Une fraude en pleine mutation grâce à l’IA générative

Les fraudeurs disposent aujourd’hui de technologies autrefois réservées à des experts. Quelques clics suffisent pour générer :

• - des images truquées de produits “censés” être cassés,
• - des justificatifs falsifiés,
• - des identités synthétiques bien travaillées.

Comme l’explique TF1, des vendeurs particuliers voient désormais des litiges ouverts à partir de photos manipulées par IA, avec parfois un traitement automatisé qui se retourne… contre la victime honnête elle-même.

Un utilisateur interviewé raconte ainsi avoir perdu 180 € à cause d'une image générée par IA qui montrait un vinyle soi-disant brisé — un objet qui, de nature, ne se casse pas de cette manière. Le système automatisé de la plateforme a pourtant donné raison au fraudeur, illustrant la vulnérabilité des contrôles classiques.

Ce phénomène s’inscrit dans une tendance mondiale : la fraude aux images truquées explose, avec une croissance de 15 % des clichés falsifiés dans les réclamations depuis début 2025.

Trois grandes évolutions observées par Oneytrust

Chez Oneytrust, nos experts constatent trois transformations majeures :

1. Une fraude plus sophistiquée

L’IA générative permet de produire des images très réalistes, parfois impossibles à distinguer à l’œil nu. Des identités synthétiques ou des factures recréées pixel par pixel peuvent berner les systèmes traditionnels de vérification.

2. Une industrialisation des tentatives

Ce qui relevait autrefois d’un travail manuel devient automatisé. Les fraudeurs lancent désormais de vastes campagnes coordonnées, augmentant drastiquement le volume de tentatives détectées sur les sites e-commerce.
Cette industrialisation est confirmée par le reportage TF1, qui alerte sur des vagues d’escroqueries affectant potentiellement des millions de personnes. 

3. De nouveaux signaux faibles

Les méthodes classiques ne suffisent plus. Lorsque les preuves sont générées par IA, les comportements, les métadonnées et les incohérences contextuelles deviennent les nouveaux terrains d’analyse.

 AI: an essential tool for countering these new attacks

Face à des fraudeurs qui utilisent l’IA, les solutions de lutte contre la fraude doivent évoluer. C’est pour cela qu’Oneytrust a intégré des modèles d’intelligence artificielle avancés au cœur de ses technologies.

Nos systèmes permettent notamment de :

Repérer les incohérences comportementales et contextuelles

Fréquence des retours, historiques inhabituels, adresses ou appareils multiples : les patterns parlent.
Notre solution croise ces signaux pour identifier les abus bien avant qu’ils ne se répètent de manière visible. 

S’adapter en temps réel

Les méthodes de fraude changent chaque semaine. Nos modèles se recalibrent en continu pour suivre ces évolutions et bloquer les attaques émergentes.

Identifier les réseaux organisés

Grâce à l’analyse de la structure de la donnée, la corrélation des éléments d’identité, d’appareils et d’historique réseau, Oneytrust expose les groupes criminels organisés qui opèrent sous différentes identités ou comptes.

Ajuster la détection à vos process de retour

Oneytrust s’adapte finement aux politiques de retour et aux parcours internes de chaque enseigne, en intégrant leurs règles, leurs seuils et leurs spécificités opérationnelles.

Le véritable enjeu : préserver la confiance

Dans ce contexte, la question n’est plus seulement de bloquer la fraude.
Il s’agit de protéger la relation de confiance entre les marchands et leurs clients.

Un excès de suspicion peut dégrader l’expérience d’achat. Une trop grande permissivité peut encourager les abus et fragiliser les modèles économiques. L’équilibre est donc subtil — et l’IA joue un rôle crucial pour différencier avec précision :

• - les acheteurs honnêtes,
• - des fraudeurs opportunistes,
• - des réseaux criminels organisés.

Oneytrust s’engage à maintenir cet équilibre en combinant technologie de pointe et expertise humaine.

Fraude et IA : un défi immense… mais loin d’être insurmontable

L’intelligence artificielle a profondément transformé le paysage de la fraude au remboursement. Elle donne aux fraudeurs de nouveaux outils, mais elle renforce encore plus la capacité des entreprises à les détecter et les stopper.

Avec un investissement continu, des modèles de plus en plus performants et une collaboration renforcée de tout l’écosystème, ce combat est non seulement possible, mais gagnable.

La confiance est l’un des fondements du commerce en ligne. Ensemble, continuons à la protéger.

The post Refund fraud: when AI becomes a tool for fraudsters… appeared first on Oneytrust.

1. La nouvelle définition large d’un « système d’IA »

Le texte définit un système d’IA de manière très large comme un “système basé sur une machine, fonctionnant avec divers degrés d’autonomie, capable de s’adapter après déploiement et qui, pour des objectifs explicites ou implicites, déduit à partir des données comment générer des résultats (prédictions, contenu, recommandations, décisions) influençant des environnements physiques ou virtuels”.

Cette portée technologique large est complexe à décliner opérationnellement mais le marché s’accorde à considérer que cela englobe les approches sophistiquées comme l’apprentissage automatique (ML), les approches hybrides règles experts + machine learning, et l’optimisation avancée.

Avec la prolifération de l’usage de l’IA par les fraudeurs, les entreprises de confiance de lutte contre la fraude comme Oneytrust devront toujours davantage développer leur panoplie de solutions IA afin d’alimenter leurs moteurs de scoring, d’alerte comportementale ou d’analyse d’anomalies afin de rester à l’ère du temps et d’identifier des schémas de fraude de plus en plus sophistiqués.

2. Risques : où se situe la détection de fraude ?

L’AI Act classe certains usages « haut risque » (biométrie critique, emploi, éducation, accès à des services essentiels comme le crédit scoring, la tarification de l’assurance santé…). Ces systèmes sont autorisés mais doivent faire office d’un système de gestion des risques très poussé et d’une évaluation de leur conformité avant mise sur le marché.

Exception notable : l’IA utilisée pour détecter la fraude financière n’est pas automatiquement “haut risque”. Cela réduit la charge réglementaire directe, mais ne supprime pas les attentes de transparence, de qualité des données et de surveillance humaine que les établissements régulés répercutent contractuellement leurs filiales et fournisseurs (comme Oneytrust).

3. Quelles dates clés retenir ?

Les principales entrées en application des exigences de l’AI Act sont séquencées dans le temps. Voici les principales dates à retenir :

• - 2 février 2025: entrée en application des interdictions « risque inacceptable » + exigence d’AI literacy (sensibilisation/formation des personnels impliqués dans l’IA).
• - 2 août 2025: obligations pour modèles d’IA à usage général (GPAI) commencent à s’appliquer (IA générative).
• - 2 février 2026: deadline européenne pour certains actes d’exécution (plans de surveillance post‑marché).
• - 2 août 2026: obligations pour systèmes d’IA à haut risque.
• - Août 2027: application générale de l’ensemble des dispositions du règlement.

4. Pourquoi se préparer même sans être “à haut risque” ?

Les fraudeurs s’industrialisent avec l’IA. Deepfakes, faux documents générés, scripts automatisés d’attaque, automatisation du recours aux identités synthétiques : la fraude se scale. Les acteurs de la lutte contre la fraude doivent s’adapter aussi vite à ces nouvelles tendances.

Bien que la lutte contre la fraude ne soit pas considérée explicitement comme étant à haut risque, il est essentiel de garantir des solutions respectueuses des droits fondamentaux et de la vie privée des clients et utilisateurs finaux, que ce soit en respect du RGPD ou de l’AI Act. De plus, les attentes des partenaires régulés (principalement du secteur bancaire) sont de plus en plus fortes car ils sont soumis à des exigences sectorielles qui nécessitent traçabilité, une bonne documentation et une vigilance renforcée sur la qualité des données utilisées pour satisfaire leur superviseur.

5. La réponse Oneytrust

Oneytrust fournit des solutions de vérification d’identité et de détection de fraude pour e-commerçant, fintechs et banques, s’appuyant sur des solutions IA couplées à notre expertise humaine de la lutte contre la fraude depuis 25 ans pour détecter identités synthétiques, anomalies transactionnelles et signaux de risque en temps réel. Nous sommes membres du Groupe BPCE, ce qui nous pousse à des standards élevés de conformité et de gouvernance des modèles.¹

Tout comme avec le RGPD, nous n’avons pas attendu pour cultiver notre expertise sur l’AI Act et avons depuis plusieurs années sensibilisé et formé notre personnel à ces nouvelles problématiques de conformité. Contactez-nous si vous souhaitez en savoir plus sur la vision d’Oneytrust en matière de conformité et gestion des risques de l’IA !

The post AI Act and Fraud Prevention : why the market must prepare appeared first on Oneytrust.

Ce quelque chose, ce sont les signaux faibles.

Qu’est-ce qu’un signal faible en identité digitale ?

Un signal faible, comme son nom l’indique, n’est pas une alerte rouge. C’est un détail. Une micro-anomalie. Une incohérence presque invisible (où plutôt ignorée) prise isolément, mais qui prend tout son sens lorsqu’elle est corrélée à d’autres éléments.

Par exemple :

• - un appareil connu… mais dont l’empreinte technique a légèrement changé ;
• - une connexion depuis une ville habituelle… à une heure totalement atypique ;
• - une frappe clavier correcte… mais avec un rythme inhabituel ;
• - un parcours utilisateur fluide… mais parcouru à une vitesse trop rapide pour être humaine.

Aucun de ces éléments ne suffit, seul, à légitimer le blocage d’un évènement. Mais ensemble, ils racontent une histoire différente de celle que les données déclaratives laissent croire.

Pourquoi les signaux forts ne suffisent plus

Historiquement, la sécurité reposait sur des éléments binaires : mot de passe correct, code SMS validé, appareil reconnu.

Le problème ? Ces preuves peuvent être volées, interceptées ou simulées.

Les malwares, le phishing, les fuites massives de données et les outils d’automatisation ont transformé les identifiants en simple matière première pour les fraudeurs. Même l’authentification forte n’est plus infaillible face aux attaques par proxy en temps réel ou à la prise de contrôle à distance.

Résultat : un utilisateur peut cocher toutes les cases de la légitimité tout en étant un fraudeur. C’est précisément là que les signaux faibles deviennent déterminants.

Les signaux faibles racontent un comportement, pas une identité déclarée

Une identité déclarée peut être falsifiée. Un comportement, beaucoup plus difficilement.

Les signaux faibles permettent de répondre non pas à la question “Ces informations sont-elles correctes ?” mais à “Cette manière d’agir ressemble-t-elle à celle d’un humain légitime dans ce contexte précis ?”

On entre alors dans une lecture dynamique de l’identité digitale, basée sur la cohérence des habitudes, la continuité des interactions et la logique des enchaînements d’actions.

De l’événement isolé à l’histoire comportementale

Le véritable pouvoir des signaux faibles ne réside pas dans un instantané, mais dans la durée.

Une connexion étrange peut être anodine. Deux anomalies rapprochées commencent à interpeller. Une série de micro-écarts dessine un scénario de fraude.

C’est en reliant ces points que l’on passe d’un contrôle ponctuel à une surveillance comportementale continue. L’identité digitale cesse d’être un état pour devenir une probabilité évolutive.

Le défi : détecter sans dégrader l’expérience

Exploiter les signaux faibles ne signifie pas multiplier les frictions.

L’objectif est d’adapter le niveau de vigilance : demander une vérification supplémentaire uniquement quand le risque augmente, surveiller silencieusement les comportements douteux, déclencher des contrôles renforcés sur les actions sensibles.

Autrement dit : rendre la sécurité proportionnelle au risque réel.

Quand l’adresse email devient un signal faible

Une adresse email est souvent perçue comme un simple identifiant de contact. Pourtant, elle contient une richesse d’informations sous-estimée lorsqu’on l’analyse sous un angle sémantique et comportemental.

Prenons deux exemples : marie.dupont@yahoo.fr et ma.rie_du.pont1567@gmail.com.

Les deux adresses sont techniquement valides. Les deux peuvent passer les contrôles classiques. Mais elles ne racontent pas la même histoire.

L’analyse sémantique consiste à observer la structure, la logique et la cohérence d’une adresse email par rapport au contexte déclaré par l’utilisateur.

Des indices discrets mais parlants peuvent émerger : nom de domaine, composition du username, présence de mots-clés promotionnels, série de chiffres cohérente ou non, complexité inhabituelle, ou récurrence de modèles similaires observés dans des fraudes précédentes.

Pris isolément, aucun de ces éléments ne prouve une fraude. Mais ils peuvent indiquer qu’une adresse a été créée rapidement, en masse, ou dans un objectif purement transactionnel plutôt que relationnel.

Une vraie identité digitale laisse souvent des traces de continuité. À l’inverse, dans de nombreux scénarios de fraude, l’adresse email est un outil jetable conçu pour passer un contrôle technique, pas pour refléter une identité durable.

L’analyse sémantique permet donc de répondre à une question subtile : cette adresse ressemble-t-elle à un point de contact humain ou à un artefact fonctionnel créé pour un scénario précis ?

Encore une fois, la valeur vient de la corrélation : email à structure inhabituelle, création de compte rapide, appareil récemment vu sur d’autres comptes, navigation automatisée. C’est l’agrégation de ces signaux faibles qui fait émerger un risque crédible.

De la donnée brute à l’intelligence contextuelle

Les signaux faibles existent déjà dans vos systèmes : logs techniques, données de navigation, métadonnées des appareils, séquences d’actions.

La différence ne vient pas de la quantité de données, mais de la capacité à les corréler en temps réel, les contextualiser selon le parcours, apprendre des schémas passés et détecter les déviations subtiles.

L’identité digitale n’est plus un dossier, c’est un flux

Pendant des années, nous avons traité l’identité comme un fichier : des informations statiques à vérifier une fois pour toutes.

Les signaux faibles nous obligent à changer de paradigme. L’identité devient un flux continu de comportements, qui se confirme ou se dégrade au fil des interactions.

En conclusion

Les grandes fraudes se cachent rarement derrière de grosses anomalies. Elles se dissimulent dans les détails que l’on ne regarde pas.

Apprendre à lire les signaux faibles, c’est accepter que la vérité ne se trouve plus dans une preuve unique, mais dans l’accumulation de micro-indices. Dans un monde où les identités peuvent être fabriquées, volées ou louées, cette lecture fine devient l’un des piliers de la confiance numérique.

The post Weak signals: those little-noticed details that reveal the authenticity of a digital identity appeared first on Oneytrust.

A travers l'Europe selon le MRC , les commerçants en ligne européens perdent déjà environ 2,8 % de leurs revenus à cause de la fraude, qui représente environ 3 % de toutes les commandes. Les usurpations d'identité et les piratages de comptes sont en forte augmentation, en partie alimentés par l'IA qui peut générer à grande échelle des identités fictives convaincantes et des scripts d'ingénierie sociale, selon l'agence britannique de lutte contre la fraude CIFAS. L'IA agentique ne fait que renforcer cette tendance des deux côtés de la barrière. 

Pour les commerçants et les sociétés financières, cependant, un dilemme se pose. De plus en plus, les acheteurs et les nouveaux clients utiliseront l'IA pour rechercher et acheter des biens et des services.  

À partir de maintenant, vous disposez essentiellement de deux nouveaux « segments de clientèle » dans vos données : 

• IA agentique légitime – les assistants commerciaux, les agents de paiement et les agrégateurs agissant pour le compte de personnes physiques. 
• IA agentique malveillante – des agents informatiques qui martèlent vos processus d'inscription, vos vérifications d'identité et vos paiements à grande échelle. 

La tâche des commerçants et des prestataires de services financiers consiste à collaborer avec leurs sociétés de détection des fraudes afin de se frayer un chemin à travers ce champ de mines. Chez Oneytrust, nous avons observé cette tendance émerger au cours de l'année 2025 et, comme le reste du monde, nous anticipons une forte augmentation en 2026.  

Donc, ce que vous ne voulez pas bloquer ; l'IA agentique est déjà utilisée comme interface consommateur pour les paiements et les achats : 

• Plusieurs options d'IA agentique font leur apparition en Europe , telles que « Agent Pay » de Mastercard, « Intelligent Commerce » de Visa, « Buy for Me » d'Amazon et « Shop with AI » de Google, où des agents initient des paiements dans le cadre de paramètres définis par le consommateur. 

• Les acteurs du secteur des paiements décrivent le « commerce agentique » comme des agents IA qui détiennent des autorisations conditionnelles pour effectuer des achats et des paiements au nom d'un utilisateur. Selon Visa, leur fonctionnement est similaire à celui des cartes enregistrées ou des paiements récurrents, mais ils offrent une expérience utilisateur conversationnelle et permettent une plus grande prise de décision.  

Les régulateurs sont à la traîne : la directive PSD2 ne mentionne pas l'IA, et même la directive PSD3/PSR ne fait référence à l'IA qu'une seule fois, dans le cadre de la prévention de la fraude. Mais les agents consommateurs font leur apparition malgré tout. 

Pour un commerçant, cela signifie qu'une partie du « trafic bot » est désormais un trafic à forte valeur ajoutée et conforme (l'IA faisant ce qu'un client fidèle lui a demandé de faire). Ces agents proviennent souvent d'adresses IP de centres de données, de navigateurs sans interface graphique ou d'appareils partagés, et réutilisent les identifiants et les moyens de paiement enregistrés, c'est-à-dire qu'ils sont très similaires aux bots que vous avez passé tant de temps à essayer de dissuader.  

Si vous bloquez tout ce qui ressemble à un agent, vous détruirez ce canal émergent et contrarierez les programmes, les PSP et les grands partenaires technologiques qui le soutiennent. 

Comment les fraudeurs utilisent l'IA agentique contre les commerçants et les banques 

Plusieurs tendances se dégagent des rapports européens et mondiaux : 

Remplissage de credentials et ATO avec des agents utilisant des ordinateurs (CUA). 

Selon un rapport de Push Security, les CUA de type « Opérateur » d'OpenAI montrent qu'ils peuvent se connecter à n'importe quelle application web, lire des pages, cliquer sur des boutons et gérer des flux complets comme un humain, mais à l'échelle d'un bot. Cela permet aux pirates de diffuser les identifiants volés sur des milliers de sites, puis d'effectuer des actions dans les applications une fois qu'ils y ont accès. 

Hameçonnage et ingénierie sociale à grande échelle alimentés par l'IA et visant les paiements. 

Le rapport 2025 du Conseil européen des paiements sur les menaces identifie le phishing et les deepfakes générés par l'IA comme des facteurs clés de la fraude APP et des escroqueries par usurpation d'identité, qui font disparaître les barrières linguistiques. 

Ouverture de compte et identité synthétique à l'échelle industrielle. 

Les spécialistes de la criminalité financière préviennent que l'IA agentielle sera utilisée pour inonder les services d'inscription en ligne des banques de demandes d'ouverture de compte très cohérentes et en plusieurs étapes, en réutilisant et en recombinant des éléments d'identité volés ou synthétiques. 

Fraude au paiement « speedruns ». 

Arkose Labs parle des agents qui contournent la navigation normale, accèdent directement aux points de terminaison à forte valeur ajoutée (tests de cartes, cartes-cadeaux, BNPL, articles coûteux) et s'adaptent en temps réel en cas de friction. 

Votre pile d'identification et de fraude va voir des agents IA tenter d'ouvrir des comptes et d'effectuer des achats 24 heures sur 24, 7 jours sur 7, certains de manière bienveillante, d'autres absolument pas. 

Pourquoi les défenses classiques contre les bots ne suffisent pas 

Le problème, bien résumé par un récent blog sur la fraude, est qu'à première vue, l'IA bénéfique et l'IA malveillante sont techniquement impossibles à distinguer. Les deux : 

• Exécutez dans des navigateurs ou des CUA qui déplacent la souris, font défiler et cliquent comme des humains. 
• Peut introduire une instabilité dans les synchronisations et les frappes au clavier. 
• Peut respecter (ou imiter délibérément) vos flux UX. 

Les règles traditionnelles relatives aux bots (« IP du centre de données = blocage », « trop rapide = bot », « pas de souris = bot ») sont ici des outils peu efficaces qui pénalisent les agents de paiement légitimes autant que les attaquants. Il faut cesser de raisonner en termes de « bot contre humain » et commencer à réfléchir en termes d'intention et de comportement au niveau de l'identité, de l'appareil et du parcours. 

Comment distinguer les bons agents des mauvais 

Pour les commerçants et les banques qui utilisent un fournisseur de services d'identification et de lutte contre la fraude tel que Oneytrust, la stratégie de détection pour ce cas d'utilisation se présente globalement comme suit. 

Traiter « l'agent » comme sa propre classe d'identité 

La première étape consiste à modéliser explicitement le trafic des agents : 

Marquez les sessions où l'agent utilisateur, le comportement de l'appareil ou le modèle d'intégration indiquent clairement une couche d'IA ou d'automatisation. 

Maintenir des bases de référence distinctes pour les risques suivants : 

Séances humaines 

Agents propriétaires (automatisation de votre propre application) 

Agents tiers de confiance (moyens de paiement des grandes entreprises technologiques, partenaires officiels et nouveaux agents d'achat IA mentionnés ci-dessus) 

Agents inconnus / suspects 

Les agents légitimes ont tendance à être stables dans le temps : même fournisseur, plages d'adresses IP similaires, même petit ensemble d'identités et calendrier prévisible, tout comme les personnes légitimes. Les agents malveillants se dispersent entre différentes identités, différents commerçants et différentes institutions, imitant ainsi leurs créateurs frauduleux.  

Cohérence au niveau de l'identité et des données 

C'est là que votre couche d'identité numérique prend tout son sens. Le positionnement de Oneytrust est très clair :avec l'essor de l'IA générative, des deepfakes et de la fraude à l'identité synthétique, les contrôles KYC statiques deviennent un risque pour la sécurité. D-Risk ID se concentre sur la cohérence contextuelle des données d'identité (téléphone, e-mail, appareil, adresse, etc.) et peut effectuer une validation croisée avec un consortium d'identités réelles et validées provenant des principaux détaillants et banques européens. 

Contre l'IA agentique 

Les agents légitimes réutiliseront principalement des identités connues et fiables : longue histoire, habitudes de consommation normales, historique cohérent des appareils, correspondances solides dans les données des consortiums. 

Les agents malveillants qui tentent d'ouvrir des comptes en masse ou de tester des identités volées produiront : 

• De nombreuses identités vues pour la première fois dans un court laps de temps. 
• Correspondances faibles ou inexistantes avec les graphes d'identité réels. 
• Modèles synthétiques (combinaisons nom/adresse e-mail inhabituelles, inadéquation entre la localisation géographique et le numéro de téléphone/l'adresse e-mail, infrastructure jetable). 

Votre système de notation doit considérer par défaut les « nouvelles identités + sessions d'agent » comme présentant un risque élevé, sauf si l'identité est clairement ancrée dans votre consortium / vos données historiques. En réalité, les agents légitimes ressemblent en fait aux modèles et aux identités des utilisateurs légitimes. Ouf ! 

De plus, les agents de paiement légitimes proviennent souvent d'un petit parc d'appareils stable, avec des relations contractuelles claires. Vous pouvez progressivement ajouter ces modèles à votre liste blanche une fois que vous êtes certain qu'ils sont fiables. 

Comportement sur place 

C'est là que l'IA malveillante se trahit vraiment. 

Les agents malveillants ont tendance à passer directement de l'entrée à la connexion/inscription/paiement sans aucune navigation ni hésitation ; ils n'explorent pas le contenu, ils se contentent de remplir les formulaires. Ils peuvent sur-indexer les entrées de bons/codes, les paiements BNPL, les cartes-cadeaux, les produits à limite élevée, bref tout ce qui offre un meilleur rendement par seconde. Là encore, leur comportement est très similaire à celui des fraudeurs humains, mais à une vitesse supérieure.  

En revanche, les agents consommateurs légitimes lisent le contenu des produits, comparent les options et respectent les préférences des utilisateurs définies en amont. Ils reviennent souvent vers les mêmes marchands et catégories, avec des taux de litiges/rétrofacturation faibles au fil du temps. Vous pouvez créer un modèle qui reconnaît et autorise les bons comportements et les agents, comme vous le faites pour les bons acheteurs.  

En résumé, votre pile anti-fraude doit être capable de distinguer « un agent qui se comporte comme un proxy de client à long terme » d'un « agent qui se comporte comme un script de credential stuffing avec une interface utilisateur ». 

1. Ne bannissez pas l'automatisation, classez-la. 

Intégrez explicitement la prise en charge du trafic des « agents de confiance » dans vos modèles de risque au lieu de traiter toutes les sessions non humaines comme hostiles. 

2. Reliez tout à une identité réelle. 

Appuyez-vous fortement sur les données relatives à l'identité et au consortium : si un agent agit pour le compte d'identités que vous ne pouvez pas ancrer dans le monde réel, relevez considérablement la barre. Discutez avec Oneytrust de nos réseaux graphiques.  

3. Utilisez une friction adaptative, pas des blocages généraux. 

Pour les cas « nouvelle identité + agent + produit à haut risque », optez par défaut pour une vérification supplémentaire : SCA renforcée, contrôles d'identité supplémentaires ou confirmation hors bande. Les règles européennes PSD3/PSR poussent de toute façon les PSP à renforcer leurs contrôles et leur responsabilité en matière de fraude par usurpation d'identité – les commerçants peuvent surfer sur cette vague. 

4. Se conformer aux directives de l'ABE relatives à l'intégration à distance 

Les directives EBA’s remote relatives à l'intégration à distance exigent des processus robustes et sensibles au risque pour l'ouverture de comptes en ligne, y compris des contrôles visant à détecter l'usurpation d'identité et la falsification de documents d'identité. Vous avez donc pour mission de mettre en place des contrôles comportementaux et d'identité plus approfondis lors de la création de comptes par des agents, sans pour autant pénaliser les clients légitimes. 

5. Instrument et limitation du débit que les agents adorent 

L'inscription, la connexion, la réinitialisation du mot de passe, l'ajout d'un moyen de paiement et les demandes de produits à haut risque doivent être soumis à des limites de fréquence précises et à une détection des anomalies spécialement adaptées à J'ai réorganisé le document en uniformisant les titres et les en-têtes, en supprimant toute numérotation et en nettoyant le contenu conformément à vos instructions.

The post Agentic AI  – what you need to know in 2026  appeared first on Oneytrust.

Chaque retour implique plusieurs acteurs : service client, entrepôt, transporteur. Trop souvent, ces systèmes fonctionnent en silos, entraînant des délais, des erreurs et une expérience client dégradée. Un colis déposé en point relais peut rester invisible pour le service client, générant des appels, des frustrations et des remboursements tardifs.

C'est là qu'intervient Reversys , sa plateforme SaaS collaborative met fin à cette fragmentation en orchestrant l’intégralité du flux retour, de la déclaration en ligne jusqu’au remboursement. Elle centralise l’information pour tous les acteurs, garantit la cohérence des opérations et offre une agilité inédite. Les e-commerçants peuvent personnaliser leurs politiques : rembourser immédiatement un client VIP dès le dépôt du colis, ou attendre la vérification pour un produit à forte valeur. Cette orchestration transforme le retour en un levier stratégique, capable de renforcer la satisfaction et la fidélisation.

Un phénomène en forte croissance : la fraude aux retours

Mais derrière la complexité opérationnelle se cache un danger encore plus grand : la fraude. Avec la sécurisation des paiements, les fraudeurs ont déplacé leurs attaques vers les retours. Ce phénomène, appelé return abuse, prend des formes variées : retours de produits utilisés ou usagés sous prétexte d’un défaut, demandes de remboursement pour des produits reçus mais déclarés comme non livrés, ou exploitation des politiques de retour gratuites ou prolongées.

Les chiffres sont sans appel et montrent une tendance inquiétante. En 2023, 13,7 % des retours ont été jugés frauduleux, soit une hausse de plus de 10 % en un anselon Datadome. En 2024, 40 % des commerçants déclaraient avoir été victimes de return abuse,d’après le 2025 Global Fraud and Payments Report par Visa / Cybersource.

Ce qui est encore plus préoccupant, c’est que la majorité des entreprises ne sont pas prêtes. En 2021, neuf entreprises sur dix craignaient une accentuation du risque de fraude et de cybercriminalité, mais six sur dix n’avaient pas alloué de budget spécifique pour y faire face (Fevad / Euler Hermes). Autrement dit, la menace est connue, mais les moyens pour la contrer restent insuffisants.

La réponse : l’alliance Reversys x Oneytrust

Pour relever ce double défi – opérationnel et sécuritaire – Reversys and Oneytrust s'associent. Ensemble, ils offrent une solution unique qui combine orchestration intelligente et analyse prédictive du risque.

Reversys fluidifie et personnalise la logistique inverse, tandis qu’Oneytrust, leader européen de la lutte contre la fraude e-commerce, apporte son expertise en scoring comportemental et détection proactive. Dès la déclaration de retour, Oneytrust évalue le risque en temps réel. Reversys exploite cette information pour ajuster la stratégie : remboursement immédiat pour les clients fiables, contrôle renforcé pour les profils à risque, choix du transporteur le plus sécurisé ou le plus économique selon le contexte.

Cette approche réduit drastiquement la fraude tout en garantissant une expérience premium aux clients honnêtes. Elle redonne aux e-commerçants la maîtrise de leurs retours, transformant un processus souvent perçu comme une contrainte en un levier de performance et de rentabilité.

Le saviez-vous ?

En intégrant la fiabilité de Oneytrust à la gestion des retours de Reversys, les e-commerçants peuvent anticiper les risques avant même que le colis n’atteigne l’entrepôt, protégeant ainsi leur chiffre d’affaires et leur réputation.

Votre entreprise est-elle prête à affronter la fraude aux retours ? Découvrez comment Reversys et Oneytrust peuvent transformer votre logistique inverse ! Découvrez les solutions proposées par Reversys..

The post E-commerce returns: between operational challenges and the risk of fraud, how Reversys and Oneytrust are reinventing reverse logistics appeared first on Oneytrust.

• Faciles à détourner: Un cookie volé peut suffire à usurper une identité en ligne.
• Riches en données sensibles: Identifiants, sessions, préférences… autant d’informations exploitables pour des attaques ciblées.
• Invisible pour l’utilisateur: La plupart des internautes ignorent la portée des informations stockées, ce qui facilite les fraudes.

Les impacts pour votre marque

• Fraude publicitaire: Des cookies falsifiés gonflent artificiellement les impressions et les clics, faussant vos KPIs et augmentant vos coûts.
• Usurpation de session: Un pirate peut accéder à des comptes clients, générant des transactions frauduleuses.
• Atteinte à la réputation: Une faille exploitée via les cookies peut nuire à votre image et à votre conformité RGPD.

Exemples de techniques utilisées par les fraudeurs

• Reniflage de session: Interception des cookies sur des sites non sécurisés.
• Injection XSS: Scripts malveillants pour voler des cookies.
• CSRF: Actions frauduleuses exécutées à l’insu de l’utilisateur.
• Identifiants prévisibles: Exploitation d’algorithmes faibles pour deviner des sessions.

Comment protéger votre écosystème digital ?

• Surveillance proactive: Détecter les anomalies dans les comportements liés aux cookies.
• Solutions anti-fraude avancées: Identifier les cookies falsifiés ou clonés.
• Sensibilisation et transparence: Informer vos utilisateurs et renforcer la confiance.

En conclusion
Les cookies sont des outils précieux pour améliorer l’expérience utilisateur et optimiser les stratégies marketing. Mais leur exploitation par des fraudeurs représente un risque majeur : vol de sessions, usurpation d’identité, fraude publicitaire… Ces menaces peuvent impacter la confiance des clients, fausser vos indicateurs et nuire à votre image.

Pour rester compétitif et protéger votre écosystème digital, il est essentiel d’adopter une approche proactive : sécuriser vos parcours, intégrer des solutions anti-fraude et informer vos utilisateurs. Protéger les cookies, c’est protéger votre business et votre réputation.

Contact us to secure your customer journeys and build trust in your services.

The post Cookies: a marketing ally… but also a loophole for fraud appeared first on Oneytrust.

À la différence d’une usurpation classique où le fraudeur vole l’intégralité d’une identité réelle, l’identité synthétique est un assemblage hybride.Elle combine des données authentiques (aux Etats-Unis d’Amérique, numéro de sécurité sociale, alors qu’ailleurs c’est plutôt le document d’identité national, date de naissance, adresse postale) et des informations inventées (classiquement : les données de contact). Cette combinaison crée un profil cohérent en apparence, notamment lorsque seules les données dites authentiques font l’objet de vérification / analyses (comme lors d’un KYC bancaire par exemple).

Résultat : les systèmes traditionnels, souvent calibrés pour valider une identité par la digitalisation d’usages traditionnels (« papiers s’il vous plait »), passent à côté.

Pourquoi les institutions sont vulnérables ?
Les fraudeurs exploitent la confiance accordée aux données partiellement véridiques. Aux États-Unis, avec un identifiant officiel valide ou une trace de crédit minimale, l’identité synthétique franchit les premières étapes de vérification. Le fraudeur peut ensuite “maturer” son identité :ouvrir un compte bancaire, souscrire à de petits crédits, payer régulièrement… jusqu’à obtenir une notation de crédit solide. Cette patience paie : une fois la crédibilité établie, le fraudeur contracte un prêt plus important, puis disparaît. On parle alors de “bust-out fraud”.

Le coût est considérable : outre Atlantique, la fraude à l’identité synthétique représente déjà plusieurs milliards de dollars de pertes chaque année, selon les estimations des grands cabinets. En Europe, les chiffres commencent à suivre la même tendance, notamment avec l’essor des parcours 100 % digitaux.

Les limites des approches classiques
Les contrôles traditionnels – vérification documentaire, scoring basé sur l’historique, analyse ponctuelle des évènements ou transactions – peinent à détecter ces profils hybrides. Les signaux faibles (username de l’email, attributs du numéro de téléphone, présence de « traces de pas digitales ») ne se révèlent qu’à travers un savoir-faire peu répandu. De plus, les réglementations actuelles se concentrent presque essentiellement sur la conformité KYC. Or, contrôle et lutte contre la fraude sont deux choses distinctes. La première englobe toutes les caractéristiques / étapes autorisant l’accès à un service… mais toute ceci étant exposé, elle permet en même temps de comprendre et donc contourner les mesures.

Vers une nouvelle approche de la détection
Face à cette menace, les entreprises doivent changer de paradigme. L’avenir réside dans des solutions capables de :

• - Allez au-delà de la donnée « déclarative », en étant capable d’y ajouter des informations supplémentaires.
• - Croiser les signaux dynamiques (comportements de navigation, empreinte machine, localisation) avec les attributs statiques de l’identité.
• - Détecter les incohérences relationnelles entre différentes identités : numéros de téléphone partagés, adresses recyclées, comptes reliés à un même appareil.
• - Exploiter l’intelligence artificielle pour analyser en temps réel des volumes massifs de données / informations et identifier des patterns invisibles à l’œil humain.

Ces approches permettent de transformer la détection : passer de la simple validation documentaire/contextuelle à une vision holistique et comportementale de l’utilisateur.

Un enjeu stratégique pour les acteurs digitaux
Les identités synthétiques ne sont pas un phénomène marginal : elles menacent directement la rentabilité, la conformité réglementaire et la relation de confiance avec les clients. Pour les banques, e-commerçants ou assureurs, investir dans des technologies avancées de prévention n’est plus une option : c’est une condition de survie dans l’économie numérique.

The post Synthetic identities: the invisible fraud that costs billions appeared first on Oneytrust.

Adopté en 2016 et entré en application le 25 mai 2018, le RGPD a transformé en profondeur la manière dont les entreprises collectent, traitent et sécurisent les données personnelles.

Ses objectifs :

• Renforcer les droits des citoyens européens.
• Responsabiliser les entreprises dans l’utilisation des données.
• Harmoniser les règles au sein de l’Union européenne.

Pour le secteur de la lutte contre la fraude, l’impact est majeur : la détection des anomalies et des comportements suspects repose sur l’analyse de nombreuses typologies de données personnelles (identité, moyens de paiement, historiques de transaction, etc.). Le RGPD impose donc de concilier sécurité, performance et respect des libertés individuelles.

2. Un héritage d’innovation et de sécurité avec notre autorisation CNIL historique

Bien avant l’entrée en application du RGPD, Oneytrust avait déjà intégré cette logique de conformité.

En effet, nous avons bénéficié un accord historique (FIA-NET dès 2005 et Oney Tech en 2013) avec la CNIL, autorisant la mutualisation des données de nos clients, principalement dans le secteur du e-commerce, moyennant des garanties pour le respect de la vie privée. Oneytrust est ainsi devenu l’unique acteur français à pouvoir bénéficier d’une telle expérience ancrée depuis plus de 20 années dans la mutualisation des données.

Cette autorisation, co-construite avec l’autorité de contrôle, a permis :

• de fluidifier considérablement le temps de parcours des clients déjà connus dans notre base de données,
• d’identifier plus efficacement les anomalies et tendances de fraude en s’appuyant sur les vélocités et en utilisant le recours à nos experts fraude pour prendre une décision,
• de protéger les consommateurs comme les marchands,
• tout en garantissant un niveau élevé de sécurisation des données personnelles.

Cette expertise a même été citée par la CNIL dans son Livre blanc de 2021, preuve de la valeur ajoutée et du caractère pionnier de notre démarche.

3. Une culture RGPD renforcée en interne

L’entrée en application du RGPD a marqué une nouvelle étape : au-delà des dispositifs techniques, nous avons misé sur la culture interne de conformité.

Chez Oneytrust, chaque collaborateur est acteur de la protection des données grâce à notamment :

• des formations annuelles obligatoires,
• des campagnes de sensibilisation régulières et newsletters mensuelles,
• l’intégration systématique de notre Data Protection Officer (DPO) et de l’équipe conformité dans nos projets,
• la réalisation d’une analyse d’impacts de protection de la donnée sur tous nos projets ayant un impact structurant en matière de données personnelles,
• une démarche d’amélioration continue pour adapter nos pratiques aux évolutions réglementaires.

Cette mobilisation collective a pour effet que la conformité ne soit pas seulement perçue comme un enjeu juridique et réglementaire par nos équipes, mais davantage une valeur partagée au quotidien, by-design, et faisant office de facteur différenciant chez Oneytrust dans un panorama d’acteurs de la lutte contre la fraudeoù nombreux sont les acteurs qui sont issus de pays hors-Europe.

4. Un niveau de sécurité renforcé grâce à notre appartenance à un grand groupe bancaire

Notre appartenance au groupe BPCE, deuxième acteur bancaire en France, impose un niveau d’exigence particulièrement élevé en matière de sécurité et de conformité. En effet, les acteurs bancaires sont non seulement soumis aux réglementations horizontales mais également à de nombreuses réglementations sectorielles du fait de la criticité de leurs activités.

Cela se traduit notamment par la participation active de Oneytrust à la communauté des DPO du groupe Oney, pour partager bonnes pratiques et veilles réglementaires, la mise en place et la réalisation de contrôles internes permanents (trimestriels, semestriels, annuels) qui nécessitent l’engagement de toutes nos équipes ou encore l’intégration des standards bancaires dans nos processus contractuels (annexes RGPD, clauses de sécurité). Tout ceci couplé à des mesures techniques avancées : tests de sécurité réguliers, sécurisation des flux de données, etc.

Ces engagements de Oneytrust renforcent la robustesse de nos dispositifs et la confiance accordée par nos clients et place la conformité by design au cœur de nos processus décisionnels et de nos projets.

5. Protection des données : un levier clé dans la lutte contre la fraude

La confiance est la clé de voûte de la lutte contre la fraude. Les consommateurs comme les entreprises doivent être assurés que la protection de leurs données est garantie, même dans les contextes les plus sensibles.

Chez Oneytrust, nous considérons le respect du RGPD comme une arme stratégique.Nous appréhendons celui-ci comme une opportunité : celle de légitimer notre rôle d’intermédiaire de confiance, garantir que la lutte contre la fraude s’exerce dans un cadre respectueux des libertés individuelles et de la vie privée tout en préparant aussi l’avenir.

En effet, avec la multiplication des usages de l’intelligence artificielle, de nouveaux défis émergent. Afin de contrer le recours de plus en plus massif de l’IA par les fraudeurs, il est devenu indispensable pour les acteurs de la lutte contre la fraude de démultiplier leurs usages de l’IA. Ceci nous permettant de rester adaptatifs et efficaces face à ces nouvelles tendances de fraude.

Toutefois, les IA exploitent massivement les données, notamment personnelles, et rendent indispensable une évolution continue des dispositifs de protection et de conformité. C’est la raison pour laquelle la CNIL (l’autorité de supervision française en charge du respect du RGPD) a publié d’ores et déjà plusieurs séries de fiches de recommandations sur le bon respect des données à caractère personnel en cas d’usage de l’IA. De nouveaux défis qui nécessitent d’être pleinement pris en considération par les acteurs de la lutte contre la fraude !

En conclusion, depuis plus de 25 ans, Oneytrust place la protection des données au cœur de son dispositif de lutte contre la fraude. Il faut voir le RGPD non comme une contrainte, mais davantage comme une chance de renforcer la confiance, de protéger nos clients et de garantir des solutions toujours plus efficaces et responsables.

Dans un contexte marqué par l’essor de l’intelligence artificielle, cette exigence n’a jamais été aussi essentielle. Elle guide notre engagement quotidien : associer sécurité, performance et respect des droits fondamentaux. N’hésitez pas à nous contacter si vous avez des questions sur la sécurisation de nos processus et solutions de lutte contre la fraude, y compris en matière de protection des données à caractère personnel !

The post GDPR and fraud prevention: a historic and strategic commitment for Oneytrust appeared first on Oneytrust.

Tout commence par de fausses annonces sur une marketplace réputée, proposant un jeu éducatif (boîte à histoire) portant le nom de MERLIN à un prix légèrement remisé par rapport à la concurrence. L’acheteur, séduit, passe commande. Mais derrière cette transaction se cache une mécanique bien huilée : le fraudeur utilise les données du client et une carte bancaire volée pour acheter le produit chez un commerçant légitime – l’un de nos partenaires spécialisés en puériculture.

Résultat : le client reçoit bien son produit, convaincu d’avoir fait une bonne affaire. Mais le commerçant, lui, fait face à une opposition bancaire et ne sera jamais payé.

Une détection rapide, une réaction immédiate

Grâce à un pic de ventes soudain sur ce produit, nos modèles ont détecté une anomalie : nos analystes sont immédiatement alertés. Des règles expertes sont mises en place pour nos équipes en moins de 4 heures ! Moins de 12 heures après la détection, le réseau était neutralisé. Cette efficacité repose sur la synergie entre notre service Data et notre cellule d’Investigations.

• Les Investigateurs ont analysé les signaux faibles pour reconstituer le mode opératoire.
• Les Data Analysts ont transformé ces insights en règles de sécurité renforcées, capables de bloquer les futures tentatives et de suivre l’évolution du réseau.

Enquête approfondie : connaître son ennemi

L’histoire ne s’arrête pas là. Nos experts ont poursuivi l’enquête pour comprendre en profondeur le fonctionnement du réseau :

• 4 boutiques “professionnelles” identifiées sur la marketplace, toutes enregistrées au nom d’entreprises différentes – usurpation d’identité.
• Actives depuis mars 2024, elles ont généré des centaines de commandes, exclusivement pour des jeux éducatifs.
• Le réseau de fraude manipulait les algorithmes de la plateforme pour faire remonter ses produits en tête des recherches, notamment grâce à des prix plus bas que les autres.

Résultat : quelques centaines d’euros de préjudice, mais des milliers d’euros de fraude évitée. Des règles de sécurité renforcées, des investigateurs aguerris, et des boutiques frauduleuses fermées. Une marketplace plus saine.

Le retour du réseau Merlin

En février 2025, le réseau revient, plus rusé. Cette fois, il cible deux autres partenaires via une nouvelle marketplace, avec des produits différents : du petit électroménager. Le jeu du chat et de la souris dure jusqu’en mai 2025, avec des ouvertures de fausses boutiques, des changements de produits et de commerçants ciblés.

Ce nouveau round a nécessité :

• Un monitoring constant,,
• Des évolutions régulières des règles de sécurité,,
• Une formation continue de nos Investigateurs,,
• Et surtout, une collaboration étroite avec nos partenaires commerçants, pleinement engagés dans cette lutte.

Comment se prémunir contre la fraude triangulaire ?

Voici les leviers essentiels pour anticiper et bloquer ce type de fraude :

1. Sensibilisation des utilisateurs: informer acheteurs et vendeurs sur les signaux d’alerte : prix trop bas, contacts suspects, demandes de paiement inhabituelles.
2. Vérification des identités: renforcer les contrôles sur les plateformes : justificatifs, vérifications croisées, etc.
3. Suivi des transactions: mettre en place des outils d’analyse pour détecter les comportements anormaux et les signaux faibles.

La fraude triangulaire est une menace croissante. Mais avec des outils adaptés, une vigilance constante et une collaboration active entre tous les acteurs du e-commerce, il est possible de la contenir efficacement.

The post MERLIN Network: the comeback! appeared first on Oneytrust.

a) Sécurité et protection des citoyens

La première mission de l’exploitation de l’identité digitale est de protéger. Un usager dont l’identité est usurpée subit des conséquences dramatiques : crédits contractés en son nom, litiges administratifs, réputation en ligne entachée. Disposer d’une identité digitale robuste, fondée sur des signaux techniques et comportementaux fiables, permet de limiter ces risques.

b) Confiance et fluidité des échanges

Pour une entreprise, accepter un nouveau client implique un risque. L’identité digitale fournit les éléments nécessaires pour établir un score de confiance : est-ce bien une personne réelle, cohérente, active depuis longtemps ? Cette confiance facilite ensuite les échanges, réduit les frictions (KYC allégé, parcours utilisateur fluide) et améliore l’expérience client.

c) Souveraineté et indépendance

Aujourd’hui, prouver son identité en ligne passe souvent par les grands acteurs privés (connexion via Google, Apple ou Facebook). Or, déléguer cette fonction stratégique à quelques entreprises pose un problème de souveraineté. Les États européens cherchent à reprendre la main, pour éviter une dépendance excessive et garantir la protection des données.

d) Inclusion et égalité d’accès

L’identité digitale ne doit pas devenir un facteur d’exclusion. Les publics éloignés du numérique (personnes âgées, zones rurales, populations précaires) doivent disposer de solutions simples et accessibles. L’équité passe par une conception inclusive de ces outils.

2. Perspectives d’avenir

À horizon 2030, l’identité digitale pourrait connaître trois grandes évolutions :

Standardisation accrue: adoption de normes internationales permettant une reconnaissance fluide entre pays et services.

Intégration biométrique: association renforcée avec les empreintes biométriques (voix, visage, empreinte digitale) pour sécuriser encore davantage l’accès.

Contrôle utilisateur renforcé: émergence de solutions où l’usager décide quelles briques de son identité partager, selon le contexte (par exemple : prouver sa majorité sans révéler sa date de naissance).

In a nutshell...

L’identité digitale n’est plus une curiosité technique. Elle est devenue le cœur battant des sociétés numériques. Elle protège, fluidifie, responsabilise, mais interroge aussi sur la surveillance et la souveraineté.

En la comprenant, décideurs et citoyens disposent d’un levier essentiel pour naviguer dans un monde où le virtuel et le réel sont indissociables. En définitive, l’identité digitale est la carte d’identité de l’ère numérique : intangible mais décisive, invisible mais incontournable..

The post Digital identity: the new identity card for the digital age – Part 2 appeared first on Oneytrust.