Comment le système de subventions SRD a été fraudé

La subvention SRD a été introduite pendant la pandémie de Covid pour venir en aide aux personnes dans le besoin. Environ neuf millions de ces subventions R370 sont désormais versées mensuellement. C’est potentiellement la base d’un revenu de base universel.

Le militant Israel Nkuna met en garde depuis des années contre les demandes frauduleuses de subvention SRD, et que ces demandes frauduleuses ont évincé les candidats légitimes en utilisant leurs numéros d’identification sans autorisation. GroundUp a également signalé ce problème.

Puis, en octobre, nous avons publié un article rédigé par des étudiants de l’Université de Stellenbosch qui ont découvert un nombre massif de demandes frauduleuses de subvention SRD et des preuves qu’au moins certaines de ces demandes frauduleuses avaient abouti.

Depuis lors, il est devenu plus clair pour nous comment le système de subventions SRD a été fraudé à grande échelle. Cela comporte six étapes.

Tout d’abord, obtenez les numéros d’identification et leurs noms associés à partir de l’une des diverses fuites importantes de données sud-africaines.
Deuxièmement, ouvrez des comptes mal vérifiés auprès de Shoprite ou TymeBank, ou éventuellement d’autres banques également. Cela pourrait être fait sur un ordinateur portable ou un téléphone sans quitter son domicile. Shoprite et TymeBank ont renforcé ces derniers mois leurs processus de demande de compte bancaire, afin que les fraudeurs ne puissent plus continuer à le faire.
Troisièmement, obtenez des cartes SIM mal vérifiées. Cela se fait facilement en se rendant simplement dans un magasin de téléphonie mobile douteux local. Mais jusqu’à récemment, cela pouvait même se faire entièrement en ligne en enregistrant gratuitement des cartes SIM électroniques via me&you mobile. Cela aussi a depuis été arrêté.
Quatrièmement, utilisez le numéro d’identification, le numéro de téléphone et le compte bancaire obtenus au cours des trois premières étapes pour demander une subvention SRD.
Cinquièmement, attendez que la subvention soit versée sur le compte ouvert à la deuxième étape. Pour autant que nous puissions le savoir, SASSA envoie chaque mois les numéros d’identification des candidats aux banques, au SARS et au NSFAS pour vérifier si les candidats réussissent l’examen de ressources. Si le demandeur ne paie pas d’impôt sur le revenu, ne reçoit pas d’argent du NSFAS et a des revenus sur son compte bancaire inférieurs à 625 rands par mois, la subvention est versée.
Sixièmement, blanchissez l’argent du SRD en le transférant hors du compte bancaire. Il existe différentes manières de procéder, que nous ne décrivons pas ici.

Faire ce qui précède pour une seule subvention SRD n’en vaut pas la peine. Mais un fraudeur déterminé ou un groupe de fraudeurs pourrait déposer des dizaines, voire des centaines de demandes par jour. À un moment donné, il était possible d’effectuer l’ensemble du processus décrit ci-dessus en utilisant uniquement un ordinateur portable. Il serait également possible d’écrire un programme informatique pour automatiser le processus, mais une telle sophistication serait inutile : aller dans un magasin pour acheter des cartes SIM et créer manuellement de nombreuses applications serait très rentable.

À notre connaissance, il n’est plus possible – ou du moins plus facile – de faire de nouvelles demandes frauduleuses. Mais il est probable que de nombreuses demandes frauduleuses déposées des années après l’introduction de la subvention réussissent toujours l’examen de ressources mensuel et reçoivent des subventions SRD.

SASSA DOIT AGIR

La SASSA, ainsi que les entreprises qui ont reçu un grand nombre de subventions SRD comme TymeBank et Shoprite, peuvent prendre au moins ces mesures pour empêcher cette fraude :

Insistez sur le fait que les banques n’acceptent les subventions SRD que pour les personnes vérifiées biométriquement et validées par une empreinte digitale ou un scanner facial.
Supprimer l’accès des tiers au système de demande de subvention SASSA, à l’exception des institutions autorisées qui ont un besoin légitime d’accéder au système. (SASSA dit que c’est désormais fait.)
Limitez le nombre de requêtes qu’un seul ordinateur peut effectuer sur le site Web SASSA afin que les programmes qui lui envoient des dizaines, des centaines ou des milliers de requêtes par seconde échouent. (SASSA dit que c’est désormais fait.)
Auditez toutes les demandes de subvention SRD actuelles pour identifier l’ampleur de la fraude, supprimez les demandes frauduleuses (il peut être difficile de les identifier) et insistez pour que les demandes suspectes soient vérifiées. (SASSA affirme qu’un audit « ne serait d’aucune utilité ». Mais TymeBank affirme qu’elle « mène une analyse du comportement de transaction sur les comptes ouverts avant août 2024 qui reçoivent des subventions pour identifier ceux qui ne sont pas des bénéficiaires légitimes de subventions ».)

Même si nous ne disposons pas de suffisamment d’informations pour la quantifier, nous soupçonnons que l’ampleur de la fraude SRD est très importante. Non seulement cela sape l’argent du système de subventions sociales, mais chaque demande frauduleuse utilisant la pièce d’identité de quelqu’un d’autre prive potentiellement un bénéficiaire légitime d’une subvention SRD de la possibilité d’obtenir la subvention parce que son numéro d’identification est utilisé par quelqu’un d’autre. Dans le meilleur des cas, une personne victime d’une fraude à l’identité doit se frayer un chemin à travers un horrible processus bureaucratique pour annuler la demande frauduleuse.

RÉPONSE DE SASSA

SASSA est consciente du risque de fraude dans le domaine des subventions sociales et travaille en étroite collaboration avec diverses parties prenantes du secteur financier ainsi qu’avec les forces de l’ordre pour atténuer ce risque et appréhender les responsables de cette activité criminelle.

En ce qui concerne les banques mentionnées, SASSA travaille avec toutes les banques disposées à coopérer avec nous, mais il ne serait pas approprié pour nous de commenter la fraude dans l’environnement d’une banque individuelle.

Si vous disposez d’informations supplémentaires concernant la fraude, nous vous encourageons à partager ces données avec notre service Fraude ou directement avec SAPS. Les détails des dossiers ouverts peuvent vous être fournis si vous souhaitez accéder directement à SAPS.

Réponse spécifique aux recommandations proposées par Gooundup

(Les recommandations de GroundUp sont en italique.)

Insistez sur le fait que les banques n’acceptent les subventions SRD qu’aux personnes vérifiées biométriquement et validées par une empreinte digitale ou un scanner facial.

SASSA ne peut malheureusement pas gérer les opérations d’une banque ni déterminer la manière dont elle choisit de s’engager avec ses clients. Cependant, nous prenons en compte le profil de risque d’une banque dans nos mesures d’atténuation des risques de fraude.

Supprimer l’accès des tiers au système de demande de subvention SASSA, à l’exception des institutions autorisées qui ont un besoin légitime d’accéder au système.

SASSA met en œuvre des politiques strictes de pare-feu et d’accès pour tout tiers ou institution autorisée avec lequel elle interagit à des fins de partage de données ou d’accès à son environnement et à ses bases de données.

Limitez le nombre de requêtes qu’un seul ordinateur peut effectuer sur le site Web SASSA afin que les programmes qui lui envoient des dizaines, des centaines ou des milliers de requêtes par seconde échouent.

SASSA a mis en œuvre une politique de sécurité du contenu (CSP) comme couche de sécurité supplémentaire qui permet de détecter et d’atténuer certains types d’attaques et d’attaques par injection de données. Cela fournit des contrôles qui autorisent uniquement les sources de contenu approuvées que les navigateurs devraient être autorisés à charger sur la page, ainsi que le blocage des demandes non autorisées, notamment

– Requêtes à haute fréquence qui dépassent le comportement normal de l’utilisateur.

– Demandes contenant des données invalides ou partielles (par exemple, combinaisons incorrectes de numéros d’identification et de numéros de téléphone).

– Demandes provenant d’adresses IP suspectes ou malveillantes connues.

Auditez toutes les demandes de subvention SRD actuelles pour identifier l’ampleur de la fraude, supprimez les demandes frauduleuses (il peut être difficile de les identifier) et insistez pour que les demandes suspectes soient vérifiées.

Un audit ne permettrait pas d’identifier les demandes frauduleuses s’il s’agit d’une usurpation d’identité, car tous les dossiers du demandeur correspondraient à ceux de la victime présumée. Le processus actuellement suivi par SASSA consiste à signaler toute demande suspectée d’être frauduleuse, puis à exiger une confirmation biométrique si le demandeur est la personne réelle. L’identification biométrique pose cependant un défi à de nombreux candidats (c’est la raison principale pour laquelle nous ne l’utilisons pas pour tous les candidats). Ainsi, à ce stade, il est trop tôt pour déterminer si les demandes soupçonnées de fraude et auxquelles il n’a pas été répondu sont de véritables cas de fraude ou s’il s’agit simplement de contestations d’accès. Le processus a déjà commencé, comme cela a été rapporté à plusieurs reprises, sur lequel GroundUp a également publié des articles.

Malheureusement, la fraude a un impact négatif sur les victimes et des mesures de vérification supplémentaires sont donc nécessaires. SASSA a également réaffecté des ressources importantes pour pouvoir équiper ses bureaux locaux de kiosques d’auto-assistance d’ici le nouvel exercice financier. Cela nous permettra d’aider les candidats qui n’ont pas accès à la technologie nécessaire.

RÉPONSE DE SHOPRITE

Les demandes frauduleuses de subvention SRD ne sont plus possibles via un Compte du Marché Monétaire. Tous les nouveaux comptes sont désormais intégrés biométriquement.

Pour protéger l’argent de nos clients, toutes les transactions suspectes sont signalées et les comptes sont immédiatement bloqués. Un compte ne peut être débloqué qu’en attendant la soumission réussie de documents de vérification supplémentaires.

SASSA a supprimé l’accès des tiers au système de demande de subvention. Nous accueillerions favorablement toute mesure de sécurité et contrôle supplémentaire mis en œuvre par SASSA pour lutter davantage contre toute activité frauduleuse relative aux subventions SRD.

RÉPONSE DE TYMEBANK

À partir d’août 2024, TymeBank ne permet plus aux bénéficiaires de subventions SASSA de recevoir des paiements de subventions sur des comptes TymeBank non vérifiés biométriquement. S’ils souhaitent utiliser leur compte TymeBank pour recevoir une subvention, ils doivent mettre à niveau leur compte et terminer le processus de vérification biométrique et KYC (Know Your Client).

Au cours des derniers mois, nous avons contacté les titulaires de comptes qui possèdent encore des comptes non biométriques pour les inciter à mettre à niveau leurs comptes de manière biométrique. Dans le même temps, nous menons une analyse du comportement transactionnel sur les comptes ouverts avant août 2024 qui reçoivent des subventions afin d’identifier ceux qui ne sont pas des bénéficiaires légitimes de subventions. Ce projet devrait être achevé sous peu. D’ici fin janvier 2025, les comptes non vérifiés biométriquement seront suspendus, en attendant une vérification biométrique réussie.

Nous continuons à travailler en étroite collaboration avec SASSA pour lutter contre la fraude au sein du système de subventions sociales.

Décès du fondateur du ZimFest, Hilton Mendelsohn

L’ambassadeur de la paix appelle les jeunes à célébrer l’Aïd modestement

Chuck Norris, icône des arts martiaux et star de l’action, est décédé à 86 ans

ZISCO placé sous la tutelle du Mutapa Investment Fund dans le cadre d’une nouvelle tentative de relance du géant de l’acier effondré

Les États-Unis envisagent de lever les sanctions sur une partie du pétrole iranien

Trump dit à Netanyahu d’arrêter les frappes énergétiques en Iran alors que la guerre du Golfe s’intensifie