Qu’est-ce que la fraude à l’identité synthétique ?

Ces vingt dernières années, les ralentissements économiques – en particulier la grande récession de 2007-2009 – se sont accompagnés d’une augmentation de la criminalité financière. Dans ce contexte, la menace de la fraude à l’identité synthétique est devenue un problème de plus en plus sérieux et qui pourrait représenter selon Forbes près de 5 milliards de dollars d’ici 2024.

Confrontés à la propagation de ce type de fraude, les établissements financiers ne ménagent pas leur peine pour identifier, classifier et surmonter cette criminalité financière complexe. Sur 800 hauts dirigeants et responsables de la conformité interrogés dans le cadre de notre enquête mondiale sur la conformité, 31 % ont déclaré que le type de fraude qu’ils redoutent le plus en 2023 est la fraude à l’identité synthétique, devant la fraude vis-à-vis des personnes âgées (25 %) et les arnaques sentimentales (22 %). Cette préoccupation est de plus en plus partagée par les autorités de régulation également.

Qu’est-ce que la fraude à l’identité synthétique ?

Il y a fraude à l’identité synthétique lorsqu’un brassage de vraies et de fausses informations personnellement identifiables est utilisé pour usurper une identité dans l’optique de commettre une fraude. Par exemple, une identité synthétique peut être créée en associant le nom d’une personne, la date de naissance d’une autre et le numéro de sécurité sociale (NSS) d’une troisième.

Il existe deux grands types de fraude à l’identité synthétique : la fraude manipulée et la fraude fabriquée.

• Fraude à l’identité synthétique manipulée : Dans ce cas, l’identité est vraie mais une ou plusieurs informations personnelles ont été modifiées. Cette fraude est en général assez facile à détecter.
• Fraude à l’identité synthétique fabriquée, encore appelée fraude à l’identité Frankenstein : Cette fraude consiste à fusionner de vraies et de fausses informations pour créer une nouvelle identité. Ce type de criminalité financière connaît la plus forte augmentation dans le monde. Les usurpateurs associent souvent des éléments primaires tels que la date de naissance ou le NSS avec des éléments secondaires tels que le numéro de téléphone ou l’adresse email.

Aux États-Unis, un autre paramètre favorise la propagation du problème. Les numéros NSS ne sont pas attribués sur des critères géographiques mais sont aujourd’hui randomisés, ce qui complique pour les établissements le repérage d’anomalies révélatrices d’une fraude à l’identité synthétique.

Méthodes utilisées dans le vol d’identité synthétique

La principale méthode utilisée par les criminels pour créer des identités synthétiques consiste à dénicher et à acheter des informations personnelles sur le Dark Web, ce que les violations de données d’envergure ont rendu plus facile que jamais. Bien souvent, les usurpateurs achètent et utilisent les informations liées à l’identité d’un enfant, d’une personne âgée ou d’un détenu pour allonger le délai avant détection. Certains criminels sont même allés jusqu’à utiliser le NSS de personnes décédées.

Exemples de vol d’identité synthétique

• Monter un faux crédit : Le vol d’identité synthétique peut toucher l’industrie du crédit lorsqu’une identité fabriquée est utilisée pour ouvrir un compte bancaire. Les criminels jouent le jeu sur la durée, alimentant ces comptes pendant des mois voire des années jusqu’à pouvoir demander le crédit maximum. Certains font même l’effort de demander des cartes de fidélité et des cartes de bibliothèque pour donner encore plus de légitimité à leur « identité ». Une fois qu’ils sont en situation de pouvoir prétendre à un montant de crédit conséquent, les criminels passent à l’action, dilapident l’argent puis disparaissent.
• Fraude médicale : Les usurpateurs exploitent les informations d’assurance maladie de quelqu’un d’autre pour obtenir des médicaments délivrés sur ordonnance, consulter un médecin ou déposer des réclamations auprès de leur assureur.
• Exploiter le système d’aides sociales : La fraude à l’identité synthétique s’étend aussi à l’exploitation des aides gouvernementales, y compris les plans de soutien mis en place lors de la pandémie de COVID-19. Ces arnaques à l’identité ont coûté des centaines de milliers de dollars aux pouvoirs publics. Toutefois, les criminels tendent à préférer la fraude à l’identité synthétique des entreprises qui est plus lucrative à court terme. Selon les experts, le marché hypothécaire deviendra de plus en plus vulnérable au vol d’identité synthétique.
• Fausses déclarations de revenus : Les usurpateurs exploitent des informations personnelles volées pour déposer les déclarations de revenus de quelqu’un d’autre et empocher les remboursements.
• Décrocher un emploi : Des identités synthétiques peuvent être utilisées pour décrocher un emploi si l’usurpateur lui-même n’est pas en mesure de produire les justificatifs ou les recommandations que demandent les employeurs. Ces facteurs peuvent aussi amener les usurpateurs à solliciter des prêts ou à ouvrir des comptes bancaires.

Conséquences de la fraude à l’identité synthétique

Les pertes provoquées par la fraude à l’identité synthétique sont difficiles à évaluer puisque l’activité illégale est souvent liée à d’autres activités criminelles telles que le blanchiment d’argent, des trafics et le financement du terrorisme.

La fraude à l’identité synthétique n’est pas un crime sans victime car, au bout du compte, quelqu’un réalisera que son adresse ou son NSS ont été utilisés à son insu pour commettre une fraude. La victime risque au final de se voir interdire par la suite l’accès au crédit. De même, il peut être particulièrement troublant d’être contraint de prouver que votre propre identité est bien la vôtre et pas celle d’un criminel financier.

Comme avec tous les types de fraude, les établissements financiers doivent augmenter leurs tarifs pour compenser les pertes subies. Et lorsque ce sont des administrations qui sont ciblées, le déficit de fonds publics infligé aux collectivités a une incidence sur la qualité des services aux usagers.

Comment détecter et prévenir la fraude à l’identité synthétique

S’il est notoire que la fraude à l’identité synthétique est difficile à dépister, les solutions suivantes peuvent aider les établissements financiers à garder une longueur d’avance pour atténuer efficacement le risque :

• Vérification de l’identité : La vérification des documents d’identité délivrés par les autorités officielles s’impose comme une étape incontournable de l’entrée en relation d’affaires avec de nouveaux clients. Par ailleurs, des contrôles réguliers doivent être instaurés pour obtenir des documents en cours de validité tout au long du cycle de vie du client.

• Apprentissage automatique : Les solutions de détection de fraude qui utilisent le regroupement d’identité et d’autres algorithmes d’apprentissage automatique peuvent identifier des réseaux de comptes qui opèrent en tandem. Ainsi, les établissements bénéficient d’une double protection en distinguant les comptes en apparence semblables au niveau des données mais qui fonctionnent différemment et les comptes de fonctionnement similaire mais dont les informations personnelles sont variables.

• Autorisation biométrique : Ce type d’autorisation utilise la technologie pour valider les caractéristiques biologiques d’un client en vérifiant notamment son image faciale ou son empreinte digitale, créant ainsi un niveau supplémentaire de protection et de sécurité.

• Supervision des transactions : Le contrôle et l’analyse des transactions pour rechercher un comportement discordant par rapport au profil de risque du client peuvent alerter l’équipe Conformité sur d’éventuels cas de fraude à l’identité synthétique. Une bonne solution de supervision des transactions doit être configurable et permettre à l’équipe Conformité de déployer des ensembles de règles qui recherchent des caractéristiques particulières révélatrices de différents types de fraude.

• Analyse de l’empreinte numérique : L’empreinte numérique peut servir à évaluer les intentions d’un client en enrichissant les données qu’il a fournies comme une adresse email ou un numéro de téléphone. L’absence d’empreinte en ligne peut être un signe de fraude sachant que, d’après les estimations 98 % des fraudeurs créent de nouveaux comptes email pour les associer aux informations de cartes volées qu’ils tentent d’utiliser.

Lutter contre le vol d’identité synthétique avec des solutions de LCB-FT

Les solutions propriétaires de conformité et antifraude, au fonctionnement généralement réactif, interviennent une fois le crime perpétré. Dans le domaine de l’identité synthétique par contre, les équipes ont besoin d’outils proactifs qui, toutefois, n’entravent pas l’expérience des clients.

Puisque les comptes créés tendent à se comporter comme des comptes normaux, les logiciels de détection des fraudes dotés de faibles ressources de connaissance du client (KYC) risquent de ne rien détecter de suspect. Au lieu de cela, les établissements doivent privilégier le déploiement d’une solution sophistiquée de filtrage des clients et de supervision des transactions qui s’appuie sur l’intelligence artificielle pour détecter et suivre les changements de comportement client en temps réel.

La conscience de la menace de la fraude à l’identité synthétique se développe mais une orientation claire et cohérente reste nécessaire de la part du secteur. Pour améliorer les taux de prévention et de détection, les acteurs antifraude doivent conjuguer leurs efforts, suivre les tendances et mutualiser les données.