David a été mis en confiance par l'homme qui était en possession d'informations personnelles comme son numéro de portable, son mail, son nom de famille et prénom, sa date et lieu de naissance, et avait connaissance des précédents virements qu'il avait réalisés sur la plateforme. Le fraudeur lui a fait miroiter l'obtention d'un bonus pour le pousser à placer 3 000 euros sur le portefeuille, que David n'a jamais revus.
Le cas de David est loin d'être isolé. Dans un grand nombre de cas, les victimes sont redirigées sur des plateformes totalement fictives mais cette forme d'arnaque a la particularité d'impliquer de véritables plateformes d'échange, et est monnaie courante en Angleterre et gagne du terrain en France. Elle gagne en popularité car les fraudeurs n’ont pas besoin de réaliser des sites factices. Les pertes essuyées peuvent être bien plus grandes que celles de David. Selon un rapport publié en 2022 par le médiateur de l'Autorité des marchés financiers (AMF), le montant des pertes résultant d'arnaques à l'investissement crypto était en moyenne de 4 200 € en 2021, mais pouvait atteindre 20 000 € pour certains clients.
Dans la plupart des cas, avant de contacter sa cible au téléphone, le fraudeur crée un compte pour la victime sur la plateforme crypto en se faisant passer pour un employé. Ce stratagème lui permet d’avoir un contrôle total sur les opérations qui seront réalisées sur le compte une fois que la victime aura réalisé un virement sur la plateforme.
Les pirates de l'investissement crypto usent de biais cognitifs et de stratagèmes tels que l'égrenage d'informations personnelles, souvent obtenues lors de fuites de données, pour consolider leur couverture et gagner la confiance des clients légitimes. Grâce aux informations qu'ils détiennent, ils sont en mesure de cibler spécifiquement des personnes intéressées par les cryptomonnaies. Plutôt que d'amener leurs victimes à réaliser un virement bancaire sur un compte, les usurpateurs ont pris l’habitude d'extirper l'argent sous forme de cryptos, directement sur les plateformes d'échange. Les plus ingénieux parviennent même à convaincre les investisseurs de les laisser prendre le contrôle de leur ordinateur à distance, par exemple pour les guider lors des étapes de KYC.
Consciente des arnaques sévissant sur le marché des crypto actifs et de son implication dans le blanchiment d'argent et le financement du terrorisme, l'Union Européenne (UE) s'attèle à encadrer de manière plus stricte cet écosystème. Le règlement européen MiCa (Markets in Crypto-Assets, en français Marchés de Cryptoactifs), qui entrera en vigueur en décembre 2024 (à l’exception des stablecoins), fait partie du vaste arsenal législatif mis au point pour renforcer la réglementation et la sécurité de ce marché au niveau européen. MiCa s'inspire de la loi française PACTE (Plan d'Action pour la Croissance et la Transformation des Entreprises) du 22 mai 2019, qui stipule que les PSAN (Prestataires de Services sur Actifs Numériques) doivent être enregistrés auprès de l'AMF pour gérer une plateforme d'échange, proposer l'achat et la vente de crypto actifs ou leur conversion en monnaie ayant un cours légal. En se calquant sur ce modèle, l'UE souhaitent répertorier les prestataires européens "dignes de confiance", répondant à ses exigences en matière de lutte contre le blanchiment d'argent et le financement du terrorisme. Il est toutefois peu probable que le règlement MiCa permettent d'enrayer les arnaques à l'investissement crypto, puisque son champ d'action sera limité aux litiges impliquant les intermédiaires financiers européens figurant sur son registre.
Une autre loi européenne, qui prendra effet à partir de janvier 2025, est plus spécifiquement axée sur la cybersécurité et la gestion des risques incombant aux acteurs financiers. Il s'agit de DORA (Digital Operational Resilience Act), la Loi sur la Résilience Opérationnelle Numérique. Elle a pour but d'harmoniser les règles en matière de cybersécurité s'appliquant aux entités financières au sein de l'UE, allant des banques aux plateformes d’échange de cryptomonnaie. En vertu de cette loi, les entreprises auront pour obligation, entre autres, de prendre des mesures pour lutter contre les cybermenaces, de signaler les incidents, d'améliorer la protection des informations financières personnelles de leurs clients. Si cette loi pose les premiers jalons de la lutte contre les arnaques à la crypto en ligne, elle soulève des questions quant aux moyens humains et matériels qui seront exigés de la part des entreprises pour perfectionner leur système de cybersécurité. Enfin, le règlement TFR ("Transfer of Funds Regulation"), aussi appelé "travel rule" (la "règle du voyage"), adopté en même temps que le règlement MiCa le 20 avril 2023, prévoit d'imposer aux plateformes d'échange de cryptomonnaies un contrôle accru de l'identité de leurs clients.
Les plateformes seront soumises aux mêmes exigences de contrôle identitaire que les banques, à savoir au KYC (Know Your Customer), dès lors que le virement effectué entre une plateforme et un wallet équivaudra ou dépassera 1000 euros. Cela devrait réduire le risque de détournement, mais cela sera-t-il suffisant pour empêcher ce type de fraudes sachant que les fraudeurs parviendront sans doute à manipuler leur victime pour réaliser ce processus de vérification?
Si la réglementation sur les crypto actifs se renforce, ces lois et règlements ne prendront pas effet avant quelques mois. Quelles solutions existe-t-il à ce jour pour assurer la sécurité des clients et leur sérénité sur les plateformes en ligne d'échange de cryptomonnaie ?
Une étape indispensable dans la lutte contre les arnaques à l'investissement crypto est l'évaluation et l'anticipation des risques. Certaines actions, comme la création de comptes multiples par un même utilisateur sur une plateforme d'échange, ou la réalisation d'un virement par un émetteur différent du propriétaire du compte, correspondent à un niveau de risque élevé. LexisNexis Risk Solutions, à travers sa solution ThreatMetrix®, met son expérience au service des plateformes d'échange pour leur délivrer une analyse de risque lors d'événements sensibles, comme une création de compte, un login, un paiement etc. En possession des données créés par ThreatMetrix® les entreprises bénéficient d’un contexte enrichi pour prendre des décisions avisées et limiter les fausses alertes. LexisNexis Risk Solutions utilise des technologies innovantes pour discriminer ce qui relève de la fraude du faux positif. Nous nous appuyons notamment sur le machine learning pour repérer les comportements à risque,et reconnaître les clients légitimes sur la base de leurs interactions antérieures. Dans un second temps, l’analyse comportementale gestuelle permet de déceler les anomalies lors de la création de compte.
Nos solutions visent à assurer aux clients légitimes de votre entreprise une expérience optimale, sans friction ni désagrément. C'est pourquoi LexisNexis Risk Solutions entreprend autant de détecter la fraude que les utilisateurs légitimes. Nos solutions, LexisNexis® ThreatMetrix® et LexisNexis® BehavioSec® remplissent ces fonctions essentielles dans un milieu concurrentiel, où plane l'ombre de la cybermenace.