Dans la mesure où un institut financier dispose d’un système de surveillance des transactions, tous les ordres de paiement transmis par les clients sont soumis à un dispositif de contrôle spécifique avant d'être exécutés. Les opérations inhabituelles, tels que les paiements à l'étranger par exemple, font l'objet quant à eux d'une surveillance particulière et sont passées à la loupe.
Contrôle automatique de toutes les transactions
Pour éviter les virements frauduleux, certains instituts financiers protègent non seulement le processus d'identification de leurs clients aux sessions d'e-banking, mais aussi toutes les transactions qu'ils effectuent. Le contrôle est en général entièrement automatique et se fait en arrière-plan, si bien que la plupart du temps, les clients ne le remarque même pas. Pour chaque transaction, des systèmes intelligents vérifient un certain nombre de caractéristiques telles que le compte du destinataire (s'il s'agit d'un paiement national ou étranger) ou le montant du virement, et comparent ces informations avec l'historique des paiements réalisés par le client. Les règles précises de vérification changent d'un institut financier à l'autre et ne relèvent pas du domaine public.
En procédant à ces contrôles de vraisemblance et en recoupant les différents modèles de fraude connus, les banques parviennent ainsi à reconnaître les transactions suspectes avant qu'elles ne soient exécutées. Un virement n'est donc exécuté que si aucune anomalie n'a été constatée. Dans le cas contraire, l'opération est bloquée et soumise à des contrôles plus poussés. Soit la transaction est validée, soit le client est contacté pour clarifier la situation.
Confirmation de la transaction par le client
Différents instituts financiers prévoient également – ou en alternative – une confirmation de la transaction par le client. Dans ce cas, les transactions potentiellement dangereuses doivent être confirmées séparément par le client au moyen d'une validation supplémentaire, en recourant au système d'authentification utilisé précédemment pour l'ouverture de la session. Pour un virement par exemple, il peut s'agir, dans le cadre de la procédure mTAN, d'un TAN supplémentaire envoyé par SMS ou, dans le cas d’une procédure Photo-TAN, d'une nouvelle mosaïque à photographier.
Une telle confirmation n’est toutefois pas nécessaire pour tous les ordres de paiement. De nombreux systèmes s'appuient sur des listes blanches et noires. La liste blanche recense les noms des bénéficiaires de paiement pouvant recevoir des virements de manière illimitée (par ex. : assurances, caisses maladie, administrations fiscales, etc.). La liste noire contient en revanche les destinataires de paiement considérés comme non fiables et qui ne peuvent recevoir de virements. Beaucoup de systèmes enregistrent par ailleurs les bénéficiaires confirmés par les clients, de sorte que les virements adressés par exemple tous les mois au même destinataire ne doivent être confirmés qu'une seule fois. Ces bénéficiaires sont alors ajoutés dans la liste blanche personnelle du client. Du coup, si le client confirme une transaction, cette dernière doit être scrupuleusement effectuée.
