sepa-fraude-prelevements-sdd.jpg

4 juin 2014

Migration SEPA : vers un accroissement des fraudes aux prélèvements SDD ?

sepa-fraude-prelevements-sdd.jpgMigration SEPA : Cette expression résonne dans les banques et les entreprises depuis plusieurs années maintenant. La majorité des entreprises sont désormais prêtes aujourd'hui à émettre des transactions au format SEPA, tant en termes de virements que de remises de prélèvements clients.

Cette évolution, à défaut de parler de « révolution », a toutefois ouvert une nouvelle porte aux fraudeurs, notamment sur les remises de prélèvements clients.

Mais qu'en est-il réellement ? Quelles sont les techniques utilisées par les fraudeurs et, surtout, quels sont les moyens qui s'offrent à nous pour les éviter ?

Rappel de l’ancien système

Auparavant, un client souhaitant payer par prélèvement automatique (EDF, eau, loyer, téléphone, abonnements divers…) fournissait, d’une part à sa banque et d’autre part à son créancier, une autorisation de prélèvement dûment complétée et signée.

Le créancier était identifié par le NNE fourni par la Banque de France.

À chaque prélèvement, la banque du débiteur contrôlait systématiquement la présence dans ses bases de données de cette autorisation de prélèvement. La banque avait ainsi la responsabilité de la gestion des autorisations de prélèvements sur les comptes de ses clients.

Aucune distinction n’était faite entre clients particuliers ou clients Entreprises.

Migration SEPA : Schéma du système SDD

Le passage aux prélèvements SDD a impliqué plusieurs modifications :

  • Identification du créancier par un ICS en remplacement du NNE, à demander à la banque et non plus à la Banque de France ;
  • Distinction entre clients Particuliers (SDD CORE) et clients Entreprises (SDD B2B) ;
  • Distinction entre 4 catégories de prélèvements :
    • FIRST (1er prélèvement),
    • RCUR (prélèvements récurrents suivants le 1er),
    • ONE OFF (prélèvement unique, ponctuel)
    • FINAL (Dernier prélèvement d’une série) ;
  • Modification du système de contrôle a priori ;
  • Utilisation d'un mandat plutôt que d’une autorisation de prélèvement.

La principale nouveauté sous SDD réside dans la gestion du mandat. Le mandat, signé par le client, indique au créancier l’acceptation par ce dernier de ce mode de règlement. Le mandat est aujourd’hui dématérialisé par le créancier qui doit le conserver informatiquement et en assumer la responsabilité (sachant que la responsabilité de l’autorisation de prélèvement appartenait auparavant à la banque).

Chaque ordre de prélèvement (clients Particuliers ou Entreprises) transmis en banque par le créancier inclut les informations de la version dématérialisée de ce mandat.   La deuxième grande nouveauté concerne le système de contrôle. Selon que votre client final est Particulier ou Entreprise, le système adopte ou non un contrôle a priori, sur le premier prélèvement (FIRST).

Pour les clients Particuliers (SDD CORE), aucun contrôle n’est fait par les banques sur la validité ou non du mandat. Seul l’ICS est validé de matière automatique par les serveurs bancaires.

Pour les clients Entreprises (SDD B2B), la banque du client Entreprise (débiteur) contrôle la validité du mandat et demande validation au débiteur uniquement pour le premier prélèvement du créancier (FIRST). L’ICS est également validé, de la même manière que pour le SDD CORE.

Notons qu'il est toutefois possible de demander en option un contrôle sur les prélèvements FIRST pour les clients CORE.

Les failles du système

C'est donc sans surprise que les principales failles portent sur la gestion du mandat et le système de contrôle.

La gestion du mandat est faite par le créancier et non plus par la banque du débiteur comme auparavant. Ainsi, un fraudeur possédant les informations bancaires des clients (collectées par pishing, fraude à l’ingénierie sociale, piratage de données…) peut ainsi envoyer des remises de prélèvements incluant de faux mandats.

La faille du système de contrôle est quant à elle de 2 types :

  • SDD CORE : aucun contrôle avant débit du compte.
  • SDD B2B : un seul contrôle réalisé uniquement sur les remises de prélèvements FIRST. La porte est donc ouverte pour les remises de prélèvements RCUR.

Et le contrôle systématique de l’ICS ? Oui, mais usurper l’ICS d’un grand remettant tel qu'EDF reste possible et permet alors de contourner ce problème.

Ainsi, les fraudeurs peuvent utiliser un ICS connu et envoyer en masse des remises de prélèvements récurrentes (RCUR) et souvent de faibles montants, afin de passer inaperçus.

Les moyens de limiter les fraudes

Que vous soyez Particulier ou Entreprise, le suivi quotidien de vos comptes bancaires permet de réagir au plus vite en cas de fraude.

L’idéal pour votre entreprise est de réaliser un rapprochement bancaire quotidien. Un travail d’automatisation de ce dernier doit être fait afin de gagner en productivité :

  • en utilisant un module de rapprochement bancaire automatique,
  • et en mettant en place une télématique bancaire adéquate.

D’autre part, avec le passage en SDD SEPA, vous avez la possibilité d’inscrire vos créanciers sur des listes (blanche ou noire), que vous soyez Particulier ou Entreprise :

  • La liste blanche correspond à la liste exhaustive des créanciers que vous autorisez à prélever votre compte,
  • La liste noire est son opposée puisqu'il s'agit de la liste des émetteurs de prélèvements que vous souhaitez bloquer.

Vous l’aurez compris : il n’y a pas de moyen efficace de bloquer un prélèvement frauduleux. Il s’agit simplement de réagir au plus vite afin de récupérer ses fonds le plus rapidement possible.

Que faire en cas de fraude ?

En cas de constat de fraude effective, vous devez vous retournez auprès de votre banque. Pour rappel, le délai de demande de remboursement pour opération non autorisée est de 13 mois maximum.

Derniers articles

10 juillet 2018

Informatisation des directions financières : le Bon, l’Incompétent et le Truand

Il y a 20 ans de cela, le Directeur Financier d’une grande société spécialisée dans les photocopieurs, me lâcha cette affirmation à propos des intervenants en informatique qu’il pouvait rencontrer : « Dans l’informatique de Gestion il y a un tiers d’escrocs, un tiers d’incompétents et un tiers de

Lire la suite »

2 juillet 2018

DAF en PME : humain trop humain

On a coutume de dire qu’au sein des PME les relations humaines priment et l’implication des salariés dans leur travail est supérieure à ce que l’on peut trouver dans les grands comptes. Cela est vrai à la lumière de mes dernières rencontres, l’une d’entre elles est exemplaire.

Lire la suite »

25 juin 2018

Fraude interne et charité chrétienne

Lors d’un Webinar BDO VIA FINANCE consacré à la « Sécurisation des Paiements, prérequis de la lutte contre la fraude », nous avons pris délibérément le parti d’évacuer le sujet de la fraude en interne dans les entreprises. Cela représente cependant 30 % des fraudes commises en 2017 au sein des

Lire la suite »