Pour les organisations régulées

La conformité commence
là où la MFA s'arrête.

L'authentification forte du client (SCA) prouve qu'un identifiant a été présenté. Elle ne prouve pas que la voix au téléphone appartient bien à son titulaire. Hongi vient combler ce manque pour les banques, les assureurs et toute organisation pour laquelle l'usurpation d'identité a un coût direct.

Échanger avec l'équipe Voir la cartographie réglementaire →
  • 3 Mds $
    de pertes annuelles dues à la fraude BEC et à la fraude au président
    FBI IC3 2024
  • 40 M€
    volés en Belgique par phishing et vishing
    Febelfin 2024
  • Déc. 2027
    échéance d'acceptation obligatoire du portefeuille EUDI
    Règlement (UE) 2024/1183
  • 80 %+
    des cas relèvent de l’ingénierie sociale assistée par IA
    ENISA Threat Landscape 2025

Le maillon manquant de la conformité.

La SCA couvre les deux extrémités d'une interaction client : la connexion et la validation de la transaction. Tout ce qui se passe entre les deux, l'appel téléphonique, la séance vidéo, l'échange d'e-mails, n'apporte aucune preuve d'identité en temps réel. C'est dans cet entre-deux que prospèrent le vishing, la vidéo deepfake et la fraude au président.

couvert par la SCA
maillon comblé par Hongi

Cartographie réglementaire.

Huit cadres qui touchent à l'assurance d'identité sur les canaux que Hongi protège. Pour chacun : le rôle de Hongi et la source primaire.

  1. 2019 PSD2 RTS-SCA en vigueur
  2. 2024 EBA fraud reporting orientations actualisées
  3. Oct. 2024 NIS2 transposée
  4. Janv. 2025 DORA en application
  5. Déc. 2027 Portefeuille EUDI acceptation obligatoire
Règlements de référence 3
EU en vigueur depuis 2019
DSP2 · RTS sur la SCA
Règlement délégué (UE) 2018/389
Périmètre

Authentification forte du client : au moins deux éléments parmi la connaissance, la possession et l'inhérence ; lien dynamique avec la transaction.

Positionnement de Hongi

Hongi joue le rôle de facteur de possession hors bande, complémentaire, pour la conversation qui entoure l'autorisation de paiement. Hongi ne remplace pas la SCA : il fait barrage à l'ingénierie sociale qui détourne un flux SCA pourtant valide (transactions provoquées par fraude, usurpation de conseiller).

Source primaire →
EU en application depuis janv. 2025
DORA
Règlement (UE) 2022/2554
Périmètre

Résilience opérationnelle numérique du secteur financier. Art. 9 (protection et prévention), Art. 17-19 (notification d'incidents TIC). En application depuis le 17 janvier 2025.

Positionnement de Hongi

Réduit la surface d'attaque par ingénierie sociale, à l'origine d'une part des incidents TIC. Le journal d'audit en option (arbre de Merkle d'empreintes d'appairage, sans aucune identité) facilite la reconstitution post-incident sans conserver de données personnelles.

Source primaire →
EU obligatoire déc. 2027
eIDAS-2 · Portefeuille EUDI
Règlement (UE) 2024/1183
Périmètre

Acceptation obligatoire du portefeuille européen d'identité numérique par les parties utilisatrices à compter de décembre 2027 (art. 5f). Preuves d'identité cryptographiques fortes.

Positionnement de Hongi

Hongi est le vérificateur en temps réel du canal humain, en complément d'EUDI : EUDI prouve qu'un identifiant a été présenté, Hongi prouve que la voix au bout du fil appartient bien à son titulaire. Deux problèmes distincts, une seule architecture.

Source primaire →
Cadres complémentaires 5
Orientations EBA · déclaration de fraude
EBA/GL/2018/05 (mises à jour en 2024)
EU

Un croisement Hongi qui ne concorde pas lors d'un appel banque-client constitue un signal propre, lisible par les systèmes, et peut alimenter les déclarations de fraude (fraude au président, vishing) là où le dispositif actuel, centré sur la fraude à la carte, est en sous-déclaration.

mises à jour en 2024 Source primaire →
BNB · sécurité TIC
Orientations prudentielles de la Banque nationale de Belgique + mise en œuvre de DORA
BE

Couche opérationnelle d'assurance d'identité pour les interactions banque-client à distance et au sein même de la banque, en cohérence avec le cadre BNB de gouvernance des services soutenus par les TIC.

en vigueur Source primaire →
RGPD · privacy by design
Règlement (UE) 2016/679, art. 25
EU

Aucun nom, aucun numéro de téléphone, aucune adresse e-mail, aucune liste de contacts, aucun historique de mots-codes, aucune mesure d'audience. La clé partagée demeure sur les deux appareils appairés ; le serveur ne fait que relayer un cryptogramme opaque. En cas de violation de données, il n'y a presque rien à exfiltrer.

en vigueur depuis 2018 Source primaire →
NIS2
Directive (UE) 2022/2555
EU

Ajoute une couche d'assurance d'identité au contrôle d'accès pour les interactions à distance à haut risque (validation de transaction, réponse à incident, intégration d'un fournisseur) que la MFA par canal texte ne couvre pas.

transposée en 2024 Source primaire →
NIST SP 800-63-4 + ENISA TL 2025
NIST Digital Identity Guidelines, juillet 2025 · ENISA Threat Landscape 2025
GLOBAL

Cible directement la menace placée en tête par l'ENISA. Complète les niveaux d'assurance d'authentification du NIST par une attestation du canal humain, au niveau de la session, indépendamment du support (téléphone, vidéo, en personne).

standard du secteur Source primaire →

Application dans les opérations.

Sur la feuille de route B2B voir la feuille de route →

Six scénarios opérationnels qui couvrent les flux clients et les flux internes. Les mécanismes décrits ci-dessous reposent sur l'appairage organisationnel et les journaux d'audit qui figurent sur notre feuille de route B2B en cours, à ce stade non livrés. Les premiers pilotes avec des banques sont prévus pour le quatrième trimestre 2026. Dans chacun de ces scénarios, une seule vérification manquée se solde par un préjudice à six chiffres bien documenté.

01
€40M
phishing et vishing en Belgique · Febelfin 2024

Appels sortants banque vers client

DSP2 RTS-SCAEBA · déclaration de fraude
Sans Hongi

Le client ne peut distinguer un vrai conseiller d'un fraudeur en vishing qui maîtrise le contexte.

Avec Hongi

Le mot-code du client doit concorder avec celui du conseiller. Pas de concordance, pas de conversation.

02
$25.6M
une seule visioconférence deepfake · Arup 2024

Sessions vidéo d'entrée en relation client

eIDAS-2RGPDKYC/LCB-FT
Sans Hongi

La substitution de visage par deepfake atteint le KYC à distance. Le visage à l'écran peut ne pas correspondre à la pièce d'identité fournie.

Avec Hongi

Les deux parties lisent à la caméra des mots-codes concordants avant la revue KYC. La concordance est attestée dans la session.

03
$3B
pertes annuelles BEC · FBI IC3 2024

Vérification interne (BEC ou fraude au président)

DORANIS2
Sans Hongi

Demande de virement urgente du PDG, signatures conformes, voix qui sonne juste. L'argent part.

Avec Hongi

Contrôle de mot-code en temps réel avant tout paiement inhabituel. Un seul appairage referme la brèche.

04
4h+
fenêtre de notification d'incident DORA

Réponse à incident

DORA art. 17-19NIS2
Sans Hongi

Les attaquants tirent profit du chaos de l'incident : faux service informatique, faux support, faux prestataires de réponse à incident.

Avec Hongi

Chaque appel interne fait l'objet d'un contrôle de mot-code. Sans concordance, aucune instruction n'est exécutée.

05
€100k+
seuil habituel des virements de montant élevé

Confirmation d'opération de montant élevé

DSP2 RTS-SCAEBA · déclaration de fraude
Sans Hongi

Virement de plus de 100 000 € autorisé par téléphone, sans preuve hors bande que le client est bien à l'appareil.

Avec Hongi

Le client lit à voix haute son mot-code en cours. Le conseiller en confirme la concordance. Le paiement est exécuté et attesté.

06
avg €40k
préjudice moyen par fraude à la facture fournisseur

KYB fournisseur ou prestataire

DORA · chaîne d’approvisionnementNIS2
Sans Hongi

Les appels fournisseurs reposent sur une identité faible. La fraude à la facture vient se greffer sur ce manque.

Avec Hongi

Appairage lors du KYB. Dès lors, chaque appel fournisseur est vérifié par Hongi. Plus de zone grise.

Une architecture taillée pour le regard du DPO.

Un déploiement Hongi peut être audité par votre DPO en un après-midi. Voici tout ce que nous conservons sur un serveur lorsqu'une organisation déploie Hongi pour son personnel et ses clients.

  • Jetons push par appareil. Identifiants opaques émis par APNs ou FCM. Aucune correspondance avec un nom de personne. Strictement nécessaires au canal de notification silencieuse ; non utilisés pour la vérification de mot-code courante, qui est, elle, entièrement hors ligne.
  • Journal d'audit, en option, des empreintes d'appairage. Pour les déploiements B2B qui exigent une traçabilité au titre de l'art. 17 de DORA ou des orientations de la BNB, Hongi peut adjoindre un journal en arbre de Merkle des empreintes d'appairage (sans identité, sans mot-code). Vérifiable par preuve de Merkle. Aucune chaîne publique.
  • Métadonnées de paiement des pourboires. Pertinent uniquement pour le produit grand public, pas pour le B2B. Acheminé par Stripe. Hongi voit qu'un pourboire a été versé et son montant, rien qui permette de le rattacher à un utilisateur.

Ce que nous ne conservons pas : noms, numéros de téléphone, adresses e-mail, listes de contacts, historique de mots-codes, journaux d'appels, données de localisation, transcriptions, données biométriques, identifiants publicitaires. La clé de vérification entre deux appareils appairés ne quitte jamais ces deux appareils ; elle y est calculée localement.

Étape suivante

Réservez un échange pilote de 30 minutes.

L'équipe Hongi s'assied avec vos responsables conformité, fraude et IT et passe en revue votre cas d'usage à plus fort impact. Si l'adéquation est là, nous lançons un pilote gratuit de six mois auprès de 500 clients ou collaborateurs maximum. Sans achat, sans licence, sans exposition.

Écrire directement aux fondateurs Consulter la FAQ au préalable →

Hongi (Lovit BV) · Flandre, Belgique · info@hongi.io