Une fraude en pleine mutation grâce à l’IA générative

Les fraudeurs disposent aujourd’hui de technologies autrefois réservées à des experts. Quelques clics suffisent pour générer :

• - des images truquées de produits “censés” être cassés,
• - des justificatifs falsifiés,
• - des identités synthétiques bien travaillées.

Comme l’explique TF1, des vendeurs particuliers voient désormais des litiges ouverts à partir de photos manipulées par IA, avec parfois un traitement automatisé qui se retourne… contre la victime honnête elle-même.

Un utilisateur interviewé raconte ainsi avoir perdu 180 € à cause d'une image générée par IA qui montrait un vinyle soi-disant brisé — un objet qui, de nature, ne se casse pas de cette manière. Le système automatisé de la plateforme a pourtant donné raison au fraudeur, illustrant la vulnérabilité des contrôles classiques.

Ce phénomène s’inscrit dans une tendance mondiale : la fraude aux images truquées explose, avec une croissance de 15 % des clichés falsifiés dans les réclamations depuis début 2025.

Trois grandes évolutions observées par Oneytrust

Chez Oneytrust, nos experts constatent trois transformations majeures :

1. Une fraude plus sophistiquée

L’IA générative permet de produire des images très réalistes, parfois impossibles à distinguer à l’œil nu. Des identités synthétiques ou des factures recréées pixel par pixel peuvent berner les systèmes traditionnels de vérification.

2. Une industrialisation des tentatives

Ce qui relevait autrefois d’un travail manuel devient automatisé. Les fraudeurs lancent désormais de vastes campagnes coordonnées, augmentant drastiquement le volume de tentatives détectées sur les sites e-commerce.
Cette industrialisation est confirmée par le reportage TF1, qui alerte sur des vagues d’escroqueries affectant potentiellement des millions de personnes. 

3. De nouveaux signaux faibles

Les méthodes classiques ne suffisent plus. Lorsque les preuves sont générées par IA, les comportements, les métadonnées et les incohérences contextuelles deviennent les nouveaux terrains d’analyse.

 AI: an essential tool for countering these new attacks

Face à des fraudeurs qui utilisent l’IA, les solutions de lutte contre la fraude doivent évoluer. C’est pour cela qu’Oneytrust a intégré des modèles d’intelligence artificielle avancés au cœur de ses technologies.

Nos systèmes permettent notamment de :

Repérer les incohérences comportementales et contextuelles

Fréquence des retours, historiques inhabituels, adresses ou appareils multiples : les patterns parlent.
Notre solution croise ces signaux pour identifier les abus bien avant qu’ils ne se répètent de manière visible. 

S’adapter en temps réel

Les méthodes de fraude changent chaque semaine. Nos modèles se recalibrent en continu pour suivre ces évolutions et bloquer les attaques émergentes.

Identifier les réseaux organisés

Grâce à l’analyse de la structure de la donnée, la corrélation des éléments d’identité, d’appareils et d’historique réseau, Oneytrust expose les groupes criminels organisés qui opèrent sous différentes identités ou comptes.

Ajuster la détection à vos process de retour

Oneytrust s’adapte finement aux politiques de retour et aux parcours internes de chaque enseigne, en intégrant leurs règles, leurs seuils et leurs spécificités opérationnelles.

Le véritable enjeu : préserver la confiance

Dans ce contexte, la question n’est plus seulement de bloquer la fraude.
Il s’agit de protéger la relation de confiance entre les marchands et leurs clients.

Un excès de suspicion peut dégrader l’expérience d’achat. Une trop grande permissivité peut encourager les abus et fragiliser les modèles économiques. L’équilibre est donc subtil — et l’IA joue un rôle crucial pour différencier avec précision :

• - les acheteurs honnêtes,
• - des fraudeurs opportunistes,
• - des réseaux criminels organisés.

Oneytrust s’engage à maintenir cet équilibre en combinant technologie de pointe et expertise humaine.

Fraude et IA : un défi immense… mais loin d’être insurmontable

L’intelligence artificielle a profondément transformé le paysage de la fraude au remboursement. Elle donne aux fraudeurs de nouveaux outils, mais elle renforce encore plus la capacité des entreprises à les détecter et les stopper.

Avec un investissement continu, des modèles de plus en plus performants et une collaboration renforcée de tout l’écosystème, ce combat est non seulement possible, mais gagnable.

La confiance est l’un des fondements du commerce en ligne. Ensemble, continuons à la protéger.

The post Refund fraud: when AI becomes a tool for fraudsters… appeared first on Oneytrust.

1. La nouvelle définition large d’un « système d’IA »

Le texte définit un système d’IA de manière très large comme un “système basé sur une machine, fonctionnant avec divers degrés d’autonomie, capable de s’adapter après déploiement et qui, pour des objectifs explicites ou implicites, déduit à partir des données comment générer des résultats (prédictions, contenu, recommandations, décisions) influençant des environnements physiques ou virtuels”.

Cette portée technologique large est complexe à décliner opérationnellement mais le marché s’accorde à considérer que cela englobe les approches sophistiquées comme l’apprentissage automatique (ML), les approches hybrides règles experts + machine learning, et l’optimisation avancée.

Avec la prolifération de l’usage de l’IA par les fraudeurs, les entreprises de confiance de lutte contre la fraude comme Oneytrust devront toujours davantage développer leur panoplie de solutions IA afin d’alimenter leurs moteurs de scoring, d’alerte comportementale ou d’analyse d’anomalies afin de rester à l’ère du temps et d’identifier des schémas de fraude de plus en plus sophistiqués.

2. Risques : où se situe la détection de fraude ?

L’AI Act classe certains usages « haut risque » (biométrie critique, emploi, éducation, accès à des services essentiels comme le crédit scoring, la tarification de l’assurance santé…). Ces systèmes sont autorisés mais doivent faire office d’un système de gestion des risques très poussé et d’une évaluation de leur conformité avant mise sur le marché.

Exception notable : l’IA utilisée pour détecter la fraude financière n’est pas automatiquement “haut risque”. Cela réduit la charge réglementaire directe, mais ne supprime pas les attentes de transparence, de qualité des données et de surveillance humaine que les établissements régulés répercutent contractuellement leurs filiales et fournisseurs (comme Oneytrust).

3. Quelles dates clés retenir ?

Les principales entrées en application des exigences de l’AI Act sont séquencées dans le temps. Voici les principales dates à retenir :

• - 2 février 2025: entrée en application des interdictions « risque inacceptable » + exigence d’AI literacy (sensibilisation/formation des personnels impliqués dans l’IA).
• - 2 août 2025: obligations pour modèles d’IA à usage général (GPAI) commencent à s’appliquer (IA générative).
• - 2 février 2026: deadline européenne pour certains actes d’exécution (plans de surveillance post‑marché).
• - 2 août 2026: obligations pour systèmes d’IA à haut risque.
• - Août 2027: application générale de l’ensemble des dispositions du règlement.

4. Pourquoi se préparer même sans être “à haut risque” ?

Les fraudeurs s’industrialisent avec l’IA. Deepfakes, faux documents générés, scripts automatisés d’attaque, automatisation du recours aux identités synthétiques : la fraude se scale. Les acteurs de la lutte contre la fraude doivent s’adapter aussi vite à ces nouvelles tendances.

Bien que la lutte contre la fraude ne soit pas considérée explicitement comme étant à haut risque, il est essentiel de garantir des solutions respectueuses des droits fondamentaux et de la vie privée des clients et utilisateurs finaux, que ce soit en respect du RGPD ou de l’AI Act. De plus, les attentes des partenaires régulés (principalement du secteur bancaire) sont de plus en plus fortes car ils sont soumis à des exigences sectorielles qui nécessitent traçabilité, une bonne documentation et une vigilance renforcée sur la qualité des données utilisées pour satisfaire leur superviseur.

5. La réponse Oneytrust

Oneytrust fournit des solutions de vérification d’identité et de détection de fraude pour e-commerçant, fintechs et banques, s’appuyant sur des solutions IA couplées à notre expertise humaine de la lutte contre la fraude depuis 25 ans pour détecter identités synthétiques, anomalies transactionnelles et signaux de risque en temps réel. Nous sommes membres du Groupe BPCE, ce qui nous pousse à des standards élevés de conformité et de gouvernance des modèles.¹

Tout comme avec le RGPD, nous n’avons pas attendu pour cultiver notre expertise sur l’AI Act et avons depuis plusieurs années sensibilisé et formé notre personnel à ces nouvelles problématiques de conformité. Contactez-nous si vous souhaitez en savoir plus sur la vision d’Oneytrust en matière de conformité et gestion des risques de l’IA !

The post AI Act and Fraud Prevention : why the market must prepare appeared first on Oneytrust.

Ce quelque chose, ce sont les signaux faibles.

Qu’est-ce qu’un signal faible en identité digitale ?

Un signal faible, comme son nom l’indique, n’est pas une alerte rouge. C’est un détail. Une micro-anomalie. Une incohérence presque invisible (où plutôt ignorée) prise isolément, mais qui prend tout son sens lorsqu’elle est corrélée à d’autres éléments.

Par exemple :

• - un appareil connu… mais dont l’empreinte technique a légèrement changé ;
• - une connexion depuis une ville habituelle… à une heure totalement atypique ;
• - une frappe clavier correcte… mais avec un rythme inhabituel ;
• - un parcours utilisateur fluide… mais parcouru à une vitesse trop rapide pour être humaine.

Aucun de ces éléments ne suffit, seul, à légitimer le blocage d’un évènement. Mais ensemble, ils racontent une histoire différente de celle que les données déclaratives laissent croire.

Pourquoi les signaux forts ne suffisent plus

Historiquement, la sécurité reposait sur des éléments binaires : mot de passe correct, code SMS validé, appareil reconnu.

Le problème ? Ces preuves peuvent être volées, interceptées ou simulées.

Les malwares, le phishing, les fuites massives de données et les outils d’automatisation ont transformé les identifiants en simple matière première pour les fraudeurs. Même l’authentification forte n’est plus infaillible face aux attaques par proxy en temps réel ou à la prise de contrôle à distance.

Résultat : un utilisateur peut cocher toutes les cases de la légitimité tout en étant un fraudeur. C’est précisément là que les signaux faibles deviennent déterminants.

Les signaux faibles racontent un comportement, pas une identité déclarée

Une identité déclarée peut être falsifiée. Un comportement, beaucoup plus difficilement.

Les signaux faibles permettent de répondre non pas à la question “Ces informations sont-elles correctes ?” mais à “Cette manière d’agir ressemble-t-elle à celle d’un humain légitime dans ce contexte précis ?”

On entre alors dans une lecture dynamique de l’identité digitale, basée sur la cohérence des habitudes, la continuité des interactions et la logique des enchaînements d’actions.

De l’événement isolé à l’histoire comportementale

Le véritable pouvoir des signaux faibles ne réside pas dans un instantané, mais dans la durée.

Une connexion étrange peut être anodine. Deux anomalies rapprochées commencent à interpeller. Une série de micro-écarts dessine un scénario de fraude.

C’est en reliant ces points que l’on passe d’un contrôle ponctuel à une surveillance comportementale continue. L’identité digitale cesse d’être un état pour devenir une probabilité évolutive.

Le défi : détecter sans dégrader l’expérience

Exploiter les signaux faibles ne signifie pas multiplier les frictions.

L’objectif est d’adapter le niveau de vigilance : demander une vérification supplémentaire uniquement quand le risque augmente, surveiller silencieusement les comportements douteux, déclencher des contrôles renforcés sur les actions sensibles.

Autrement dit : rendre la sécurité proportionnelle au risque réel.

Quand l’adresse email devient un signal faible

Une adresse email est souvent perçue comme un simple identifiant de contact. Pourtant, elle contient une richesse d’informations sous-estimée lorsqu’on l’analyse sous un angle sémantique et comportemental.

Prenons deux exemples : marie.dupont@yahoo.fr et ma.rie_du.pont1567@gmail.com.

Les deux adresses sont techniquement valides. Les deux peuvent passer les contrôles classiques. Mais elles ne racontent pas la même histoire.

L’analyse sémantique consiste à observer la structure, la logique et la cohérence d’une adresse email par rapport au contexte déclaré par l’utilisateur.

Des indices discrets mais parlants peuvent émerger : nom de domaine, composition du username, présence de mots-clés promotionnels, série de chiffres cohérente ou non, complexité inhabituelle, ou récurrence de modèles similaires observés dans des fraudes précédentes.

Pris isolément, aucun de ces éléments ne prouve une fraude. Mais ils peuvent indiquer qu’une adresse a été créée rapidement, en masse, ou dans un objectif purement transactionnel plutôt que relationnel.

Une vraie identité digitale laisse souvent des traces de continuité. À l’inverse, dans de nombreux scénarios de fraude, l’adresse email est un outil jetable conçu pour passer un contrôle technique, pas pour refléter une identité durable.

L’analyse sémantique permet donc de répondre à une question subtile : cette adresse ressemble-t-elle à un point de contact humain ou à un artefact fonctionnel créé pour un scénario précis ?

Encore une fois, la valeur vient de la corrélation : email à structure inhabituelle, création de compte rapide, appareil récemment vu sur d’autres comptes, navigation automatisée. C’est l’agrégation de ces signaux faibles qui fait émerger un risque crédible.

De la donnée brute à l’intelligence contextuelle

Les signaux faibles existent déjà dans vos systèmes : logs techniques, données de navigation, métadonnées des appareils, séquences d’actions.

La différence ne vient pas de la quantité de données, mais de la capacité à les corréler en temps réel, les contextualiser selon le parcours, apprendre des schémas passés et détecter les déviations subtiles.

L’identité digitale n’est plus un dossier, c’est un flux

Pendant des années, nous avons traité l’identité comme un fichier : des informations statiques à vérifier une fois pour toutes.

Les signaux faibles nous obligent à changer de paradigme. L’identité devient un flux continu de comportements, qui se confirme ou se dégrade au fil des interactions.

En conclusion

Les grandes fraudes se cachent rarement derrière de grosses anomalies. Elles se dissimulent dans les détails que l’on ne regarde pas.

Apprendre à lire les signaux faibles, c’est accepter que la vérité ne se trouve plus dans une preuve unique, mais dans l’accumulation de micro-indices. Dans un monde où les identités peuvent être fabriquées, volées ou louées, cette lecture fine devient l’un des piliers de la confiance numérique.

The post Weak signals: those little-noticed details that reveal the authenticity of a digital identity appeared first on Oneytrust.

• Faciles à détourner: Un cookie volé peut suffire à usurper une identité en ligne.
• Riches en données sensibles: Identifiants, sessions, préférences… autant d’informations exploitables pour des attaques ciblées.
• Invisible pour l’utilisateur: La plupart des internautes ignorent la portée des informations stockées, ce qui facilite les fraudes.

Les impacts pour votre marque

• Fraude publicitaire: Des cookies falsifiés gonflent artificiellement les impressions et les clics, faussant vos KPIs et augmentant vos coûts.
• Usurpation de session: Un pirate peut accéder à des comptes clients, générant des transactions frauduleuses.
• Atteinte à la réputation: Une faille exploitée via les cookies peut nuire à votre image et à votre conformité RGPD.

Exemples de techniques utilisées par les fraudeurs

• Reniflage de session: Interception des cookies sur des sites non sécurisés.
• Injection XSS: Scripts malveillants pour voler des cookies.
• CSRF: Actions frauduleuses exécutées à l’insu de l’utilisateur.
• Identifiants prévisibles: Exploitation d’algorithmes faibles pour deviner des sessions.

Comment protéger votre écosystème digital ?

• Surveillance proactive: Détecter les anomalies dans les comportements liés aux cookies.
• Solutions anti-fraude avancées: Identifier les cookies falsifiés ou clonés.
• Sensibilisation et transparence: Informer vos utilisateurs et renforcer la confiance.

En conclusion
Les cookies sont des outils précieux pour améliorer l’expérience utilisateur et optimiser les stratégies marketing. Mais leur exploitation par des fraudeurs représente un risque majeur : vol de sessions, usurpation d’identité, fraude publicitaire… Ces menaces peuvent impacter la confiance des clients, fausser vos indicateurs et nuire à votre image.

Pour rester compétitif et protéger votre écosystème digital, il est essentiel d’adopter une approche proactive : sécuriser vos parcours, intégrer des solutions anti-fraude et informer vos utilisateurs. Protéger les cookies, c’est protéger votre business et votre réputation.

Contact us to secure your customer journeys and build trust in your services.

The post Cookies: a marketing ally… but also a loophole for fraud appeared first on Oneytrust.

À la différence d’une usurpation classique où le fraudeur vole l’intégralité d’une identité réelle, l’identité synthétique est un assemblage hybride.Elle combine des données authentiques (aux Etats-Unis d’Amérique, numéro de sécurité sociale, alors qu’ailleurs c’est plutôt le document d’identité national, date de naissance, adresse postale) et des informations inventées (classiquement : les données de contact). Cette combinaison crée un profil cohérent en apparence, notamment lorsque seules les données dites authentiques font l’objet de vérification / analyses (comme lors d’un KYC bancaire par exemple).

Résultat : les systèmes traditionnels, souvent calibrés pour valider une identité par la digitalisation d’usages traditionnels (« papiers s’il vous plait »), passent à côté.

Pourquoi les institutions sont vulnérables ?
Les fraudeurs exploitent la confiance accordée aux données partiellement véridiques. Aux États-Unis, avec un identifiant officiel valide ou une trace de crédit minimale, l’identité synthétique franchit les premières étapes de vérification. Le fraudeur peut ensuite “maturer” son identité :ouvrir un compte bancaire, souscrire à de petits crédits, payer régulièrement… jusqu’à obtenir une notation de crédit solide. Cette patience paie : une fois la crédibilité établie, le fraudeur contracte un prêt plus important, puis disparaît. On parle alors de “bust-out fraud”.

Le coût est considérable : outre Atlantique, la fraude à l’identité synthétique représente déjà plusieurs milliards de dollars de pertes chaque année, selon les estimations des grands cabinets. En Europe, les chiffres commencent à suivre la même tendance, notamment avec l’essor des parcours 100 % digitaux.

Les limites des approches classiques
Les contrôles traditionnels – vérification documentaire, scoring basé sur l’historique, analyse ponctuelle des évènements ou transactions – peinent à détecter ces profils hybrides. Les signaux faibles (username de l’email, attributs du numéro de téléphone, présence de « traces de pas digitales ») ne se révèlent qu’à travers un savoir-faire peu répandu. De plus, les réglementations actuelles se concentrent presque essentiellement sur la conformité KYC. Or, contrôle et lutte contre la fraude sont deux choses distinctes. La première englobe toutes les caractéristiques / étapes autorisant l’accès à un service… mais toute ceci étant exposé, elle permet en même temps de comprendre et donc contourner les mesures.

Vers une nouvelle approche de la détection
Face à cette menace, les entreprises doivent changer de paradigme. L’avenir réside dans des solutions capables de :

• - Allez au-delà de la donnée « déclarative », en étant capable d’y ajouter des informations supplémentaires.
• - Croiser les signaux dynamiques (comportements de navigation, empreinte machine, localisation) avec les attributs statiques de l’identité.
• - Détecter les incohérences relationnelles entre différentes identités : numéros de téléphone partagés, adresses recyclées, comptes reliés à un même appareil.
• - Exploiter l’intelligence artificielle pour analyser en temps réel des volumes massifs de données / informations et identifier des patterns invisibles à l’œil humain.

Ces approches permettent de transformer la détection : passer de la simple validation documentaire/contextuelle à une vision holistique et comportementale de l’utilisateur.

Un enjeu stratégique pour les acteurs digitaux
Les identités synthétiques ne sont pas un phénomène marginal : elles menacent directement la rentabilité, la conformité réglementaire et la relation de confiance avec les clients. Pour les banques, e-commerçants ou assureurs, investir dans des technologies avancées de prévention n’est plus une option : c’est une condition de survie dans l’économie numérique.

The post Synthetic identities: the invisible fraud that costs billions appeared first on Oneytrust.

Adopté en 2016 et entré en application le 25 mai 2018, le RGPD a transformé en profondeur la manière dont les entreprises collectent, traitent et sécurisent les données personnelles.

Ses objectifs :

• Renforcer les droits des citoyens européens.
• Responsabiliser les entreprises dans l’utilisation des données.
• Harmoniser les règles au sein de l’Union européenne.

Pour le secteur de la lutte contre la fraude, l’impact est majeur : la détection des anomalies et des comportements suspects repose sur l’analyse de nombreuses typologies de données personnelles (identité, moyens de paiement, historiques de transaction, etc.). Le RGPD impose donc de concilier sécurité, performance et respect des libertés individuelles.

2. Un héritage d’innovation et de sécurité avec notre autorisation CNIL historique

Bien avant l’entrée en application du RGPD, Oneytrust avait déjà intégré cette logique de conformité.

En effet, nous avons bénéficié un accord historique (FIA-NET dès 2005 et Oney Tech en 2013) avec la CNIL, autorisant la mutualisation des données de nos clients, principalement dans le secteur du e-commerce, moyennant des garanties pour le respect de la vie privée. Oneytrust est ainsi devenu l’unique acteur français à pouvoir bénéficier d’une telle expérience ancrée depuis plus de 20 années dans la mutualisation des données.

Cette autorisation, co-construite avec l’autorité de contrôle, a permis :

• de fluidifier considérablement le temps de parcours des clients déjà connus dans notre base de données,
• d’identifier plus efficacement les anomalies et tendances de fraude en s’appuyant sur les vélocités et en utilisant le recours à nos experts fraude pour prendre une décision,
• de protéger les consommateurs comme les marchands,
• tout en garantissant un niveau élevé de sécurisation des données personnelles.

Cette expertise a même été citée par la CNIL dans son Livre blanc de 2021, preuve de la valeur ajoutée et du caractère pionnier de notre démarche.

3. Une culture RGPD renforcée en interne

L’entrée en application du RGPD a marqué une nouvelle étape : au-delà des dispositifs techniques, nous avons misé sur la culture interne de conformité.

Chez Oneytrust, chaque collaborateur est acteur de la protection des données grâce à notamment :

• des formations annuelles obligatoires,
• des campagnes de sensibilisation régulières et newsletters mensuelles,
• l’intégration systématique de notre Data Protection Officer (DPO) et de l’équipe conformité dans nos projets,
• la réalisation d’une analyse d’impacts de protection de la donnée sur tous nos projets ayant un impact structurant en matière de données personnelles,
• une démarche d’amélioration continue pour adapter nos pratiques aux évolutions réglementaires.

Cette mobilisation collective a pour effet que la conformité ne soit pas seulement perçue comme un enjeu juridique et réglementaire par nos équipes, mais davantage une valeur partagée au quotidien, by-design, et faisant office de facteur différenciant chez Oneytrust dans un panorama d’acteurs de la lutte contre la fraudeoù nombreux sont les acteurs qui sont issus de pays hors-Europe.

4. Un niveau de sécurité renforcé grâce à notre appartenance à un grand groupe bancaire

Notre appartenance au groupe BPCE, deuxième acteur bancaire en France, impose un niveau d’exigence particulièrement élevé en matière de sécurité et de conformité. En effet, les acteurs bancaires sont non seulement soumis aux réglementations horizontales mais également à de nombreuses réglementations sectorielles du fait de la criticité de leurs activités.

Cela se traduit notamment par la participation active de Oneytrust à la communauté des DPO du groupe Oney, pour partager bonnes pratiques et veilles réglementaires, la mise en place et la réalisation de contrôles internes permanents (trimestriels, semestriels, annuels) qui nécessitent l’engagement de toutes nos équipes ou encore l’intégration des standards bancaires dans nos processus contractuels (annexes RGPD, clauses de sécurité). Tout ceci couplé à des mesures techniques avancées : tests de sécurité réguliers, sécurisation des flux de données, etc.

Ces engagements de Oneytrust renforcent la robustesse de nos dispositifs et la confiance accordée par nos clients et place la conformité by design au cœur de nos processus décisionnels et de nos projets.

5. Protection des données : un levier clé dans la lutte contre la fraude

La confiance est la clé de voûte de la lutte contre la fraude. Les consommateurs comme les entreprises doivent être assurés que la protection de leurs données est garantie, même dans les contextes les plus sensibles.

Chez Oneytrust, nous considérons le respect du RGPD comme une arme stratégique.Nous appréhendons celui-ci comme une opportunité : celle de légitimer notre rôle d’intermédiaire de confiance, garantir que la lutte contre la fraude s’exerce dans un cadre respectueux des libertés individuelles et de la vie privée tout en préparant aussi l’avenir.

En effet, avec la multiplication des usages de l’intelligence artificielle, de nouveaux défis émergent. Afin de contrer le recours de plus en plus massif de l’IA par les fraudeurs, il est devenu indispensable pour les acteurs de la lutte contre la fraude de démultiplier leurs usages de l’IA. Ceci nous permettant de rester adaptatifs et efficaces face à ces nouvelles tendances de fraude.

Toutefois, les IA exploitent massivement les données, notamment personnelles, et rendent indispensable une évolution continue des dispositifs de protection et de conformité. C’est la raison pour laquelle la CNIL (l’autorité de supervision française en charge du respect du RGPD) a publié d’ores et déjà plusieurs séries de fiches de recommandations sur le bon respect des données à caractère personnel en cas d’usage de l’IA. De nouveaux défis qui nécessitent d’être pleinement pris en considération par les acteurs de la lutte contre la fraude !

En conclusion, depuis plus de 25 ans, Oneytrust place la protection des données au cœur de son dispositif de lutte contre la fraude. Il faut voir le RGPD non comme une contrainte, mais davantage comme une chance de renforcer la confiance, de protéger nos clients et de garantir des solutions toujours plus efficaces et responsables.

Dans un contexte marqué par l’essor de l’intelligence artificielle, cette exigence n’a jamais été aussi essentielle. Elle guide notre engagement quotidien : associer sécurité, performance et respect des droits fondamentaux. N’hésitez pas à nous contacter si vous avez des questions sur la sécurisation de nos processus et solutions de lutte contre la fraude, y compris en matière de protection des données à caractère personnel !

The post GDPR and fraud prevention: a historic and strategic commitment for Oneytrust appeared first on Oneytrust.

Tout commence par de fausses annonces sur une marketplace réputée, proposant un jeu éducatif (boîte à histoire) portant le nom de MERLIN à un prix légèrement remisé par rapport à la concurrence. L’acheteur, séduit, passe commande. Mais derrière cette transaction se cache une mécanique bien huilée : le fraudeur utilise les données du client et une carte bancaire volée pour acheter le produit chez un commerçant légitime – l’un de nos partenaires spécialisés en puériculture.

Résultat : le client reçoit bien son produit, convaincu d’avoir fait une bonne affaire. Mais le commerçant, lui, fait face à une opposition bancaire et ne sera jamais payé.

Une détection rapide, une réaction immédiate

Grâce à un pic de ventes soudain sur ce produit, nos modèles ont détecté une anomalie : nos analystes sont immédiatement alertés. Des règles expertes sont mises en place pour nos équipes en moins de 4 heures ! Moins de 12 heures après la détection, le réseau était neutralisé. Cette efficacité repose sur la synergie entre notre service Data et notre cellule d’Investigations.

• Les Investigateurs ont analysé les signaux faibles pour reconstituer le mode opératoire.
• Les Data Analysts ont transformé ces insights en règles de sécurité renforcées, capables de bloquer les futures tentatives et de suivre l’évolution du réseau.

Enquête approfondie : connaître son ennemi

L’histoire ne s’arrête pas là. Nos experts ont poursuivi l’enquête pour comprendre en profondeur le fonctionnement du réseau :

• 4 boutiques “professionnelles” identifiées sur la marketplace, toutes enregistrées au nom d’entreprises différentes – usurpation d’identité.
• Actives depuis mars 2024, elles ont généré des centaines de commandes, exclusivement pour des jeux éducatifs.
• Le réseau de fraude manipulait les algorithmes de la plateforme pour faire remonter ses produits en tête des recherches, notamment grâce à des prix plus bas que les autres.

Résultat : quelques centaines d’euros de préjudice, mais des milliers d’euros de fraude évitée. Des règles de sécurité renforcées, des investigateurs aguerris, et des boutiques frauduleuses fermées. Une marketplace plus saine.

Le retour du réseau Merlin

En février 2025, le réseau revient, plus rusé. Cette fois, il cible deux autres partenaires via une nouvelle marketplace, avec des produits différents : du petit électroménager. Le jeu du chat et de la souris dure jusqu’en mai 2025, avec des ouvertures de fausses boutiques, des changements de produits et de commerçants ciblés.

Ce nouveau round a nécessité :

• Un monitoring constant,,
• Des évolutions régulières des règles de sécurité,,
• Une formation continue de nos Investigateurs,,
• Et surtout, une collaboration étroite avec nos partenaires commerçants, pleinement engagés dans cette lutte.

Comment se prémunir contre la fraude triangulaire ?

Voici les leviers essentiels pour anticiper et bloquer ce type de fraude :

1. Sensibilisation des utilisateurs: informer acheteurs et vendeurs sur les signaux d’alerte : prix trop bas, contacts suspects, demandes de paiement inhabituelles.
2. Vérification des identités: renforcer les contrôles sur les plateformes : justificatifs, vérifications croisées, etc.
3. Suivi des transactions: mettre en place des outils d’analyse pour détecter les comportements anormaux et les signaux faibles.

La fraude triangulaire est une menace croissante. Mais avec des outils adaptés, une vigilance constante et une collaboration active entre tous les acteurs du e-commerce, il est possible de la contenir efficacement.

The post MERLIN Network: the comeback! appeared first on Oneytrust.

a) Sécurité et protection des citoyens

La première mission de l’exploitation de l’identité digitale est de protéger. Un usager dont l’identité est usurpée subit des conséquences dramatiques : crédits contractés en son nom, litiges administratifs, réputation en ligne entachée. Disposer d’une identité digitale robuste, fondée sur des signaux techniques et comportementaux fiables, permet de limiter ces risques.

b) Confiance et fluidité des échanges

Pour une entreprise, accepter un nouveau client implique un risque. L’identité digitale fournit les éléments nécessaires pour établir un score de confiance : est-ce bien une personne réelle, cohérente, active depuis longtemps ? Cette confiance facilite ensuite les échanges, réduit les frictions (KYC allégé, parcours utilisateur fluide) et améliore l’expérience client.

c) Souveraineté et indépendance

Aujourd’hui, prouver son identité en ligne passe souvent par les grands acteurs privés (connexion via Google, Apple ou Facebook). Or, déléguer cette fonction stratégique à quelques entreprises pose un problème de souveraineté. Les États européens cherchent à reprendre la main, pour éviter une dépendance excessive et garantir la protection des données.

d) Inclusion et égalité d’accès

L’identité digitale ne doit pas devenir un facteur d’exclusion. Les publics éloignés du numérique (personnes âgées, zones rurales, populations précaires) doivent disposer de solutions simples et accessibles. L’équité passe par une conception inclusive de ces outils.

2. Perspectives d’avenir

À horizon 2030, l’identité digitale pourrait connaître trois grandes évolutions :

Standardisation accrue: adoption de normes internationales permettant une reconnaissance fluide entre pays et services.

Intégration biométrique: association renforcée avec les empreintes biométriques (voix, visage, empreinte digitale) pour sécuriser encore davantage l’accès.

Contrôle utilisateur renforcé: émergence de solutions où l’usager décide quelles briques de son identité partager, selon le contexte (par exemple : prouver sa majorité sans révéler sa date de naissance).

In a nutshell...

L’identité digitale n’est plus une curiosité technique. Elle est devenue le cœur battant des sociétés numériques. Elle protège, fluidifie, responsabilise, mais interroge aussi sur la surveillance et la souveraineté.

En la comprenant, décideurs et citoyens disposent d’un levier essentiel pour naviguer dans un monde où le virtuel et le réel sont indissociables. En définitive, l’identité digitale est la carte d’identité de l’ère numérique : intangible mais décisive, invisible mais incontournable..

The post Digital identity: the new identity card for the digital age – Part 2 appeared first on Oneytrust.

1. Définir l’identité digitale:

À la différence de l’identité civile, établie et certifiée par l’État, l’identité digitale est polyforme. Elle se nourrit de quatre dimensions principales :

• Les données déclaratives: nom, prénom, e-mail, numéro de téléphone, adresse. Ces informations sont fournies volontairement, mais peuvent être usurpées / « imitées ».
• Les empreintes « techniques »: chaque appareil connecté génère une signature unique (IP, configuration, capteurs, fuseaux horaires, cookies). Ces signaux, invisibles à l’œil nu, deviennent des indices précieux pour reconnaître un utilisateur.
• Les comportements: vitesse de saisie, horaires de connexion, localisation, fréquence d’utilisation des services. Ces éléments sont plus difficiles à falsifier et constituent une signature comportementale quasi biométrique.
• Les interactions sociales et économiques: historique d’usage des données de contact, de paiements, de navigation. Ces données construisent un récit cohérent… ou au contraire trahissent une incohérence typique d’évènements frauduleux.

2. Une identité en mouvement

À la différence de la carte nationale, figée au moment de sa délivrance, l’identité digitale est vivante. Chaque connexion, chaque paiement, chaque interaction vient enrichir ce portrait numérique. Cette dynamique apporte de la robustesse – il est difficile de simuler une vie numérique cohérente sur la durée – mais soulève aussi des questions éthiques :

Quelle quantité de données collecter sans empiéter sur la vie privée ?

Comment s’assurer que l’usager garde la main sur son identité digitale ?

Quels garde-fous mettre en place pour éviter une surveillance généralisée ?

Le RGPD en Europe ou la notion de « self-sovereign identity » (identité auto-souveraine) tentent d’apporter des réponses. Mais l’équilibre reste fragile entre sécurité, fluidité et respect des libertés individuelles.

3. Pourquoi cette notion est-elle devenue centrale ?

Deux grandes tendances expliquent son importance croissante.

• Une digitalisation généralisée: le smartphone est devenu notre guichet universel. Des services publics aux soins de santé, tout transite par le numérique. Les initiatives comme France Identité ou le règlement européen eIDAS 2.0 visent à créer des identités numériques reconnues à l’échelle nationale et supranationale.
• Une criminalité 100% web en plein essor: les fraudes à l’identité explosent. Le concept d’« identité synthétique » illustre cette évolution. Les fraudeurs assemblent des morceaux de données réelles et inventées pour créer de faux profils capables de duper les contrôles traditionnels.

Dans ce contexte, la capacité à évaluer la crédibilité d’une identité digitale devient stratégique pour les banques, assureurs, commerçants, mais aussi pour les États.

In a nutshell...

L’identité digitale s’impose comme un objet en perpétuelle évolution : façonnée par nos usages, encadrée par des réglementations, scrutée pour sa valeur sécuritaire et commerciale. Mais cette dynamique ne va pas sans poser des défis. Dans une seconde partie, nous aborderons les enjeux multiples qu’elle soulève – sécurité, confiance, souveraineté, inclusion – et les perspectives qui pourraient redéfinir notre rapport à l’identité d’ici 2030.

The post Digital identity: the new identity card for the digital age – Part 1 appeared first on Oneytrust.

La fraude triangulaire est une méthode complexe et ingénieuse de fraude qui combine des éléments d'identités réelles et synthétiques pour créer un réseau de transactions frauduleuses. Ce type de fraude repose sur l'interaction entre trois acteurs : le fraudeur, le vendeur légitime et le consommateur involontaire pour détourner des ressources de manière discrète et efficace.

Mécanisme de la fraude triangulaire  :

Le processus de fraude triangulaire peut généralement être décomposé en quatre étapes :

1. Création d'identités multiples: les fraudeurs commencent par créer des identités synthétiques en combinant des informations réelles et fictives, issues d’informations clients réelles reçue lors d’achat sur son site. Cela leur permet de générer des profils d'acheteurs crédibles qui peuvent interagir avec des vendeurs sans éveiller de soupçons.
2. Commande de produitsavec ces identités, les fraudeurs passent des commandes auprès de vendeurs légitimes. Le paiement est souvent effectué avec des cartes de crédit volées ou usurpées.
3. Réexpédition des produits: les produits achetés sont expédiés à des adresses intermédiaires ou directement chez le « vrai client » selon le mode opératoire utilisé. À ce stade, les fraudeurs peuvent aussi vendre les produits fraudés à des acheteurs réels via des plateformes en ligne à un prix réduit.
4. Encaissement: les fraudeurs encaissent les paiements des acheteurs réels, tandis que le vendeur initial reste non payé ou est confronté à un chargeback.

Pourquoi la fraude triangulaire est-elle efficace ?

La fraude triangulaire est particulièrement efficace en raison de son approche en réseau, qui permet aux fraudeurs de dissocier les éléments de la transaction. Le vendeur initial croit interagir avec un acheteur légitime, tandis que l'acheteur final pense obtenir un produit à un prix avantageux. Cette dissociation rend la détection difficile, les transactions individuelles pouvant sembler légitimes car les informations utilisées sont réelles avec de l’ancienneté et parfois même de l’activité saine. Les règles de sécurité classique ne sont pas capables de détecter ces signaux faibles de fraude.

Le réseau MERLIN

Chez Oneytrust, nous détectons en permanence de nouveaux schémas frauduleux. L’un des cas récents les plus parlants est celui d’un réseau que nous avons baptisé « Merlin », car il utilisait des produits de cette marque pour mener ses attaques. Détecté en juin 2024, ce réseau illustre parfaitement la complexité et l’évolution des menaces actuelles.

Tout a commencé par une alerte sur des achats inhabituels: une forte hausse de commandes de jeux éducatifs Merlin, d’un montant inférieur à 100 €, chez un partenaire spécialisé dans la puériculture. Ce pic soudain a immédiatement attiré notre attention.

Nos experts ont rapidement repéré des similarités entre les commandes, laissant présager l’existence d’un réseau organisé. Pourtant, certains éléments interpellent : les identités numériques paraissent fiables, et certains profils appartiennent même à de véritables clients – mais avec une adresse e-mail différente. Un signal clair d' usurpation d'identité, rare pour ce type de petits montants.

Pour lever le doute, nous avons contacté les clients concernés. Tous ont confirmé leur identité… mais nié avoir effectué ces achats. La fraude était désormais certaine. Un échange approfondi avec l’un d’eux nous a permis de découvrir la clé : il avait bien acheté le produit, mais sur une marketplace en ligne, pas chez notre partenaire. Les preuves fournies ont permis d’identifier la boutique frauduleuse et de comprendre le mode opératoire : une fraude triangulaire..

Une fois le schéma établi, nos analystes ont listé les signaux communs aux commandes suspectes et créé des règles de sécurité spécifiques. Grâce à ces actions ciblées, renforcées par des vérifications directes auprès des clients, nous avons pu bloquer les transactions liées à ce réseau. Résultat : en moins de 12 heures, le réseau « Merlin » était neutralisé.

Cette affaire montre à quel point la réactivité et l’expertise de nos équipes sont essentielles pour stopper de nouveaux réseaux de fraude dès leur apparition.Et l’histoire de « Merlin » ne fait que commencer… nous vous en dirons plus très bientôt.

The post MERLIN network: anatomy of a triangular fraud appeared first on Oneytrust.