Consultation SMS de l'Ofcom : nouvelles règles pour lutter contre les escroqueries par SMS

Écrit par Elwyn Davies

La messagerie mobile reste un canal essentiel pour les consommateurs et les entreprises britanniques, sous-tendant tout, de la sécurité des comptes et des mises à jour des services à l'engagement des clients et aux communications publiques.

Dans le même temps, l'ampleur et la persistance des fraudes par SMS continuent de mettre à l'épreuve l'efficacité des mesures de protection existantes dans l'écosystème mobile.

Le 28 janvier 2026, l'Ofcom clôt sa dernière consultation sur les nouvelles règles et directives visant à lutter contre les escroqueries par SMS. Les propositions s'adressent aux opérateurs de réseaux mobiles et aux agrégateurs de messagerie professionnelle du Royaume-Uni, et visent à harmoniser davantage la manière dont les mesures anti-escroquerie sont appliquées dans l'ensemble du secteur.

Cet article explique ce que couvre la consultation, pourquoi l'Ofcom estime qu'un changement est nécessaire et ce que les propositions pourraient signifier concrètement pour les opérateurs mobiles, les fournisseurs de CPaaS et les entreprises qui utilisent la messagerie A2P au Royaume-Uni.

 

Pourquoi l'Ofcom mène une consultation sur les escroqueries par SMS

La consultation de l'Ofcom repose sur une évaluation claire de l'ampleur et de l'impact du phénomène. Selon l'organisme de réglementation, environ 100 millions de messages suspects ont été signalés aux opérateurs mobiles au cours de la seule année dernière. Bon nombre de ces messages usurpent l'identité d'organisations de confiance, exploitant les SMS comme un canal que les consommateurs continuent d'associer à la légitimité et à l'urgence.

L'Ofcom reconnaît que les opérateurs mobiles ont déjà mis en œuvre toute une série de contre-mesures, notamment le filtrage, l'analyse du trafic et des actions coordonnées de suppression. Cependant, l'autorité de régulation identifie une faiblesse centrale dans le paysage actuel : l'application incohérente des protections entre les réseaux et les fournisseurs.

Alors qu'un opérateur peut imposer des contrôles ou une surveillance stricts, un autre peut appliquer des mesures plus souples. Du point de vue de l'Ofcom, cela crée des failles dont les fraudeurs peuvent tirer parti, ce qui les incite à se tourner vers les voies les moins résistantes plutôt que de réduire les dommages globaux.

La consultation vise donc moins à inventer des outils entièrement nouveaux qu'à relever le niveau de référence dans l'ensemble du secteur.

 

Comprendre les deux vecteurs d'escroquerie : la messagerie P2P et A2P

Une caractéristique essentielle de la consultation est la distinction qu'elle établit entre deux types différents d'abus de messagerie, chacun présentant son propre profil de risque.

Messagerie de personne à personne (P2P)

Les escroqueries P2P impliquent généralement des fraudeurs qui acquièrent des cartes SIM, souvent prépayées, et les utilisent pour envoyer un grand nombre de messages directement aux consommateurs. Ces messages peuvent contenir des liens malveillants, de faux avis de livraison ou des demandes urgentes destinées à provoquer une réaction rapide.

L'Ofcom souligne plusieurs défis associés à ce modèle :

  • Abus à grande échelle provenant de cartes SIM grand public

  • Difficulté à distinguer la fraude à un stade précoce de l'utilisation personnelle légitime

  • Changement rapide de carte SIM dès que les seuils de détection sont atteints

Messagerie application-à-personne (A2P)

Les escroqueries A2P sont structurellement différentes. Dans ces cas, les escrocs imitent des entreprises légitimes afin d'accéder à des services de messagerie professionnelle, soit directement, soit par l'intermédiaire de tiers. Une fois l'accès obtenu, ils peuvent envoyer des messages à grande échelle en utilisant des identifiants d'expéditeur de marque ou des codes longs qui semblent fiables aux yeux des destinataires.

La consultation note que les abus A2P impliquent souvent :

  • Informations fausses ou trompeuses concernant l'identité de l'expéditeur

  • Utilisation abusive des voies de messagerie d'entreprise

  • Exploitation des lacunes en matière d'intégration ou de surveillance

 

En s'attaquant explicitement à ces deux vecteurs, l'Ofcom signale que pour réduire efficacement les escroqueries, il faut mettre en place des contrôles
à plusieurs niveaux de la chaîne de messagerie, et pas seulement au niveau de l'interface consommateur.

Les nouvelles conditions générales proposées

Au cœur de la consultation figurent les nouvelles conditions générales proposées qui s'appliqueraient aux opérateurs mobiles et, dans certains cas, aux agrégateurs de messagerie opérant au sein de l'écosystème britannique.

Bien que le document de consultation les expose en détail, plusieurs thèmes reviennent tout au long du document.

Limites de volume sur les cartes SIM prépayées

Pour la messagerie P2P, l'Ofcom propose que les opérateurs fixent et appliquent des limites de volume sur les cartes SIM prépayées. L'objectif n'est pas de perturber l'utilisation normale des consommateurs, mais de réduire la possibilité d'utiliser les cartes SIM grand public pour des campagnes de messagerie en masse.

Les opérateurs conserveraient leur pouvoir discrétionnaire quant à la définition de ces limites, mais devraient veiller à ce qu'elles soient proportionnées et efficaces.

Contrôles continus « Connaissez votre trafic »

Le deuxième pilier des propositions concerne la surveillance continue du trafic, souvent décrite par l'Ofcom comme « Know Your Traffic » (Connaissez votre trafic). Plutôt que de s'appuyer uniquement sur des règles statiques ou des contrôles ponctuels, les fournisseurs seraient tenus de :

  • Vérifiez régulièrement l'activité de votre compte.

  • Enquêter sur les modèles anormaux ou les changements soudains de volume

  • Répondre rapidement aux signalements crédibles de fraude

Cette approche reflète les tendances réglementaires plus larges qui privilégient l'évaluation continue des risques plutôt que la conformité ponctuelle.

Obligations de blocage et d'intervention

Lorsque des activités frauduleuses sont identifiées, les conditions proposées exigeraient des opérateurs qu'ils bloquent les numéros ou les routes associés à la fraude et prennent des mesures pour empêcher que cela ne se reproduise. Il est important de noter que l'Ofcom considère cela comme une responsabilité d'agir de manière décisive tout en maintenant la proportionnalité et le respect des procédures.

Comment l'Ofcom attend des fournisseurs qu'ils se conforment

Parallèlement aux règles proposées, l'Ofcom a publié un projet de lignes directrices destiné à faciliter la mise en œuvre pratique. Ces lignes directrices ne prescrivent pas de technologies ou de seuils spécifiques, mais énoncent plutôt les principes que les fournisseurs doivent suivre lors de la conception de leurs contrôles.

Les points clés sont les suivants :

  • Les contrôles doivent être basés sur les risques et refléter la nature du trafic et de la clientèle.

  • Les mesures doivent être évolutives et capables de traiter de grands volumes sans intervention manuelle excessive.

  • Les fournisseurs doivent mettre en place des processus clairs d'escalade et d'intervention.

Pour de nombreux opérateurs et agrégateurs, cela correspondra en grande partie aux pratiques existantes. La consultation ne vise pas tant à repartir de zéro qu'à garantir une norme minimale cohérente sur l'ensemble du marché.

Implications pour les opérateurs de réseaux mobiles

Pour les opérateurs mobiles britanniques, notamment BT/EE, Virgin Media O2, VodafoneThree, la consultation officialise des attentes qui sont déjà largement comprises au sein du secteur.

Cependant, des conditions générales formelles apporteraient un poids et un contrôle supplémentaires. Les opérateurs pourraient devoir :

  • Réviser les politiques et les seuils relatifs aux cartes SIM prépayées

  • Documenter plus explicitement les processus de surveillance du trafic

  • Veiller à ce que les équipes internes et les outils puissent prendre en charge l'évaluation continue

L'accent mis par l'Ofcom sur la cohérence suggère que la comparaison entre pairs deviendra plus visible, avec moins de tolérance pour les valeurs aberrantes.

Ce que cela signifie pour les agrégateurs et les fournisseurs CPaaS

Les agrégateurs de messagerie professionnelle et les plateformes CPaaS ne sont pas les principales cibles de la consultation, mais ils sont clairement concernés par ses effets.

Des fournisseurs tels que Sinch, Infobip, Twilio, Bird et Vonage opèrent à grande échelle et investissent déjà massivement dans la surveillance et la conformité. La consultation renforce l'attente selon laquelle :

  • Les processus d'intégration des clients restent solides

  • Le comportement des expéditeurs est activement examiné, et pas seulement lors de leur intégration.

  • La collaboration avec les partenaires en amont et en aval se poursuit.

D'un point de vue commercial, les propositions soulignent l'importance de contrôles prévisibles et transparents plutôt que de blocages soudains ou opaques susceptibles de perturber la messagerie légitime des entreprises.

Le rôle de la collaboration industrielle

L'Ofcom affirme clairement que la réglementation seule ne peut résoudre le problème de la fraude par messagerie. Pour obtenir des résultats efficaces, il faut une coopération à l'échelle de l'écosystème, notamment :

  • Opérateurs mobiles

  • Agrégateurs et fournisseurs CPaaS

  • Fournisseurs de solutions spécialisés dans le filtrage et la détection des fraudes

  • Organismes industriels tels que Comms Council UK et MEF

La consultation s'appuie sur la collaboration existante plutôt que de la remplacer. En définissant des attentes plus claires, l'Ofcom vise à favoriser une coordination plus efficace plutôt que des réponses fragmentées.

Les rapports sur les consommateurs et le rôle du 7726

Bien que la consultation soit principalement axée sur le secteur, l'Ofcom continue de souligner l'importance des signalements effectués par les consommateurs. Le numéro court 7726 reste un mécanisme essentiel pour identifier les messages suspects à grande échelle.

Les signalements au 7726 alimentent les enquêtes des opérateurs et, dans leur ensemble, contribuent à définir des stratégies d'intervention plus larges. L'Ofcom fait également référence aux recommandations publiques d'organismes tels que le NCSC, soulignant que la réduction des escroqueries est une responsabilité partagée.

Pourquoi la cohérence est plus importante que les nouvelles technologies

L'un des aspects les plus remarquables de la consultation est ce sur quoi elle ne se concentre pas. L'Ofcom ne prétend pas que le secteur manque d'outils, de données ou de capacités techniques. Il souligne plutôt une application inégale.

D'un point de vue réglementaire, des contrôles de base cohérents peuvent souvent avoir un impact plus important que des mesures avancées isolées mises en œuvre par une partie seulement du marché. Ce cadre est susceptible de trouver un écho auprès des opérateurs qui soutiennent depuis longtemps que l'application inégale des règles sape les efforts collectifs.

Calendrier et prochaines étapes

La consultation prendra fin le 28 janvier 2026. Après avoir examiné les réponses, l'Ofcom décidera s'il convient de mettre en œuvre les conditions générales proposées et, le cas échéant, comment les mettre en œuvre, éventuellement en y apportant des modifications à la lumière des commentaires formulés par le secteur.

Pour les organisations actives dans le domaine de la messagerie au Royaume-Uni, il s'agit clairement d'une opportunité pour :

  • Examinez la consultation en détail

  • Évaluer la conformité des contrôles existants avec les propositions

  • Soumettre des réponses pratiques et fondées sur des preuves

Le document de consultation complet est disponible sur le site web de l'Ofcom.

Points clés à retenir

  • L'Ofcom estime qu'environ 100 millions de messages suspects ont été signalés au cours de l'année écoulée.

  • La consultation cible à la fois les escroqueries par messagerie P2P et A2P.

  • Les nouvelles conditions générales mettent l'accent sur les limites de volume, la surveillance continue et l'intervention.

  • La cohérence au sein du secteur est la principale préoccupation du régulateur.

  • La consultation prend fin le 28 janvier 2026.

Cette consultation représente un moment important pour l'écosystème britannique de la messagerie. Les acteurs du secteur sont invités à lire l'intégralité de la consultation et à y répondre en apportant des contributions pratiques fondées sur leur expérience opérationnelle.

Si vous souhaitez discuter des implications potentielles à un niveau élevé ou explorer comment ces propositions s'articulent avec les approches de conformité existantes, nous sommes toujours disposés à en discuter avec vous.

 

Questions fréquentes

  • La consultation présente les nouvelles règles et directives proposées pour lutter contre les escroqueries par SMS au Royaume-Uni. Elle vise principalement à améliorer la cohérence entre les opérateurs mobiles et les fournisseurs de services de messagerie, en couvrant à la fois les abus liés aux SMS P2P et A2P.

  • Les propositions s'appliquent principalement aux opérateurs de réseaux mobiles britanniques, mais les agrégateurs et les fournisseurs de CPaaS seront également concernés en raison de leurs relations avec les opérateurs et de leur rôle dans la transmission des messages d'entreprise.

  • Non. L'Ofcom ne suggère pas que les SMS sont fondamentalement dangereux. La consultation reconnaît les SMS comme un canal de communication essentiel et se concentre sur la réduction des abus grâce à des mesures de protection cohérentes.

  • « Connaître votre trafic » fait référence à la surveillance continue de l'activité de messagerie afin d'identifier les schémas anormaux, d'enquêter sur les fraudes potentielles et de réagir de manière appropriée plutôt que de se fier uniquement à des règles statiques.

  • Les organisations peuvent soumettre leurs réponses directement à l'Ofcom avant le 28 janvier 2026, en fournissant des commentaires fondés sur des preuves concernant les propositions et leurs implications pratiques.

Elwyn Davies