Le système financier a atteint un point d'inflexion. La fraude n'est plus une menace périphérique gérée par les équipes de conformité dans les arrière-bureaux—elle est devenue l'économie souterraine du système lui-même, s'étendant en proportion directe de l'innovation censée la sécuriser. C'est la crise non dite désormais visible dans les derniers résultats de London Stock Exchange Group Risk Intelligence, et elle pose un risque existentiel pour toute l'architecture de paiement numérique d'abord que les banques et fintechs ont passé la dernière décennie à construire.
Le paradoxe est brutal. Chaque accélération de la technologie bancaire—paiements instantanés, compensation en temps réel, détection de fraude par apprentissage automatique, API de banque ouverte—a été accompagnée par un écosystème criminel tout aussi sophistiqué. Les fraudeurs ne prennent pas de retard sur l'innovation ; ils l'absorbent. Ils déploient la même IA que les banques. Ils comprennent les rails SEPA Instant aussi intimement que la Banque centrale européenne. Ils déplacent les capitaux entre juridictions plus vite que les régulateurs ne peuvent émettre des orientations. L'asymétrie qui autrefois favorisait les défenseurs—la complexité, l'opacité, le gatekeeping institutionnel—s'est inversée. Désormais, les défenseurs opèrent à la vue du public, liés par la réglementation et les pistes d'audit, tandis que les criminels opèrent à la vitesse des machines sur une infrastructure ouverte.
Ce qui rend ce moment distinct est l'échelle et la pénétration. La fraude en 2026 n'est pas une anomalie commise par une frange criminelle. Elle est intégrée dans le tissu des systèmes qui traitent des milliers de milliards quotidiennement. Les réseaux de paiement conçus pour permettre un commerce sans friction sont devenus des vecteurs pour les schémas d'identité synthétique, les attaques de prise de contrôle de compte et les pipelines de blanchiment d'argent qui déplacent les fonds volés entre frontières en secondes. Pour les émetteurs de cartes et les plateformes Banking-as-a-Service, cela signifie que le coût de la confiance—autrefois absorbé comme un élément de ligne dans les réserves de fraude—menace désormais l'ensemble de l'économie unitaire de la banque numérique. Quand un client subit une perte due à la fraude, il ne blâme pas son propre respect de l'hygiène de sécurité. Il blâme le système. Il part. Il bascule vers l'argent liquide. Il migre vers un concurrent. Ou pire, il cesse d'utiliser entièrement les paiements numériques.
Le rapport LSEG est un miroir tenu face au monde bancaire, et ce qu'il reflète est inconfortable : le système a évolué plus vite que l'infrastructure de confiance n'a évolué. Les systèmes de paiement instantané comme ceux exploités dans l'UE selon la norme SEPA Instant Credit Transfer ont réduit le délai de règlement de jours à secondes, mais les fenêtres de réversibilité se sont réduites en conséquence. Au moment où un client réalise qu'il a transféré des fonds vers un compte mule, l'argent est parti. Les régulateurs bancaires européens font maintenant face à un problème de conception qu'ils ne peuvent pas réglementer : plus les rails sont rapides, plus la fenêtre de détection et de réversion est étroite. Les criminels se sont optimisés pour cela. Ils déplacent l'argent par des cascades rapides de transferts ultérieurs, chacun en dessous des seuils de déclaration, chacun conçu pour exploiter le décalage entre la détection et l'intervention.
L'architecture de banque ouverte, mandatée par PSD2 et ses successeurs, était censée démocratiser la finance et briser l'oligopole des banques sortantes. En principe, elle l'a fait. En pratique, elle a aussi démocratisé l'infrastructure de fraude. Les fournisseurs d'applications tiers peuvent désormais accéder aux données de compte client et initier des transactions avec consentement explicite—une véritable innovation. Mais le consentement est régulièrement recueilli par le phishing, l'ingénierie sociale et les écrans d'authentification faux indiscernables des interfaces bancaires authentiques. L'API n'est pas le problème ; la limite de confiance l'est. Et une fois que cette limite se dissout, toute l'architecture échoue.
Pour les émetteurs de cartes et les plateformes de cartes programmatiques, la question immédiate est opérationnelle : comment maintenez-vous l'acquisition et la rétention de clients quand le taux de fraude—qu'il soit mesuré par les transactions contestées, les incidents de prise de contrôle de compte ou l'infiltration d'identité synthétique—augmente plus vite que vos modèles de détection de fraude ne peuvent suivre ? La réponse standard—apprentissage automatique, analyse comportementale, vérification biométrique—est nécessaire mais insuffisante. Ce sont des incréments de course aux armements. Les criminels apprennent de chaque événement de détection et s'adaptent. Ils forment leur propre IA sur vos listes de blocage. Ils forgent les biométriques. Ils modélisent vos contrôles de vélocité et structurent leurs attaques pour les éviter. Vous n'êtes pas en avance ; vous êtes engagé dans un rattrapage perpétuel qui coûte de l'argent et érode l'expérience utilisateur avec chaque point de friction que vous ajoutez.
Ce que les données LSEG nous disent vraiment est que le problème est devenu structurel, pas tactique. La confiance dans les systèmes de paiement numérique dépend de la croyance raisonnable que votre transaction est irréversible seulement après une vérification authentique et que l'institution à laquelle vous envoyez de l'argent est réelle. Aucune des deux hypothèses ne tient plus. La vérification du destinataire est triviale à contourner. Les institutions peuvent être usurpées. Et une fois que l'utilisateur a perdu de l'argent, les dommages psychologiques sont permanents. Il peut continuer à utiliser le système par nécessité—dépôts de salaire, paiements de factures—mais il ne lui fera pas confiance pour les transactions discrétionnaires. Il ne sera pas un des premiers adoptants de nouveaux services de paiement. Il n'élargira pas son empreinte financière numérique. La croissance stagne. Et dans un secteur construit sur les effets de réseau et la croissance utilisateur, la croissance stagnante est la mort.
La réponse réglementaire, jusqu'à présent, a été d'approfondir la charge de conformité. KYC renforcé, surveillance continue, règles de surveillance des transactions, mandats de sécurité API, obligations de déclaration des fraudes—tout nécessaire, tout ajoutant des coûts, tout se déplaçant vers les bords du système (les banques, les fintechs, les processeurs de paiement) plutôt que de traiter la cause profonde, qui est que les rails de paiement instantanés, irréversibles et pseudonymes à pseudonymes sont intrinsèquement difficiles à sécuriser au point de terminaison. Vous ne pouvez pas réglementer le fait qu'un utilisateur peut être manipulé socialement pour autoriser un transfert frauduleux en secondes. Vous ne pouvez pas mandater des normes d'authentification qui fonctionnent si l'appareil de l'utilisateur est déjà compromis. Vous ne pouvez pas forcer les banques à rembourser les pertes due à la fraude sans finalement tarifer cette perte dans la marge, ce qui signifie que moins de personnes peuvent se permettre les services financiers.
Les systèmes qui survivront à ce point d'inflexion sont ceux qui reconstruisent la confiance au niveau de la couche application, pas la couche infrastructure. Cela signifie aller au-delà de la détection de fraude au niveau des transactions et vers la vérification de confiance au niveau des relations. Cela signifie une authentification biométrique qui ne peut pas être falsifiée ou volée. Cela signifie la vérification de contrepartie en temps réel intégrée dans le flux de paiement lui-même. Cela signifie qu'avant que votre argent ne se déplace, vous obteniez une preuve irréductible que le destinataire est qui il prétend être, et cette preuve est assez coûteuse à créer qu'elle dissuade l'usurpation d'identité à grande échelle. Certaines de ces choses émergent déjà dans les plateformes de financement intégré qui contrôlent les deux côtés de la transaction (par exemple, les intégrations de paiement dans les applications de marque où l'identité du commerçant est vérifiée par le propriétaire de l'application). Mais pour la banque ouverte, pour l'interopérabilité, pour la vision d'un véritable système financier démocratique, le problème de confiance est plus difficile à résoudre, et la fenêtre réglementaire pour le résoudre peut se fermer.
Les enjeux ne sont pas académiques. Les banques centrales, les opérateurs de systèmes de paiement et les régulateurs du monde entier posent une seule question : si les gens ne font pas confiance au système, l'utiliseront-ils ? La réponse historique est non. Ils se retireront vers l'argent liquide. Ils utiliseront des systèmes informels de transfert de valeur. Ils perdront confiance dans les services financiers réglementés dans leur ensemble et migreront vers des juridictions ou des instruments où ils perçoivent le risque comme étant plus faible—même si cette perception est fausse. Et une fois que cette migration commence, toute l'infrastructure s'effondre, car elle dépend du volume et de la vélocité pour fonctionner.
Le rapport LSEG est le canari dans la mine de charbon. C'est le moment de reconstruire délibérément, explicitement et au niveau de la conception du système—non pas comme une case à cocher de conformité, mais comme l'architecture primaire de la finance moderne.
Écrit par l'éditeur de Codego Press—journalisme bancaire et fintech indépendant alimenté par Codego, fournisseur d'infrastructure bancaire européenne depuis 2012.
Sources : The Finanser / Chris Skinner's Blog · Mai 2026