Explosion des fraudes chez Revolut : votre argent est-il en danger ?

Revolut, entreprise fintech britannique et institution financière exclusivement numérique, fondée en 2015, connaît une croissance fulgurante avec plus de 45 millions de clients à travers le monde, dont 9 millions au Royaume-Uni. Cependant, cette expansion rapide s’accompagne d’une hausse préoccupante des plaintes pour fraude, surpassant celles des grandes banques britanniques et de concurrents tels que Monzo. Cet article explore en détail l’augmentation des incidents frauduleux impliquant Revolut, la nature de ces escroqueries, la réponse de l’entreprise et les implications plus larges pour l’industrie fintech.

L’ampleur du problème

En 2023, Revolut a été mentionnée dans 9 793 signalements de fraude déposés auprès d’Action Fraud, le centre national britannique de signalement des fraudes et cybercrimes, selon une demande d’accès à l’information obtenue par BBC Panorama. Ce chiffre dépasse celui de grandes banques comme Barclays (environ 7 800 signalements) et Lloyds, et est deux fois supérieur à celui de Monzo, une banque numérique comptant un nombre similaire de clients au Royaume-Uni, soit environ 10 millions. Les signalements de fraude mentionnant Revolut ont augmenté de 36 % entre 2022 (7 198 cas) et 2023, et de 146 % depuis 2021, où 3 975 cas avaient été recensés.

Par ailleurs, le Service du Médiateur Financier (Financial Ombudsman Service, FOS) a émis 3 458 avis relatifs à des fraudes et escroqueries impliquant Revolut en 2023, un record parmi les banques et fournisseurs fintech. Parmi ces avis, 46 % concernaient des escroqueries par virement autorisé (Authorised Push Payment, APP), où les victimes sont incitées à transférer de l’argent à des fraudeurs, avec 44 % de ces plaintes confirmées par le FOS. Les 54 % restants portaient sur d’autres types de fraudes, comme les paiements non autorisés et les usurpations d’identité, avec un taux de confirmation de 48 %.

En Irlande, le volume de cas de fraude présumés signalés par les institutions financières, y compris Revolut, a submergé les autorités. L’Office Central des Statistiques (CSO) a suspendu la publication des données nationales sur la criminalité en raison d’un arriéré de 20 000 à 30 000 signalements de fraude non traités depuis août 2023, ce qui illustre l’ampleur de la crise.

Typologie des fraudes et escroqueries

Les plaintes pour fraude chez Revolut englobent plusieurs catégories, les principales étant :

1. Escroqueries par virement autorisé (APP) :
   • Ces escroqueries consistent à tromper les victimes pour qu’elles transfèrent volontairement de l’argent vers des comptes frauduleux. En 2023, les escroqueries APP représentaient 46 % des plaintes déposées auprès du FOS concernant Revolut. Les fraudeurs se font souvent passer pour des entités de confiance, comme des banques, des entreprises de services publics ou même l’équipe anti-fraude de Revolut. Par exemple, le Dr Kumar a été contacté par une personne prétendant représenter American Express, puis par un supposé employé de Barclays, qui l’a incité à transférer ses économies sur son compte Revolut pour des raisons de « sécurité ».
   • Dans un autre cas, Lynne Elms, employée d’une entreprise de cosmétiques, a perdu 160 000 livres sterling en sept minutes après qu’un escroc, se faisant passer pour un représentant de Revolut, l’a convaincue d’installer une application de bureau à distance, permettant aux fraudeurs d’accéder à son compte et de le vider.
   • Le Rapport 2023 de Revolut sur la criminalité financière et la sécurité des consommateurs a révélé une augmentation de 1 200 % des escroqueries liées à des offres d’emploi et de 142 % des escroqueries à l’investissement, souvent impliquant des cryptomonnaies, qui exploitent l’anonymat des transactions numériques.
2. Prise de contrôle de compte (ATO) :
   • La fraude par prise de contrôle de compte survient lorsque des criminels accèdent sans autorisation au compte d’un client, souvent en contournant des mesures de sécurité telles que l’authentification biométrique ou les codes à usage unique. Un cas notable concerne un client nommé Jack, qui a perdu 165 000 livres sterling de son compte professionnel Revolut en une heure via 137 transactions vers trois nouveaux bénéficiaires. Jack a signalé que les fraudeurs ont contourné le logiciel de reconnaissance faciale, et Revolut a admis que le selfie utilisé pour l’authentification n’avait pas été conservé, rendant impossible la vérification de la brèche.
   • Deux autres clients professionnels ont signalé des pertes de 165 000 et 40 000 livres sterling début 2024, les fraudeurs exploitant des failles similaires dans les processus d’authentification de Revolut.
3. Fraude par carte bancaire :
   • La fraude par carte inclut les escroqueries à distance (fraude sans carte présente), où des données volées sont utilisées en ligne, et le vol physique, où les criminels utilisent des cartes dérobées ou observent les victimes saisissant leur code PIN. Le vol physique a représenté 39 % des pertes par fraude non autorisée chez Revolut en 2023, bien qu’il n’affecte que 1 % des victimes.
   • La possibilité d’ajouter les cartes Revolut à des portefeuilles numériques a été exploitée, permettant aux escrocs d’effectuer des achats en ligne sans les détails physiques de la carte.
4. Hameçonnage et ingénierie sociale :
   • Les escroqueries par hameçonnage, où les fraudeurs se font passer pour des employés de Revolut afin d’obtenir des informations personnelles, ont explosé. Des clients ont signalé avoir reçu des appels ou messages convaincants mentionnant des problèmes urgents avec leur compte, les incitant à partager des codes de vérification ou à installer des logiciels malveillants. Les techniques d’ingénierie sociale exploitent la confiance, les fraudeurs effectuant souvent des recherches sur leurs victimes pour rendre leurs impostures plus crédibles.

Réponse de Revolut et mesures de sécurité

Revolut affirme son engagement à lutter contre la fraude, déclarant avoir empêché 475 millions de livres sterling de transactions potentiellement frauduleuses en 2023 grâce à son système de détection de fraude propriétaire, basé sur l’apprentissage automatique et l’intelligence artificielle. Parmi les mesures clés figurent :

• Authentification biométrique et multi-facteurs (MFA) : Les clients doivent fournir un PIN, un mot de passe ou des données biométriques (empreinte digitale ou reconnaissance faciale), ainsi que des codes SMS à usage unique pour certaines actions.
• Fonction de détection des escroqueries par IA : Lancée en février 2024, cette fonctionnalité évalue la probabilité qu’un paiement par carte soit frauduleux et décline automatiquement les transactions suspectes, guidant les clients à travers un processus d’intervention contre les escroqueries.
• Alertes dans l’application : Revolut fournit des avertissements pour les transferts suspects et encourage les clients à vérifier leurs transactions.
• Éducation à la fraude : À travers son programme d’apprentissage intégré et son soutien à la campagne « Take Five », Revolut sensibilise ses clients à repérer les escroqueries, comme les demandes urgentes ou les contacts non sollicités.
• Paiements différés : Revolut retarde certains paiements pour permettre aux clients de vérifier les transactions, visant à interrompre les tentatives de fraude.

Malgré ces efforts, des critiques estiment que les contrôles de Revolut sont insuffisants par rapport à ceux de ses concurrents. Un utilisateur sur Reddit a noté que la Bank of Ireland contacte proactivement ses clients pour des transactions suspectes, une pratique que Revolut est accusée de ne pas appliquer. L’absence d’un numéro d’urgence — Revolut s’appuyant uniquement sur un chat intégré — a également été pointée du doigt, comme dans le cas de Lynne Elms, où une intervention rapide aurait pu éviter des pertes importantes.

Revolut affirme enquêter sur chaque cas de fraude individuellement et adopter une approche « basée sur les données » pour identifier les activités d’escroquerie. Cependant, l’entreprise a été critiquée pour avoir refusé de rembourser des victimes dans plusieurs cas médiatisés, arguant que les clients avaient été négligents ou que les vérifications d’authentification avaient été effectuées. Par exemple, dans le cas du vol de 165 000 livres sterling sur un compte professionnel, Revolut a soutenu que le contrôle par selfie avait été validé, bien qu’elle n’ait pu fournir l’image utilisée, soulevant des questions sur ses processus de sécurité.

Pourquoi Revolut est-elle particulièrement vulnérable ?

Plusieurs facteurs peuvent expliquer les taux élevés de plaintes pour fraude chez Revolut :

1. Modèle exclusivement numérique : En tant que plateforme basée sur une application, sans agences physiques, Revolut est une cible attrayante pour les fraudeurs exploitant les vulnérabilités numériques. Sa facilité d’utilisation pour les transactions peut faciliter des transferts rapides une fois les comptes compromis.
2. Large éventail de fonctionnalités : Le modèle de « super application » de Revolut, qui propose des services comme le trading de cryptomonnaies, les transferts internationaux et les portefeuilles numériques, accroît sa « surface d’attaque », la rendant plus vulnérable aux escroqueries sophistiquées.
3. Croissance rapide et culture d’entreprise : D’anciens employés ont dénoncé la priorité donnée à la croissance au détriment de la prévention des fraudes, dans un environnement de travail sous pression axé sur le lancement de nouveaux produits plutôt que sur la sécurité.
4. Défis réglementaires et opérationnels : Jusqu’en juillet 2024, Revolut opérait au Royaume-Uni en tant qu’institution de monnaie électronique, et non comme une banque pleinement agréée, ce qui l’excluait du code volontaire de remboursement des fraudes APP (Contingent Reimbursement Model, CRM). Ses comptes retardés et les problèmes de vérification par ses auditeurs (par exemple, l’incapacité de BDO à vérifier 75 % des revenus de 2021) ont également soulevé des inquiétudes sur ses contrôles internes.
5. Portée mondiale : Présente dans 30 pays, Revolut est davantage exposée aux fraudeurs transfrontaliers que des concurrents comme Monzo, qui se concentre sur le Royaume-Uni.

Contexte réglementaire et industriel

L’augmentation des fraudes chez Revolut s’inscrit dans une tendance plus large au Royaume-Uni, où les cas de fraude ont augmenté de 16 % au premier semestre 2024, avec des pertes totalisant 572 millions de livres sterling. Les fraudes APP ont représenté 97 344 cas et 214 millions de livres sterling de pertes. De nouvelles règles obligatoires, entrées en vigueur le 7 octobre 2024, exigent des banques et entreprises de paiement britanniques, y compris Revolut, de rembourser les victimes de fraudes APP jusqu’à 85 000 livres sterling dans un délai de cinq jours, en partageant les coûts à 50-50 entre l’émetteur et le récepteur. Ce passage d’un code de remboursement volontaire à une obligation légale devrait inciter Revolut à renforcer ses mesures de prévention, l’entreprise ayant auparavant résisté à de nombreux remboursements.

L’Autorité de conduite financière (FCA) réglemente Revolut, et les clients peuvent porter leurs plaintes auprès du FOS, qui a vu un record décennal de plaintes liées à la fraude. La licence bancaire britannique provisoire de Revolut, obtenue en juillet 2024, lui permettra de détenir des dépôts et d’offrir des produits de prêt, mais elle accroît également l’examen de sa capacité à protéger ses clients.

Impact sur les clients et sentiment général

Les conséquences financières et émotionnelles pour les victimes de fraude chez Revolut sont lourdes. Lynne Elms a décrit la perte de 160 000 livres sterling comme « le pire moment de ma vie », affirmant ne pas s’en être pleinement remise. Plus de 100 clients ont contacté la BBC après l’enquête de Panorama, exprimant leur frustration face à la gestion de leurs dossiers par Revolut. Sur X, les utilisateurs ont fait part de leur colère, l’un qualifiant Revolut d’« incompétent » après une amende de 3,5 millions d’euros pour des manquements en matière de blanchiment d’argent en Lituanie, et un autre soulignant la bataille de 18 mois d’un client pour récupérer 21 000 livres sterling.

Des actions judiciaires se multiplient également, le cabinet TLW Solicitors représentant 90 victimes de fraude Revolut cherchant à obtenir réparation. Une affaire judiciaire, Larsson v Revolut Ltd (2024), a examiné si Revolut avait une obligation de diligence envers un client ayant perdu 404 000 livres sterling dans une escroquerie APP, bien que le tribunal ait rejeté les prétentions à une nouvelle obligation de diligence, ne retenant qu’une allégation d’assistance malhonnête.

Leçons pour l’industrie fintech

Le cas de Revolut met en lumière plusieurs enseignements pour les entreprises fintech :

1. Investir dans une sécurité robuste : L’authentification multi-facteurs, le chiffrement et la surveillance en temps réel des transactions sont essentiels pour prévenir la fraude. Les outils basés sur l’IA de Revolut sont un progrès, mais les lacunes dans la surveillance des transactions rapides (par exemple, 137 paiements en une heure) indiquent des marges d’amélioration.
2. Éducation des clients : Sensibiliser les utilisateurs à l’hameçonnage, à l’ingénierie sociale et aux pratiques sécurisées (par exemple, ne pas partager les codes de vérification) est crucial. Les cours intégrés de Revolut sont un début, mais une sensibilisation plus large est nécessaire.
3. Collaboration avec les régulateurs : Les fintechs doivent travailler étroitement avec les forces de l’ordre et les régulateurs pour traquer les fraudes transfrontalières et partager des informations.
4. Transparence et responsabilité : Le refus de Revolut de partager les détails d’authentification (par exemple, les selfies) dans les cas de fraude a alimenté la méfiance. Une plus grande transparence pourrait restaurer la confiance des clients.
5. Équilibre entre croissance et sécurité : Privilégier une expansion rapide au détriment de la prévention des fraudes peut entraîner des vulnérabilités, comme l’illustre la culture de travail de Revolut.

Conclusion

La montée en puissance de Revolut comme leader fintech est entachée par une augmentation significative des plaintes pour fraude, avec 9 793 cas signalés en 2023, surpassant les grandes banques britanniques. Les escroqueries APP, les prises de contrôle de compte et les fraudes par carte ont exploité les failles de son modèle numérique, des cas médiatisés comme le vol de 165 000 livres sterling sur un compte professionnel révélant des lacunes dans la sécurité et le support client. Bien que Revolut ait investi dans la détection de fraude par IA et empêché 475 millions de livres sterling de pertes en 2023, son refus de rembourser les victimes et l’absence d’une ligne d’urgence ont suscité des critiques.

Alors que Revolut devient une banque pleinement agréée au Royaume-Uni, elle fait face à une pression accrue pour renforcer ses contrôles anti-fraude afin de se conformer aux nouvelles réglementations de remboursement et de regagner la confiance des clients. L’industrie fintech peut tirer des leçons des défis de Revolut en priorisant la sécurité, la transparence et l’éducation des clients pour contrer les tactiques évolutives des fraudeurs. En attendant, les utilisateurs de Revolut sont invités à rester vigilants, à geler immédiatement leurs cartes en cas de suspicion de fraude, à signaler les problèmes via le chat intégré, et à envisager de transférer des sommes importantes vers des banques traditionnelles pour une protection accrue.