Il y a quelques années, un touriste mexicain a utilisé sa carte de crédit pour retirer de l’argent à un distributeur automatique. Lorsqu’il est rentré chez lui et qu’il a regardé son relevé de carte, il a vu que la carte avait également été utilisée pour acheter plusieurs bijoux. C’était étrange : non seulement il n’avait rien acheté avec la carte en vacances, mais la transaction avait eu lieu cinq minutes après le retrait au distributeur, dans un magasin à l’autre bout du pays.

Heureusement, après avoir examiné son cas, une équipe de sa banque a convenu que, bien que leurs outils de détection des fraudes par IA n’aient pas signalé l’achat comme suspect, il était très peu probable qu’il ait acheté les bijoux lui-même, ils ont donc remboursé l’achat. En creusant davantage, l’équipe a déterminé que les escrocs avaient probablement volé les informations de sa carte de crédit à un lecteur caché dans le distributeur automatique de billets et les avaient envoyées à un complice sur la côte opposée.

La facilité, la rapidité et l’anonymat des paiements modernes ont donné lieu à des stratagèmes de fraude comme celui-ci à une échelle impossible à suivre pour les humains. Heureusement, ils n’ont pas à le faire, car les applications d’IA surveillent désormais chaque transaction et surveillent l’ensemble du réseau de cartes pour détecter les attaques. Ces modèles d’IA trient les données plus efficacement que n’importe quel humain.

Mastercard exploite l’IA depuis des années pour la détection des fraudes et l’utilise actuellement pour sécuriser plus de 159 milliards de transactions par an, évitant ainsi des milliards de dollars de pertes dues à la fraude. L’année dernière, Mastercard a acquis Recorded Future, qui utilise l’IA pour analyser des millions de points de données quotidiennement, en identifiant les modèles et les anomalies qui signalent des menaces potentielles.

Mais autant les humains ont besoin de l’IA, autant l’IA a besoin des humains. Bien que les outils automatisés fassent le gros du travail, pour que les résultats soient utiles, les développeurs doivent continuellement fournir un contexte réel, en identifiant de nouveaux types de fraude, en déterminant comment les prévenir sans perturber le réseau plus large et en programmant les nouvelles règles dans l’algorithme. C’est cette contribution humaine qui transforme la puissance brute de l’IA en intelligence pertinente et pratique.

À mesure que les modèles d’IA et d’apprentissage automatique deviennent plus puissants, il est tentant de croire que la technologie à elle seule peut surpasser les cybercriminels d’aujourd’hui, déclare Johan Gerber, responsable mondial des solutions de sécurité chez Mastercard. « Mais derrière chaque alerte, anomalie ou transaction signalée se cache une couche cruciale et incrémentielle que les algorithmes ne peuvent pas reproduire : le jugement humain. Lorsque le jugement humain est combiné à l’IA, c’est ce qui le rend vraiment efficace et garantit qu’il reste responsable.

Bien que l’IA soit conçue pour discerner des modèles subtils dans des tonnes de données, elle n’est pas toujours équipée pour gérer les valeurs aberrantes. Sans surveillance humaine, des événements inattendus pourraient déclencher des menaces manquées, de fausses alertes et d’autres distorsions.

« Même avec ces outils puissants, vous avez toujours besoin de gens », déclare Vince Haulotte, directeur de la distribution du marché au sein de l’activité de prise de décision en matière de fraude et de risque de Mastercard. « Il faut faire preuve d’un grain de sel et tenir compte du contexte pour s’assurer que la réponse de l’IA est efficace. »

Par exemple, des systèmes d’IA surveillaient l’utilisation de la carte de crédit du voyageur pendant ses vacances au Mexique. Mais l’IA avait besoin d’un humain pour lui dire qu’il y avait quelque chose de drôle dans deux transactions en succession rapide de part et d’autre du pays, et elle avait besoin d’un humain pour lui montrer comment surveiller des incidents similaires à l’avenir.

Pour éviter que cette arnaque n’affecte d’autres clients, Haulotte, alors programmeur travaillant sur la plateforme d’IA de Brighterion , a créé une nouvelle règle qui signalerait les transactions géographiquement impossibles. Brighterion surveille les transactions par carte de crédit en temps réel, 24 heures sur 24 et 7 jours sur 7, et les note en fonction de leur degré de risque. Lorsqu’une transaction est signalée comme potentiellement frauduleuse, le système en informe immédiatement la banque de l’utilisateur de la carte. (Chaque banque peut personnaliser le seuil de score pour prendre des mesures, telles que l’envoi d’une alerte ou même le rejet de la transaction.) 

Safety Net, un autre produit de Mastercard, utilise l’IA pour surveiller l’ensemble du réseau de cartes à la recherche de signes d’attaques. Par exemple, si un site Web est inondé de milliers de nouveaux comptes dans un court laps de temps, c’est peut-être parce que des fraudeurs spamment le site pour deviner des numéros de carte valides par force brute.

Bien sûr, un modèle d’IA ne le sait pas ; Il ne peut pas nécessairement comprendre les détails les plus fins du comportement humain. Par conséquent, cela peut également lever un drapeau rouge lorsqu’une promotion réussie – ou, disons, le Cyber Monday – provoque une augmentation du trafic d’un site. C’est en reconnaissant la différence que les humains entrent en jeu.

« Avec une telle augmentation des transactions authentiques, je m’associerai à un gestionnaire de compte pour comprendre ce qui se passe et mettre en place des précautions pour éviter les fausses alarmes », explique Brett Thomson, directeur du développement des produits chez Safety Net. « Vous devez donner une direction à l’IA. »

Parce que les stratégies criminelles évoluent constamment, l’expertise humaine est également essentielle pour identifier les nouvelles menaces et déterminer comment les arrêter. Dès que les fraudeurs se rendent compte que leurs stratégies ne fonctionnent plus, ils élaborent de nouveaux stratagèmes. Mais comme l’IA est entraînée sur des données passées, les outils de surveillance ne détectent pas toujours ces nouveaux modèles immédiatement. C’est donc aux développeurs humains de mettre à jour et d’entraîner les algorithmes dans un jeu continu du chat et de la souris.

« Une fois que nous aurons mis en place une mesure d’atténuation, ils changeront de stratégie. Ensuite, nous remarquerons cette stratégie et ajouterons une nouvelle mesure d’atténuation », explique M. Thomson. « C’est un va-et-vient constant, chacun d’entre nous observant comment l’autre réagit au prochain développement. »

Cette dynamique implacable permet à Thomson, Haulotte et à leurs collègues de l’industrie de rester des acteurs clés dans la lutte contre la fraude.

« Je suis toujours surpris par l’audace et l’imagination des fraudeurs », dit Haulotte. « Il y a toujours de nouvelles tendances en matière de fraude, nous devons donc continuer à créer de nouvelles solutions pour les devancer. Notre travail ne s’arrête jamais.