avons travaillé sur une solution qui permet de chercher les réponses à ces questions de façon complètement automatique et transparente. Mon tiers existe-t-il ? Nous allons collecter les informations légales le concernant dans des bases de données dédiées et à jour : INSEE, OPENCORPORATES et VIES pour vérifier son numéro de TVA intracommunautaire. Suis-je autorisé à travailler avec ce tiers ? Interrogation automatique des listes de sanctions internationales (OFAC, EU) pour vérifier la conformité du tiers. Cette facture est-elle due ? Historisation des contrôles effectués et conservation des pièces justificatives numérisées. Nous avons également pensé à produire tous les éléments de preuve et de suivi nécessaires : La conservation dématérialisée des preuves est un point clé, et un point de convergence avec les contrôles exigés par le vérificateur : ceux-ci doivent durer dans le temps. Un contrôle ponctuel non justifié n’a pas beaucoup de sens. Et ceci, que ce soit pour lutter contre la fraude ou faire la preuve de sa bonne foi vis-à-vis de l’Administration. A ces vérifications de conformité du tiers, un contrôle essentiel se rajoute logiquement en matière de lutte contre la fraude aux paiements : la vérification des informations de paiement. Nous vérifions de manière automatique les comptes bancaires du tiers. Ceci grâce au dispositif SEPAmail DIAMOND qui permet d’interroger une banque sur la validité d’un IBAN. Il est bien évident que ces différents contrôles, pour être efficaces, doivent s’effectuer à la création d’un tiers. Il doivent d’ailleurs s’exercer pendant toute la durée de vie du tiers, dans le cadre d’un contrôle continu de la base. Une procédure incontournable et compliant Mata I/O Bank Suite est une suite logicielle qui permet d’automatiser les vérifications nécessaires. Elle permet surtout de les rendre parfaitement obligatoires pour vous imposer de rester dans vos procédures. Il faut bien avoir à l’esprit que les fraudes réussies ont lieu à des périodes où vous êtes plus vulnérables. Cela se produit souvent au moment des congés, à l’arrivée d’un nouveau collaborateur ou d’un changement d’outils informatiques. MATA I/O Bank Suite assure une sécurisation globale de la chaîne de règlements par la digitalisation de vos procédures de contrôle, de manière à les rendre incontournables. Elle devient de ce fait un instrument de lutte contre la fraude, de vérification de conformité et de justification des contrôles effectués.
SEPAmail Diamond : état des lieux du service bancaire de vérification des iban
Spécialiste de la sécurisation des flux financiers depuis 1999, MATA édite la solution Mata I/O Sécurité qui sécurise les règlements en validant 100% des comptes payés. Ce processus de validation peut être fastidieux : collecte de documents, contre-appels… C’est pourquoi, dès le début, nous nous sommes intéressés au service Diamond de la messagerie bancaire SEPAmail. Pour mémoire, SEPAmail Diamond ne peut pas être considéré comme une solution exhaustive de sécurisation des règlements, puisque le service ne couvre qu’une partie des IBAN, et n’est pour le moment proposé que pour la France. En revanche, l’intégration de ce service à notre offre globale de sécurité nous permet de gagner en productivité en validant de manière automatique 70 à 80% des comptes bancaires français. Historique d’une interface optimisée pour chaque banque Courant 2017, le service Diamond a été remanié avec l’adoption d’une évolution des formats XML des requêtes de demande et de réponse. Nous avons donc attendu fin 2017, et des formats définitifs, pour nous lancer dans le développement d’une interface automatisée entre Mata I/O Sécurité et le service SEPAmail Diamond. A l’origine, seules les banques CIC et SOCIETE GENERALE étaient en mesure de proposer ce service par l’intermédiaire du protocole EBICS. La société MATA n’étant pas cliente de la SOCIETE GENERALE, nous avons ouvert un compte bancaire pour réaliser nos tests. Nos premiers envois de demandes ont été réalisés courant février 2018 auprès de ces deux banques. Ensuite, en août 2018, nous avons travaillé avec la BANQUE POSTALE à la demande de l’un de nos clients, pour tester, là encore, le service SEPAmail Diamond fourni par cette banque sur EBICS. Enfin en octobre 2018 nous avons procédé aux premières mises en œuvre du service SEPAmail Diamond chez nos clients Mata I/O Sécurité. A ce jour nous sommes en contact avec d’autres partenaires bancaires afin de tester leurs offres d’accès au service Diamond. Des différences de format Dès le début de nos tests avec les banques CIC et SOCIETE GENERALE, nous nous sommes aperçus que, malgré l’utilisation de standards dans les formats des fichiers échangés, ces deux banques avaient interprété de manière différente le traitement de certaines informations dans les fichiers. Cela nous a conduit à développer des formats de requêtes différents pour la SOCIETE GENERALE et le CIC. Nous avons à cette occasion fait le lien entre ces deux banques, les deux premières à proposer le service, pour mettre l’accent sur leurs spécificités et travailler avec elles à plus de standardisation. Par la suite, la BANQUE POSTALE s’est avérée respecter les standards établis précédemment. Des différences de traitement dans les réponses Nous avons constaté à l’usage des différences dans la qualité des réponses apportées par les différentes banques. Par exemple : lorsque nous interrogeons la validité d’un compte IBAN domicilié dans une banque non adhérente au service SEPAmail Diamond, le CIC nous retourne une réponse précisant que la validité de l’IBAN ne pourra pas être vérifiée avec la mention « Banque non adhérente », alors que la SOCIETE GENERALE ne retourne aucune réponse à l’interrogation de ce compte. Des délais de réponse qui se raccourcissent et un taux de service qui progresse Lors de nos premières mises en œuvre du service SEPAmail Diamond dans notre solution MATA I/O, nous constations un délai moyen d’attente de la réponse variant entre 24 et 36 heures. Ce délai n’a pas cessé de se réduire, et à aujourd’hui, certaines réponses sont retournées 4h après l’envoi de l’interrogation. Nous avons pu élaborer des statistiques avec nos plus anciens clients sur le service. Ces statistiques nous montrent un taux de couverture du service en progression. Au dernier trimestre 2018 : 70 % des comptes français interrogés chaque mois faisait l’objet d’une réponse de la banque. Ce taux s’établit à 80% sur le mois de janvier 2019. Les absences de réponses s’expliquent encore par des banques non adhérentes à ce jour au service SEPAmail Diamond, principalement : HSBC et LCL, ainsi que par des interrogations qui portent sur des comptes détenus par des factors, pour lesquels les banques n’ont pas l’intégralité des informations permettant d’établir le contrôle.
Le nouveau dispositif interbancaire Sepamail diamond peut-il vous mettre à l’abri de la fraude aux faux fournisseurs ?
La création d’un système interbancaire d’échanges d’informations via la norme SEPAmail vous donne accès à de nouveaux outils de vérification des coordonnées des tiers, mais il convient d’en connaître les limites pour les intégrer dans une stratégie globale de sécurité. Sepamail est une norme d’échanges interbancaires uniformisés, dématérialisés et sécurisés. Elle permet de solliciter de l’information auprès d’une banque adhérente à Sepamail (même s’il ne s’agit pas de la banque où est domicilié le compte du tiers). Elle favorise les échanges d’informations mais ne permet pas de couvrir toutes les failles de sécurité et, en 2017 encore, une entreprise sur cinq a été victime d’une fraude avérée. Dans un contexte d’évolution continue des standards d’échange entre les banques et les entreprises, il faut connaître les opportunités des nouveaux systèmes, mais également bien en appréhender les limites pour maîtriser les risques. La généralisation des échanges interbancaires SEPAmail permet de nouvelles opportunités de vérifications des données. SEPAMAIL EN 3 POINTS SEPAmail, la norme 100% française d’échange interbancaire permet de réaliser 3 types d’opérations que l’on peut décrire de façon relativement simple : Envoyer les informations relatives à la mobilité bancaire (Aigue Marine), pour faciliter les démarches de changement de banque et communiquer aux créanciers les nouvelles coordonnées du tiers à prélever. Envoi de factures dématérialisées associées à des demandes de règlements en ligne (Rubis) Traiter les demandes de vérification des coordonnées bancaires des entreprises ou des particuliers, pour lutter contre la fraude au virement et les rejets de prélèvements pour informations erronées (Diamond). À QUOI ÇA SERT ? Le réseau SEPAmail est intéressant pour faire des paiements en ligne, pour transférer des changements de domiciliation bancaire, mais surtout pour s’assurer des coordonnées bancaires d’un tiers, constituant la base même de la fraude aux faux fournisseurs. Cette solution peut être utilisée via une interrogation ponctuelle (saisie manuelle des IBAN, SIRET, raison sociale, adresse …), ou via un moteur de requête Diamond tel que celui inclus dans la solution MATA I/O. QUELS SONT LES AVANTAGES ? Le principal avantage est la fiabilisation des échanges avec vos clients, vos fournisseurs et vos salariés. Ainsi avant la constitution d’une campagne de virements, vous pourrez vérifier les comptes bancaires de vos nouveaux tiers pour éviter les fraudes. De même, avant une campagne de prélèvements, vous pourrez contrôler l’exactitude des coordonnées bancaires pour éviter des impayés lourds, couteux et qui décalent d’autant le versement des fonds sur vos comptes. ET LES LIMITES ? SEPAmail DIAMOND ne suffit pas pour se mettre à l’abri de la fraude, car c’est un réseau d’échange uniquement français. Il permet donc de vérifier de manière manuelle ou automatisée les coordonnées des nouveaux tiers français, et doit être complété d’une procédure de vérification spécifique pour les tiers étrangers (double workflow de validation) tel que proposé dans MATA I/O. Consultez MATA I/O Sécurité PLUS : Des indicateurs de sécurité supplémentaires COMMENT INTÉGRER SEPAMAIL DIAMOND DANS UNE POLITIQUE DE SÉCURITÉ GLOBALE ? SEPAmail via son application Diamond (Direct Identity Control for Account Management On Demand) permet de tester des informations relatives à des tiers que vous souhaitez prélever ou payer. Cette requête pourra être adressée à une banque adhérant au dispositif Diamond (même s’il ne s’agit pas de la banque ou est domicilié le compte du tiers). Cette interrogation nécessite de fournir une information complète (IBAN, SIRET, raison sociale, adresse…). La réponse consistera en un retour validant chacun des critères soumis à la requête. En aucun cas, la réponse ne peut compléter des informations manquantes ou erronées. Cette solution a pour objectif de déceler les erreurs de saisie, falsifications d’IBAN concernant des comptes français. L’interrogation manuelle sur les sites des banques est fastidieuse, peu adaptée aux gros volumes des entreprises. MATA inclut dans sa solution MATA I/O SECURITE PLUS un mécanisme permettant de générer automatiquement la requête sur l’ensemble des nouveaux tiers français créés par fichier crypté sous EBICS en bloquant (ou pas) tout règlement sur ce compte tant que le retour bancaire n’est pas arrivé (en général le lendemain). D’autre part MATA complète l’offre SEPAmail en fournissant au signataire les garanties concernant les tiers payés en particulier à l’international (double workflow de validation, base de tiers sécurisée et cryptée, date de dernière modification du compte, pays ou comptes blacklistés, alerte sur paiements récurrents ou anormalement élevés…) Grace à un outil d’interfaçage simple et automatisable, MATA I/O peut fonctionner en interface avec n’importe quel ERP ou comptabilité du marché. Pour en savoir plus , contactez nous