Dans le domaine de la LCB, l’IA explicable est indispensable pour comprendre comment certaines alertes se déclenchent, les raisons du blocage ou de l’autorisation d’une transaction ou encore les facteurs contribuant à identifier un client à haut risque. Cette transparence aide les établissements financiers à satisfaire aux attentes réglementaires et à instaurer un climat de confiance en permettant aux clients, aux auditeurs et aux autorités de régulation de voir comment et pourquoi leurs décisions fondées sur l’IA sont prises, ce qui réduit le risque de fausse déclaration tout et améliorant la responsabilité.

Toutefois, notre enquête sur l’état de la conformité en 2025 révèle une contradiction intéressante. En effet, même si les établissements semblent comprendre les exigences des autorités réglementaires en matière d’IA, 91 % des personnes interrogées ne voient aucun problème à sacrifier l’explicabilité au profit d’une automatisation et d’une efficacité renforcées, ce qui pourrait entrer en contradiction avec la politique de transparence sur laquelle les régulateurs comptent de plus en plus.

Dans ce contexte, les responsables de la conformité doivent donc trouver des solutions pour s’assurer que leurs outils d’IA répondent à la fois à leurs objectifs de performance et aux attentes des régulateurs. 

Qu’est-ce que l’IA explicable (XAI) ?

L’IA explicable (XAI) désigne les systèmes d’IA qui prennent des décisions et expliquent comment et pourquoi ces décisions ont été prises. Il s’agit aussi d’un sous-ensemble de l’IA responsable (RAI). Mais tandis que la RAI concerne l’ensemble des pratiques éthiques et fiables en matière d’IA, la XAI se focalise spécifiquement sur la transparence des systèmes d’IA et l’intelligibilité des décisions prises par ces derniers. Pour l’équipe en charge de la conformité, la XAI est essentielle pour faciliter l’interprétation des résultats générés par l’IA par les différentes parties prenantes qui ont besoin de valider et de faire confiance à ces systèmes.

Pour atteindre ce niveau de transparence, l’équipe Conformité a souvent recours à des techniques de XAI spécifiques, et notamment à :

• Des modèles fondés sur des règles : Également appelés « modèles d’apprentissage automatique en boîte blanche », les modèles simples basés sur des règles appliquent des règles prédéfinies qui les rendent naturellement interprétables. Ainsi, signaler des transactions d’un gros montant est une règle simple que les professionnels de la conformité peuvent ensuite examiner facilement. Cependant, en raison d’un manque de nuance et de souplesse, le taux de faux positifs de ces modèles est estimé à plus de 98 %.
• Une explicabilité a posteriori (post-hoc) : Alors que les modèles en « boîte blanche » offrent plus de transparence en amont, les « modèles en boîte noire » sont plus complexes et ont tendance à fournir une plus grande précision prédictive. Ces modèles nécessitent souvent des méthodes post-hoc qui permettent à l’équipe Conformité de suivre les niveaux de risque à partir de caractéristiques spécifiques telles que le type de transaction ou l’historique du client. 
• Des approches hybrides : Associant différentes techniques fondées sur des règles et pilotées par l’IA, les modèles hybrides s’appuient à la fois sur des règles statiques et des algorithmes adaptables qui améliorent la précision de la détection tout en garantissant la transparence. Grâce à cet équilibre, l’équipe Conformité peut identifier les activités suspectes plus subtiles tout en profitant d’explications à la fois claires et accessibles.

Comment la XAI peut-elle améliorer les systèmes de LCB ?

L’un des principaux avantages de la XAI est sa capacité à améliorer la qualité des alertes et à réduire le volume de faux positifs. Les modèles de LCB traditionnels génèrent souvent de gros volumes d’alertes, dont beaucoup sans intérêt, ce qui surcharge l’équipe Conformité et détourne les ressources des risques réels. La XAI fournit quant à elle des informations plus subtiles sur les facteurs sous-jacents de chaque alerte, ce qui permet à un établissement financier d’affiner ses modèles de détection et de prioriser de manière plus fine les cas à approfondir.

En outre, la XAI renforce sensiblement la capacité d’un établissement à auditer et à justifier ses décisions. Ainsi, si un modèle identifie une transaction suspecte, l’IA explicable peut alors expliciter les facteurs qui ont déclenché l’alerte, notamment les caractéristiques des transactions ou le profil de risque historique d’un client. Ce raisonnement détaillé pour chaque alerte améliore la préparation d’un établissement à un audit des autorités réglementaires en permettant à l’équipe Conformité d’expliquer de manière certaine pourquoi une alerte a été déclenchée et comment ses systèmes LCB diminuent le risque d’oubli ou d’erreur.

L’une des utilisations les plus concrètes de la XAI est celle faite par nos détecteurs de fraude avancés. Conçus dans une volonté de transparence vis-à-vis des clients, ces détecteurs ne se contentent pas d’identifier les comportements suspects et ils fournissent aussi des explications claires pour chaque alerte en détaillant les facteurs ayant influencé la décision qui a été prise. Cet outil permet non seulement à nos clients de justifier leurs actions, mais aussi d’être fin prêts à un éventuel audit en répondant de manière transparente aux demandes d’explication des autorités réglementaires concernant telle ou telle alerte.

Iain Armstrong, spécialiste des affaires réglementaires chez ComplyAdvantage

En outre, l’explicabilité des modèles d’IA peut participer à la formation et au perfectionnement de l’équipe en charge de la conformité. En effet, si cette même équipe comprend la logique qui se cache derrière les alertes, elle peut alors mieux analyser les modèles et comprendre plus finement les indicateurs à haut risque. Tout cela contribue à renforcer l’expertise de l’équipe et favorise une approche plus éclairée de la LCB, au-delà des simples résultats fournis par les modèles.

Cependant, la XAI ne se contente pas d’améliorer les fonctions de conformité et de réglementation ; elle joue aussi un rôle crucial dans la création de produits plus performants.

En effet, comme la relation entre la XAI et l’excellence d’un produit se renforce mutuellement, il est difficile d’obtenir un produit de qualité sans se concentrer sur ces éléments. Chez ComplyAdvantage, notre approche de la gestion des risques liés au modèle nous permet non seulement de maîtriser le risque et de fournir une XAI aux clients, mais aussi de jouer un rôle essentiel dans la création de systèmes d’IA de grande qualité qui sont au cœur des meilleurs produits et services de leur catégorie.

Chris Elliot, Directeur de la gouvernance des données chez ComplyAdvantage

Les attentes réglementaires concernant l’IA explicable (XAI)

Le paysage réglementaire entourant l’IA et l’apprentissage automatique ne cesse d’évoluer, ce qui peut être une source d’incertitude pour les établissements cherchant à adopter la XAI. À mesure que les technologies d’IA s’intègrent davantage aux pratiques LCB et de conformité au sens large, les autorités réglementaires du monde entier mettent toujours plus l’accent sur la transparence, l’équité et la responsabilité pour les systèmes basés sur l’IA. Les établissements qui adoptent ces technologies doivent se tenir informés des toutes dernières normes juridiques et des bonnes pratiques qui mettent de plus en plus l’accent sur la XAI.

Les juridictions partagent une préoccupation commune, à savoir veiller à ce que les applications de l’IA soient transparentes et équitables, en particulier dans les secteurs ayant un fort enjeu tels que la LCB.

Union européenne

Considérée comme « la première loi complète sur l’IA au monde », la loi européenne sur l’IA définit les attentes en matière de transparence, de gouvernance et de responsabilité pour les solutions LCB fondées sur l’IA. Entrée en vigueur en août 2024, cette loi européenne exige des établissements financiers qu’ils garantissent la transparence de leurs processus décisionnels et qu’ils soient notamment capables d’expliquer pourquoi certaines transactions ont été signalées comme étant suspectes. En outre, cette même loi souligne l’importance d’avoir de puissants cadres de gouvernance des données qui exigent des données de grande qualité pour réduire au strict minimum les inexactitudes et les biais.

Le Règlement général sur la protection des données (RGPD) de l’UE vient compléter ces normes spécifiques à l’IA en appliquant des contrôles rigoureux de la confidentialité des données qui participent aux objectifs de la XAI. Grâce au « droit à l’explication » édicté dans le RGPD, les personnes ont un droit de regard sur les décisions automatisées qui les concernent, un droit en phase avec les exigences de transparence de la loi européenne sur l’IA.

Les avantages de l’IA explicable (XAI) dans la LCB

À l’heure où les établissements financiers cherchent à renforcer leurs ressources LCB, la XAI offre une série d’avantages uniques pour améliorer les performances opérationnelles et la conformité à la réglementation, et notamment :

• Une réduction de la charge opérationnelle : En améliorant la qualité des alertes et en réduisant le volume de faux positifs, la XAI autorise l’équipe Conformité à concentrer ses efforts sur les risques réels plutôt qu’à passer au crible un gros volume d’alertes ne nécessitant au final qu’une action minimale. Cette rationalisation peut permettre une allocation plus efficace des ressources humaines.
• L’engagement des parties prenantes : La XAI peut améliorer la communication avec les parties prenantes externes telles que les autorités de règlementation et les clients. S’ils peuvent bénéficier d’explications claires sur les raisons derrière chaque décision prise, les établissements financiers peuvent alors participer plus efficacement aux discussions sur les pratiques de conformité et les stratégies de gestion des risques.
• Un soutien à l’amélioration continue : Les connaissances acquises grâce à la XAI contribuent à améliorer en continu les stratégies LCB. En analysant les déclencheurs d’une alerte et les résultats obtenus, les établissements peuvent affiner leurs modèles de détection ainsi que leurs politiques, ce qui favorise une culture d’amélioration permanente de la gestion des risques.
• Une plus grande confiance des clients : Les établissements peuvent renforcer la confiance dans leurs pratiques LCB en s’appuyant sur la XAI. En effet, des prises de décision transparentes rassurent les clients quant à la diligence et l’équité des processus de surveillance de leur établissement financier.

Les défis et limites de la XAI

Si la XAI offre de nombreux avantages, son déploiement n’est pas sans poser de problèmes. En effet, les établissements financiers doivent évoluer dans un paysage complexe de contraintes techniques, réglementaires et opérationnelles pour intégrer efficacement la XAI à leurs cadres de conformité. Il est indispensable que ces établissements maîtrisent ces obstacles pour trouver un équilibre entre transparence et efficacité. Parmi les principaux défis à relever, citons :

• La confidentialité des données : Assurer la confidentialité tout en garantissant la transparence peut s’avérer un exercice délicat. Par exemple, le règlement RGPD en Europe impose des mesures strictes de protection des données auxquelles les établissements doivent se conformer tout en offrant une transparence suffisante vis-à-vis des résultats liés à la XAI, ce qui peut s’avérer compliqué avec les données personnelles.
• Les biais : Si les données utilisées pour entraîner les modèles de XAI sont biaisées ou non pertinentes, les explications générées peuvent perpétuer les biais existants, ce qui donnera des résultats inexacts ou injustes. C’est ainsi qu’en janvier 2024, le Département des services financiers de l’État de New York (NYDFS) s’est inquiété des biais algorithmiques au sein des technologies financières, soulignant ainsi la nécessité de disposer de processus de prise de décision automatisés devant être à la fois équitables et précis.
• La dépendance envers des données de qualité : Les performances de la XAI sont largement tributaires de la qualité et de l’exactitude des données qu’elle traite. Des données de mauvaise qualité peuvent conduire à des explications et à des décisions trompeuses qui nuisent ainsi à la vocation même de la XAI. Pour veiller au bon fonctionnement de leurs systèmes, les établissements doivent donc investir dans des pratiques de gouvernance et de gestion des données.

Comment fonctionne la XAI dans un système de LCB ?

En matière de LCB, il est possible d’intégrer l’explicabilité de différentes manières afin de créer un système transparent et contrôlable, notamment via :

1. L’ingestion de données et la résolution d’entités : En consolidant les informations provenant de différentes sources, un système LCB peut fournir une vue complète des entités. Et la XAI peut jouer un rôle clé à ce niveau en clarifiant la manière dont les entités sont identifiées et reliées à des points de données pertinents, qu’il s’agisse de transactions, de relations ou encore d’indicateurs de risque. Supposons, par exemple, qu’une personne soit identifiée comme présentant un risque élevé en raison d’une couverture médiatique négative. Dans ce cas, un système de XAI peut analyser minutieusement ces déclencheurs et aider ainsi l’équipe Conformité à retracer l’origine des données afin de prendre des décisions éclairées.
2. L’évaluation et la notation des risques : L’évaluation des risques est un élément critique d’un programme LCB qui permet d’évaluer les données pour déterminer le potentiel de risque lié à des entités ou transactions spécifiques. La XAI facilite ce processus en utilisant des modèles explicables pour retracer les facteurs qui déterminent les niveaux de risque. Comme indiqué dans l’image ci-dessous, ces modèles décomposent le risque pour savoir comment des attributs spécifiques participent à l’évaluation globale du risque. Ce niveau de détail est essentiel pour permettre aux responsables de la conformité de prendre des décisions fondées sur des critères transparents.
3. La génération d’alertes explicables : Lorsqu’un système LCB déclenche une alerte pour une activité potentiellement suspecte, la XAI joue alors un rôle crucial en vérifiant que cette alerte est à la fois précise et accompagnée d’explications claires. Chaque alerte peut contenir des détails sur les indicateurs de risque spécifiques qui ont déclenché l’alerte, ce qui fournit du contexte à l’équipe Conformité et permet des actions de suivi efficaces. Cette transparence est critique pour le reporting réglementaire et pour justifier la décision prise dans la foulée d’une alerte.

5 questions clés à poser à votre fournisseur LCB pour évaluer sa XAI

C’est en posant les bonnes questions que les établissements peuvent mieux évaluer la transparence et la responsabilité des solutions d’IA qu’ils passent en revue. Les questions suivantes peuvent notamment servir de point de départ à la discussion : 

• Sur quelles méthodologies votre système d’IA s’appuie-t-il pour prendre des décisions ?
  Comprendre les algorithmes et les modèles sous-jacents qu’un fournisseur utilise peut aider à savoir si son IA est explicable. Demandez-lui s’il utilise des systèmes basés sur des règles, des modèles interprétables ou une approche hybride qui associe différentes techniques. S’engager à une méthodologie transparente est un bon indicateur de pratiques XAI.
• Comment fournissez-vous des explications pour l’évaluation des risques et les alertes ?
  Un fournisseur doit être capable d’expliquer comment son système génère des explications pour les niveaux de risque et les alertes. Demandez-lui de vous montrer comment son système présente ces explications à l’équipe Conformité, et notamment les facteurs spécifiques entrant dans le processus de décision.
• Votre système peut-il démontrer la traçabilité des décisions prises par l’IA ?
  Un système de XAI puissant doit permettre de retracer ses décisions afin que les professionnels de la conformité puissent analyser la logique derrière les alertes et l’évaluation des risques. Demandez au fournisseur s’il tient un journal détaillé du processus de prise de décision, ce qui peut s’avérer essentiel pour les audits réglementaires et de conformité.
• Quelles mesures sont prises pour garantir l’équité et l’exactitude de vos modèles d’IA ?
  Il est en effet essentiel de comprendre comment un fournisseur gère les biais et la précision de ses systèmes d’IA. Interrogez-le sur ses sources de données pour entraîner ses modèles, sur la manière dont il garantit la qualité des données et sur les mesures qu’il prend pour atténuer les biais pour la prise de décision. Ceci est d’autant plus pertinent vu l’importance que les régulateurs accordent à l’équité des systèmes automatisés.
• Comment gérez-vous les mises à jour et la validation des modèles ?
  Une surveillance et une validation permanentes des modèles d’IA sont essentielles pour garantir leur précision et leur fiabilité dans la durée. Les professionnels de la conformité doivent demander au fournisseur comment il procède à l’actualisation et aux tests réguliers de ses modèles et s’il peut expliquer l’évolution des performances de ces derniers.

L’approche de ComplyAdvantage en matière d’IA explicable

L’approche de ComplyAdvantage en matière d’IA responsable, et par extension de la XAI, s’appuie et est alignée sur les principes de l’IA de l’Organisation de coopération et de développement économiques (OCDE) et sur le livre blanc “A pro-innovation approach to AI regulation: government response” publié par le gouvernement britannique et qui souligne l’approche plutôt pro-innovation du Royaume-Uni en matière de réglementation de l’IA. Parmi les cinq principaux thèmes au cœur de notre maîtrise et de notre déploiement d’une IA responsable, deux se rapportent explicitement à la XAI :

• La transparence et l’explicabilité : Nous enregistrons et mettons à disposition des informations sur notre utilisation des systèmes d’IA, y compris concernant l’objectif et les méthodologies utilisées.
• La sûreté, la sécurité et la robustesse : Les décisions prises par nos systèmes d’IA sont explicables et les explications sont consultables et compréhensibles par les parties prenantes concernées, notamment les utilisateurs ou les autorités réglementaires.

Cette approche est au cœur du développement de solutions qui répondent aux attentes des régulateurs, tout en fournissant des informations utiles.

ComplyAdvantage estime que développer et gérer des ressources d’IA de manière responsable est non seulement la bonne solution, mais aussi un moyen d’améliorer les produits impliquant l’IA. La RAI est plus efficace lorsqu’elle est envisagée comme une bonne pratique et qu’elle est plus performante pour nos clients et leurs propres clients. En s’alignant sur les besoins liés à l’activité, elle n’est pas une force extérieure qui agit sur des processus existants et qui entre en concurrence avec d’autres priorités.

Chris Elliot, Directeur de la gouvernance des données chez ComplyAdvantage

Pour plus d’informations sur l’approche de ComplyAdvantage en matière de gestion des risques liés au modèle, vous pouvez lire la déclaration complète ici (en Anglais).

The post L’IA explicable (XAI) au service de l’amélioration de la LCB appeared first on ComplyAdvantage.

À la lumière de ces récents développements, cet article fait le point sur l’évolution du paysage des paiements dans l’Union européenne (UE) et pose les questions suivantes :

• Qu’est-ce que SEPA, quels sont ses avantages et quels sont les pays de la zone SEPA ?
• Quel est le cadre juridique du SEPA et les réglementations qui l’encadrent ?
• Comment SEPA est-il lié à la réforme réglementaire de l’UE en matière de paiements instantanés ?

Guide : Votre feuille de route LCB pour les paiements instantanés SEPA

Découvrez l'impact du passage aux paiements instantanés SEPA sur vos procédures de filtrage des clients.

Téléchargez votre exemplaire

Qu’est-ce que SEPA ?

SEPA est un cadre défini par l’UE pour harmoniser les paiements libellés en euros dans les pays participants. L’objectif premier du SEPA est de créer un marché plus intégré et plus efficace pour les services de paiement en Europe. Permettant d’effectuer des transactions en euros de manière fluide, cette initiative ne différencie plus les paiements nationaux des paiements transfrontaliers.

Comment fonctionnent les paiements et virements SEPA ?

Les paiements SEPA concernent tous les paiements libellés en euros qui sont effectués entre des comptes de la zone SEPA selon des procédures et formats normalisés parmi lesquels figurent :

• Les virements qui correspondent à des transferts de fonds d’un compte bancaire vers un autre.
• Les prélèvements automatiques, à savoir des transactions préautorisées permettant de débiter des fonds sur le compte du payeur.
• Les retraits aux guichets automatiques qui sont des retraits d’espèces à un distributeur automatique de billets dans l’ensemble des pays de la zone SEPA.
• Les paiements par cartes de débit et de crédit, c’est-à-dire des transactions effectuées au moyen d’une carte de débit et de crédit émise au sein de la zone SEPA.
• Les transferts de fonds qui concernent l’envoi d’argent entre les différents pays de la zone SEPA.

Qu’est-ce qu’un mandat SEPA ?

Un mandat SEPA est un élément-clé des paiements SEPA, en particulier pour les prélèvements automatiques. En effet, il permet au payeur d’autoriser l’émetteur de factures à débiter son compte bancaire. À l’origine, les mandats SEPA devaient être signés sur papier. Cependant, en 2012, le Conseil européen a cherché à harmoniser les systèmes de paiement en euros en adoptant le règlement (UE) n° 260/2012 qui a favorisé la transition vers les mandats numériques. Actuellement, il est possible d’obtenir l’autorisation du payeur en recourant à un processus papier ou dématérialisé. Néanmoins, la signature électronique d’un mandat SEPA est vivement encouragée en raison de son efficacité et de sa sécurité juridique. 

En effet, le mandat électronique sert de preuve aux émetteurs de factures pour justifier les débits et les protéger contre toute réclamation portant sur des transactions non autorisées. Les payeurs pouvant demander le remboursement des débits non autorisés dans un délai de 13 mois, il est important de pouvoir produire une preuve solide de l’autorisation.

Les avantages des paiements et virements SEPA

Les paiements, virements et prélèvements SEPA offrent de nombreux avantages aux établissements financiers et notamment :

• La rentabilité : Les paiements SEPA entraînent généralement des frais moins élevés que les paiements transfrontaliers classiques. Ceci est lié aux structures tarifaires harmonisées dans la zone SEPA qui contribuent à réduire sensiblement les coûts du transfert d’argent à travers différents pays.
• La rapidité : Les transactions au sein du réseau SEPA font l’objet d’un traitement rapide, souvent en un jour ouvrable. Cette rapidité profite aux entreprises et aux particuliers qui ont besoin de transférer des fonds rapidement et qui bénéficient ainsi de paiements dans les délais et d’une gestion efficace des flux de trésorerie.
• La praticité : SEPA simplifie les paiements en normalisant les procédures dans tous les pays participants. Il est possible d’effectuer des paiements transfrontaliers aussi facilement que des paiements nationaux en utilisant un seul compte bancaire pour réaliser des transactions dans l’ensemble de la zone SEPA.
• La transparence : Les paiements SEPA s’accompagnent d’une tarification claire et de moins de coûts cachés, ce qui permet de mieux maîtriser les frais encourus. C’est cette transparence qui aide les entreprises à mieux prévoir et gérer leurs dépenses liées aux transactions transfrontalières.
• La sécurité : Des mesures de sécurité renforcées et des protections réglementaires solides sont inhérentes aux paiements SEPA. Ces mesures sont notamment l’authentification forte du client (SCA) et la conformité aux normes de protection des données, ce qui garantit la sécurité des transactions tout en atténuant les risques de fraude.
• La normalisation : SEPA définit des formats et des procédures de paiement homogènes tels que l’utilisation du numéro de compte bancaire international (IBAN) et du code d’identification de la banque (BIC). Cette normalisation assure des transactions plus fluides et plus efficaces tout en réduisant les erreurs et les délais de traitement.
• L’accessibilité : SEPA couvre les 27 États membres de l’UE ainsi que plusieurs pays non membres de l’UE, dont l’Islande, le Liechtenstein, Monaco, la Norvège, Saint-Marin et la Suisse. Grâce à cette couverture étendue, les entreprises développent plus facilement leurs activités à travers l’Europe sans devoir gérer de multiples relations bancaires.

Quels sont les pays membres de la zone SEPA ?

La zone SEPA comprend 36 pays dont les états membres de l’UE et d’autres pays ayant choisi de participer à ce programme. Les pays de la zone SEPA sont :

Cadre juridique et réglementations de l’initiative SEPA

SEPA s’appuie sur un cadre juridique solide qui assure un fonctionnement harmonieux et la conformité dans tous les États membres. SEPA repose sur plusieurs règlements et directives majeurs, à savoir :

1. Le règlement (UE) No 260/2012 : Ce dernier fixe les exigences techniques et commerciales pour effectuer des virements et des prélèvements en euros. Il garantit que les PSP se conforment à des formats et des procédures normalisés tels que le numéro de compte bancaire international (IBAN) et le code d’identification des entreprises (BIC). 
2. La Directive sur les services de paiement (PSD2) : Communément appelée DSP2, la directive (UE) 2015/2366 renforce la protection des consommateurs, encourage l’innovation et améliore la sécurité des services de paiement. Imposant l’authentification forte des clients, la DSP2 constitue un fondement juridique pour les services de paiement aux tiers.
3. La Directive sur la monnaie électronique (EMD2) : La directive 2009/110/CE régit l’émission de monnaie électronique et l’activité des prestataires de monnaie électronique en s’assurant que ces derniers opèrent dans un cadre réglementaire harmonisé.

Quels sont les cinq systèmes de paiement SEPA ?

S’appuyant sur ce fondement juridique solide, le Conseil européen des paiements (EPC) a mis au point cinq systèmes distincts de traitement des paiements SEPA, chacun étant conçu pour répondre à des types de transactions et à des besoins utilisateurs spécifiques. 

1. Le système de virement instantané SEPA (SCT) qui permet de transférer des fonds en euros entre des comptes situés en zone SEPA. Il s’agit là d’un système idéal pour les paiements ponctuels tels que le versement des salaires, le règlement des factures des fournisseurs ou tout autre paiement d’ordre général permettant d’éliminer les processus papier. Les transactions sont généralement réalisées en un jour ouvrable, ce qui permet de normaliser le format des virements bancaires libellés en euros et de rendre les paiements transfrontaliers aussi faciles que les paiements nationaux.
2. Le système de virement instantané (ICT) SEPA pour effectuer des virements en euros quasi instantanément entre des comptes ouverts dans la zone SEPA. Ce service est adapté aux transactions urgentes ou sensibles au facteur temps, notamment les transferts de fonds d’urgence ou les paiements en temps réel. En règle générale, les fonds sont disponibles en quelques secondes grâce à un service qui fonctionne 24 heures sur 24, 7 jours sur 7 et 365 jours par an, y compris pendant les week-ends et les jours fériés. Ce système fixe un montant maximum (qui peut néanmoins être révisé par l’EPC au fil du temps) pour le transfert de fonds tout en garantissant la réception quasi-instantanée des sommes sur le compte du bénéficiaire.
3. Le système de prélèvement SEPA SDD Core grâce auquel les bénéficiaires peuvent prélever des fonds sur le compte d’un payeur, à condition que ce dernier ait donné son accord en amont. Ce système est couramment utilisé pour les paiements récurrents tels que les factures liés à des services publics (eau, gaz, électricité, Internet,…) ou à des abonnements. Il offre un cadre normalisé pour les prélèvements dans l’ensemble de la zone SEPA, ce qui permet aux bénéficiaires d’encaisser des paiements de manière efficace et sécurisée.
4. Le système de paiement SEPA Direct Debit Business-to-Business (SDD B2B) qui s’apparente au système de prélèvement de base, mais réservé aux transactions commerciales. Exigeant que le payeur et le bénéficiaire soient enregistrés en tant qu’entreprises, il propose une période de remboursement plus courte. Répondant aux besoins spécifiques des transactions interentreprises, ce système est une méthode à la fois fiable et efficace pour traiter les paiements récurrents entre entreprises.
5. Le système de virement instantané One-leg out (OCT Inst) qui est conçu pour faciliter les virements instantanés lorsque l’un des établissements financiers participants se trouve en dehors de l’espace SEPA. Ce système permet d’effectuer des paiements transfrontaliers à destination ou en provenance de pays n’appartenant pas à la zone SEPA, ce qui garantit des transactions rapides et efficaces. À l’instar du système SEPA ICT, OCT Inst traite les transactions en quelques secondes, ce qui permet de créditer presque instantanément le compte du destinataire.

Réforme de la réglementation sur les paiements instantanés dans l’UE

Même si trois de ces cinq systèmes sont dédiés aux paiements instantanés, le marché reste fragmenté. En fait, en 2023, seul un virement en euros sur dix environ effectué dans l’Union européenne était traité comme un paiement instantané. 

Pour promouvoir les paiements en temps réel en Europe, le Conseil européen a privilégié l’instauration d’un marché des paiements instantanés totalement intégré à la région. Pour atteindre cet objectif, un nouveau règlement (Règlement (UE) 2024/886) introduit début 2024 modifie le recueil de règles SEPA concernant les virements instantanés et édicte les exigences suivantes pour les établissements financiers :

• Des canaux de paiement instantané : les PSP doivent proposer des paiements instantanés, réalisés dans les 10 secondes, via les mêmes canaux que ceux utilisés pour initier d’autres virements.
• La vérification du bénéficiaire : avant de compenser les paiements, le PSP du payeur doit vérifier les coordonnées du bénéficiaire, et notamment l’IBAN et le nom pour les personnes physiques ou l’IBAN et l’identifiant d’entité juridique pour les personnes morales. En cas d’incohérences, le payeur doit en être informé et avoir la possibilité d’annuler l’opération ou de la poursuivre malgré les incohérences constatées.
• Le filtrage des fraudes et des sanctions : les établissements doivent filtrer les bénéficiaires par rapport aux listes de sanctions lors de chaque nouvelle annonce ou mise à jour des sanctions existantes. Ces vérifications qui doivent avoir lieu avant l’autorisation de paiement ne doivent pas interrompre l’exécution des paiements instantanés.
• Les contrôles internes : les PSP doivent mettre en place des cadres de gestion interne exhaustifs comprenant notamment une cartographie des risques, des procédures de signalement financier et une structure de gouvernance pour garantir des processus stricts d’authentification et d’obligation de vigilance à l’égard de la clientèle.
• Des exigences en matière de reporting : les établissements sont contraints de communiquer des informations spécifiques sur les frais de virement, dont instantané, et sur l’activité des comptes de paiement. En outre, ils sont tenus de renseigner le volume de transactions nationales et transfrontalières qui ont été rejetées en raison du filtrage des sanctions.

Guide : Votre feuille de route LCB pour les paiements instantanés SEPA

Découvrez l'impact du passage aux paiements instantanés SEPA sur vos procédures de filtrage des clients.

Téléchargez votre exemplaire

Les défis liés aux nouvelles réglementations sur les paiements instantanés en Europe

L’introduction de nouvelles réglementations sur les paiements instantanés en Europe pose plusieurs défis de taille aux établissements financiers dans l’ensemble de la zone SEPA. Cela concerne notamment :

1. La mise en place d’un système de vérification de l’IBAN

L’un des principaux défis est l’obligation de mettre en œuvre un système de vérification de l’IBAN d’ici novembre 2025. Cela impose l’unification du marché, laquelle est actuellement entravée par l’adoption par plusieurs pays de solutions différentes. Mettre en place un système unifié sur les différents marchés impliquerait :

• L’alignement des différents systèmes nationaux pour garantir un fonctionnement fluide par-delà les frontières.
• La garantie que le nouveau système fonctionnera avec l’infrastructure bancaire existante sans provoquer de perturbations.
• L’alignement des réglementations nationales sur les nouvelles exigences SEPA.

2. Des défis techniques pour les établissements ne proposant pas de paiements instantanés

Il reste peu de temps aux établissements qui n’offrent pas encore de services de paiement instantané pour développer et mettre en place l’infrastructure nécessaire. Les principaux défis techniques portent notamment sur :

• Le développement de systèmes capables de traiter les paiements instantanément, ce qui exige d’importants investissements technologiques.
• L’assurance que la nouvelle infrastructure sera capable de gérer des volumes de transactions toujours plus importants, le tout sans dégradation des performances.
• Le déploiement de puissantes mesures de lutte contre la fraude qui devront opérer en temps réel en raison de la rapidité des paiements instantanés.

3. Des ajustements pour les établissements proposant des paiements instantanés

Les établissements financiers qui offrent déjà des services de paiement instantané sont confrontés à des défis supplémentaires, à savoir :

• La mise à jour de leurs systèmes et processus pour se conformer aux nouvelles réglementations susceptibles de différer des normes existantes.
• La préparation à une augmentation potentielle des volumes de paiements dans la foulée des changements législatifs et d’autres initiatives telles que l’Initiative Paneuropéenne des Paiements (EPI).
• L’assurance du maintien de la qualité du service malgré l’augmentation de la demande.

Comment se conformer à l’évolution de la règlementation de l’UE en matière de paiements instantanés

En raison de l’actualisation continue de la réglementation de l’UE afin de normaliser les paiements instantanés transfrontaliers en euros et d’encourager leur adoption à grande échelle, les établissements seront confrontés à de nouvelles exigences dans le cadre d’un calendrier de mise en œuvre échelonné. Pour assurer leur conformité, les établissements devront notamment :

• Maintenir leurs mesures LCB-FT en continuant d’améliorer leurs pratiques actuelles en matière de LCB-FT en mettant à jour les protocoles d’évaluation des risques, les programmes de formation des collaborateurs et les systèmes de surveillance des transactions pour détecter et signaler toute activité suspecte sans délai.
• Procéder à la vérification du bénéficiaire en vérifiant minutieusement les informations relatives au bénéficiaire avant d’autoriser un paiement. Il s’agit notamment de recouper les détails relatifs au bénéficiaire avec les documents d’identification officiels et de conserver la trace des processus de vérification. Ces établissements devront aussi informer immédiatement les payeurs de toute anomalie dans le but de prévenir la fraude et de garantir l’exactitude des paiements.
• S’adapter aux exigences liées au filtrage des sanctions en actualisant régulièrement leurs processus de filtrage des sanctions pour intégrer les toutes dernières listes de sanctions européennes et internationales. Les établissements devront filtrer les utilisateurs de services de paiement (PSU) en les confrontant à ces listes dès qu’une mise à jour sera disponible plutôt qu’au moment du paiement, et ce pour éviter tout retard et assurer leur conformité.
• Être prêts à communiquer des rapports en mettant en place de puissants systèmes de suivi et de reporting capables de générer des rapports de conformité détaillés. Ces systèmes devront permettre de suivre toutes les transactions, de signaler les anomalies et de garantir la communication dans les délais des rapports obligatoires aux instances réglementaires, conformément aux normes de l’UE.

Exploiter la technologie en s’appuyant sur des solutions technologiques de pointe dont l’intelligence artificielle (IA) et l’apprentissage automatique (ML), pour gérer efficacement la conformité, l’évolutivité et les processus de filtrage. Ces technologies peuvent améliorer la précision des mesures de LCB-FT, rationaliser la vérification des bénéficiaires et renforcer les performances opérationnelles globales.

The post Le guide complet sur la zone SEPA et les virements instantanés appeared first on ComplyAdvantage.

Qu’est-ce que l’autorité européenne de lutte contre le blanchiment de capitaux (ALBC) ?

L’Autorité européenne de lutte contre le blanchiment de capitaux (ALBC ou AMLA en anglais) est un organe de surveillance mis en place par la Commission européenne pour superviser et appliquer les lois visant à prévenir le blanchiment d’argent et le financement du terrorisme (BC-FT) au sein des États membres.

Entre 2015 et 2020, plusieurs établissements financiers européens d’envergure ont été impliqués dans des scandales liés au blanchiment d’argent. Face à ces fraudes, l’UE a donc été mise sous pression pour remédier aux lacunes de son cadre de lutte contre le blanchiment d’argent et le financement du terrorisme (LCB-FT). La réponse de la Commission européenne basée à Bruxelles a été de proposer un plan d’action en mai 2020 ainsi que des propositions de réforme concrètes le 20 juillet 2021. 

L’élément clé du train de mesures adopté est le règlement établissant l’« Autorité pour la lutte contre le blanchiment de capitaux et le financement du terrorisme et les règlements modificatifs » (ALBCR ou AMLAR en anglais). La dernière révision du projet a été approuvée en décembre 2023. Ce règlement créera une nouvelle autorité supranationale de supervision de la lutte contre le blanchiment de capitaux et le financement du terrorisme baptisée Autorité de lutte contre le blanchiment de capitaux (ALBC ou AMLA en anglais). 

L’UE souhaite que l’ALBC soit la pièce maîtresse d’un système intégré de supervision de la LCB-FT au sein de l’UE. Son rôle sera de faciliter une coopération efficace entre toutes les autorités compétentes et de contribuer à la mise en œuvre de règles harmonisées. Il s’agira d’une agence décentralisée dotée d’un conseil d’administration composé de deux entités, l’une pour les responsables des cellules de renseignement financier (CRF) nationales et l’autre pour les régulateurs. Elle sera en outre pilotée par un conseil d’administration composé de cinq membres indépendants et d’un président ainsi que d’un directeur exécutif chargé de la gestion de l’agence. Suite à une série d’auditions publiques organisées conjointement par le Conseil et le Parlement européens début 2024, c’est la ville de Francfort qui a été retenue pour accueillir la nouvelle agence.

Nouveau guide : Le nouveau cadre de la LCB-FT de l'Union européenne

Explorez chaque aspect du paquet de réforme de la LCB-FT de l'UE en détail. Découvrez les actions que les établissements doivent entreprendre pour se préparer aux nouvelles exigences et obligations de LCB y compris en termes de technologie, de formation, de gouvernance et de surveillance.

Téléchargez votre exemplaire

Quels seront les pouvoirs de l’ALBC ?

Le règlement instituant l’ALBC devrait s’appliquer à partir de juillet 2025, l’agence devant être établie entre-temps. Elle devrait assumer des activités de supervision directe d’ici 2028. Cette autorité aura différents pouvoirs qui concerneront notamment :

• La surveillance directe des entités obligées « les plus à risque » qui opèrent au-delà des frontières et qui sont appelées « entités sélectionnées »
• La supervision indirecte des autres entités obligées par le biais d’une surveillance des autorités de supervision ou des organismes autorégulés
• La mise en place d’approches de la supervision communes et plus puissantes
• La gestion d’une base de données de surveillance de la LCB-FT contenant des informations actualisées à destination des autorités de supervision
• La surveillance de la plateforme FIU.net, un mécanisme à l’échelle de l’UE visant à améliorer l’échange d’informations et qui permet une analyse conjointe et une coopération entre les CRF.
• La légitimité à infliger des amendes aux contrevenants avec des sanctions pouvant atteindre 10 % du chiffre d’affaires annuel ou 10 millions d’euros, le montant le plus élevé étant retenu.

Quels sont les objectifs de l’Autorité Européenne de lutte contre le blanchiment de capitaux ?

Les principaux objectifs de l’ALBC sont les suivants : 

1. Empêcher que le système financier de l’UE ne soit utilisé pour blanchir des capitaux et financer le terrorisme.
   L’ALBC exercera une supervision directe des entités obligées « les plus à risque » qui opèrent à l’international ainsi qu’une surveillance des entités obligées locales dans les « situations d’urgence ». Si une action urgente s’impose dans le cadre d’activités de blanchiment, l’ALBC lancera alors des inspections immédiates et ordonnera des mesures administratives à l’encontre des établissements en faute et il sera notamment possible de leur infliger des sanctions.
2. Identifier les risques et les menaces de blanchiment et de financement du terrorisme sur l’ensemble du marché intérieur ou qui ciblent ce dernier.
   L’accent sera mis sur les grands prêteurs et les établissements financiers non bancaires qui opèrent dans plusieurs États membres de l’UE et qui sont considérés comme « à haut risque » ou qui exercent des activités « suffisamment risqués ». Une liste des établissements qui feront l’objet d’une supervision directe sera publiée tous les trois ans, la première série d’« entités obligées sélectionnées » devant être désignée le 1er juillet 2025. 
3. Assurer une supervision de la LCB-FT de grande qualité.
   L’objectif de l’ALBC sera notamment de renforcer les approches communes en matière de surveillance et de gérer une base de données de supervision de la LCB-FT fournissant des informations actualisées aux autorités de supervision. Source centralisée de renseignements, cette base de données améliorera la capacité des autorités à suivre les menaces émergentes et à y réagir avec efficacité.
4. Faciliter la « convergence de la supervision » dans l’ensemble de l’UE.
   En normalisant les pratiques de supervision et en promouvant une application uniforme de la réglementation, l’ALBC veillera à ce que tous les États membres adhèrent aux mêmes normes exigeantes. Cela permettra d’éviter un arbitrage réglementaire tout en garantissant une approche cohérente de la lutte contre la criminalité financière.
5. Harmoniser les pratiques d’identification des flux illicites transfrontaliers par les cellules de renseignement financier (CRF).
   L’ALBC travaillera en étroite collaboration avec les CRF nationales afin d’harmoniser les méthodologies et les normes de déclaration. La détection et le suivi des flux financiers illicites s’en trouveront renforcés, ce qui rendra plus difficile l’exploitation des incohérences entre les différentes juridictions par les blanchisseurs d’argent et les terroristes.
6. Favoriser et coordonner l’échange d’informations entre les CRF. En fournissant une plateforme centralisée pour l’échange d’informations, l’ALBC renforcera la collaboration entre les cellules nationales de renseignement financier. Cela permettra de réagir plus vite et plus efficacement aux menaces transfrontalières en s’appuyant sur des renseignements collectifs pour démanteler les réseaux criminels.

L’impact de l’ALBC sur les établissements

Pour la première fois, certains types d’établissements de crédit et financiers, parmi lesquels les fournisseurs de services de crypto-monnaie, seront directement supervisés dans tous les États membres s’ils sont considérés comme étant à risque. La nouvelle méthodologie de supervision de la LCB-FT comportera des marqueurs qualitatifs et quantitatifs ainsi que des indicateurs de risque inhérent, notamment concernant les clients, les produits et services, les canaux de distribution et les régions. 

L’objectif est de créer une équipe de supervision conjointe entre l’ALBC et les CRF nationales pour faire appliquer un règlement unique fondé sur des normes techniques réglementaires. Il s’agira notamment de mener des enquêtes LCB conjointes et de partager l’expertise technique dans des domaines tels que l’intelligence artificielle, les solutions informatiques et les bonnes pratiques pour identifier les transactions suspectes. 

Les établissements devront prendre en compte le règles plus détaillées concernant l’obligation de vigilance à l’égard de la clientèle (CDD), la propriété effective ainsi que les pouvoirs et obligations des superviseurs et des CRF. En outre, les fichiers nationaux des comptes bancaires seront interconnectés pour accélérer l’accès des CRF aux informations sur les comptes bancaires et les coffres-forts. Les autorités auront également accès à ce système pour faciliter les enquêtes financières et le recouvrement des avoirs criminels dans les affaires transfrontalières. 

De nouvelles exigences sont également formulées pour les crypto-actifs et les fournisseurs de services de crypto-monnaies afin de collecter et de rendre accessibles les données sur les donneurs d’ordre et les bénéficiaires des transferts de ces actifs.

En outre, l’ALBC sera chargée de préparer et de coordonner les évaluations des menaces et les analyses stratégiques, de développer des méthodes et des procédures pour sélectionner les cas pertinents en vue d’une analyse conjointe, de renforcer les moyens des CRF et de surveiller et de soutenir les gels des avoirs.

Calendrier de l’ALBC : 2017-2027

5 conseils pour se préparer à l’ALBC et au nouveau cadre réglementaire de l’UE

Même si la plupart des mesures décrites ne seront pas forcément appliquées avant le milieu des années 2020, les établissements doivent mettre au point une stratégie proactive pour éviter tout risque d’amende et également suivre de près la réorganisation progressive du cadre européen de la LCB-FT. Ces mêmes établissements doivent réfléchir à la réponse qu’ils apporteront à ces changements dans différents domaines clés, et notamment concernant : 

1. La technologie et l’automatisation : les établissements doivent procéder à une évaluation approfondie des risques concernant la façon de gérer des contrôles et des processus supplémentaires. Cela peut concerner entre autres l’intégration de nouvelles solutions pour automatiser certaines mesures et/ou améliorer la structure et la consultation des données.
2. La gouvernance et la supervision : faciliter l’accès à des informations claires et concises que les autorités de régulation nationales ou européennes pourraient demander. 
3. La gestion des relations avec la Direction : l’équipe Conformité peut être amenée à s’expliquer sur les coûts, les effectifs et les fournisseurs supplémentaires. Grâce à une approche proactive, cette équipe aura le temps de réaliser des analyses coûts-bénéfices approfondies et de présenter des recommandations.
4. La formation et le recrutement : de la formation, du soutien et du personnel supplémentaires peuvent être nécessaires. Être proactif réduira le risque de pénurie de talents. 
5. Les services : les établissements doivent faire correspondre ces projets de réglementations avec leurs feuilles de route produits afin d’anticiper les implications réglementaires en lien avec un nouveau service proposé, en particulier concernant les crypto-monnaies et les actifs virtuels (AV). 

Affrontez les risques BC-FT avec des solutions à la pointe du marché

Alors que l’Autorité européenne de lutte contre le blanchiment de capitaux fixe de nouvelles normes pour lutter contre la criminalité financière, les établissements ont tout intérêt à adopter des solutions de pointe pour rester en conformité et fiables. Ces solutions devront notamment assurer :

• Le filtrage des clients : des solutions évoluées de filtrage des clients permettent aux établissements de vérifier l’identité de leurs clients en s’appuyant sur des listes de surveillance et des bases de données à la fois volumineuses et d’envergure mondiale. Ces outils garantissent la conformité à la réglementation sur la connaissance du client (KYC) et empêchent l’entrée en relation avec des individus liés à des activités criminelles, conformément aux exigences de l’ALBC.
• La surveillance des transactions : les systèmes sophistiqués de surveillance des transactions assurent une supervision en temps réel des activités financières. En analysant les caractéristiques des transactions et en signalant les anomalies, ces outils permettent aux établissements de détecter et de signaler rapidement toute transaction suspecte.
• Le filtrage des paiements : les solutions de filtrage des paiements  examinent minutieusement les paiements par rapport aux listes de sanctions internationales et autres bases de données réglementaires. Recourir à ce type de solutions permet de s’assurer que les transactions financières sont bien conformes aux réglementations internationales sur les sanctions, d’empêcher le transfert de fonds vers des entités interdites et de soutenir la mission de l’ALBC qui consiste à prévenir la criminalité financière.
• Le filtrage de la couverture médiatique négative : les outils automatisés de filtrage des médias défavorables analysent les sources et les bases de données d’informations à l’échelle mondiale pour y rechercher toute couverture médiatique négative en lien avec des clients existants et potentiels. En identifiant les personnes et les entités impliquées dans des activités criminelles, ces outils améliorent les processus d’obligation de vigilance et atténuent les risques réputationnels, ce qui est essentiel pour répondre aux normes de supervision rigoureuses de l’ALBC.

En adoptant ces solutions LCB-FT à la pointe du marché, les établissements financiers seront en mesure de répondre aux exigences réglementaires et de renforcer leurs défenses contre la criminalité financière. S’appuyer sur des technologies innovantes et sur une stratégie globale de gestion des risques est indispensable pour préserver l’intégrité du système financier et garantir un environnement économique sain pour toutes les parties prenantes, le tout sous l’égide de l’ALBC.

Nouveau guide : Le nouveau cadre de la LCB-FT de l'Union européenne

Explorez chaque aspect du paquet de réforme de la LCB-FT de l'UE en détail. Découvrez les actions que les établissements doivent entreprendre pour se préparer aux nouvelles exigences et obligations de LCB y compris en termes de technologie, de formation, de gouvernance et de surveillance.

Téléchargez votre exemplaire

The post Guide sur l’ALBC : la nouvelle autorité de la LCB-FT de l’UE appeared first on ComplyAdvantage.

Pour aider votre entreprise à exploiter toute la puissance de la conformité LCB via l’IA, nous examinerons ici les perspectives réglementaires mondiales sur son déploiement ainsi que certains cas d’utilisation basés sur de bonnes pratiques. 

Recommandations du GAFI : LCB, IA et apprentissage automatique

Le Groupe d’action financière (GAFI) a mis un coup de projecteur sur les outils de conformité LCB s’appuyant sur l’IA dans une publication de 2021 consacrée aux opportunités et défis liés aux nouvelles technologies pour la LCB/FT. Le document définit l’IA comme l’utilisation de « techniques informatiques de pointe » pour « réaliser des tâches qui exigent généralement l’intelligence humaine, notamment la reconnaissance de caractéristiques ou la formulation de prévisions et de recommandations ou la prise de décisions. »

Dans cette publication, le GAFI a examiné la puissance de l’IA pour aider les entreprises à analyser et à répondre aux menaces criminelles en s’appuyant sur l’automatisation pour rendre le processus de conformité plus rapide et précis et en aidant les établissements à catégoriser et à organiser les données de risque pertinentes. Le GAFI a souligné que l’apprentissage automatique (ou machine learning), un sous-ensemble de l’IA, avait un potentiel non négligeable pour la LCB/FT. En effet, l’apprentissage automatique peut servir à entraîner des systèmes informatiques à « apprendre à partir des données », le tout sans intervention humaine majeure. 

Le GAFI a insisté sur la capacité des systèmes d’apprentissage automatique à détecter les « anomalies et les valeurs aberrantes » et à affiner les données de conformité pour « améliorer la qualité et l’analyse des données ». Les algorithmes d’apprentissage profond intégrés aux outils de conformité basés sur l’apprentissage automatique pourraient par exemple effectuer une tâche de conformité de manière répétée en tirant des enseignements des résultats afin de prendre des décisions précises concernant les futurs apports de données. De même, les systèmes d’apprentissage automatique peuvent utiliser des techniques de logique floue pour réduire les faux positifs lors du rapprochement des noms de clients dans des langues étrangères : les systèmes reconnaissent les entrées incomplètes ou ambiguës (floues) puis prennent des décisions logiques à propos de la pertinence de ces apports de données. 

Conscient de ce potentiel, le GAFI a suggéré différentes manières de déployer les outils d’IA et d’apprentissage automatique au sein d’une solution de LCB/FT et de les utiliser pour réaliser des tâches de conformité critiques telles que :

• L’identification et la vérification des clients
• La surveillance des transactions
• L’identification et le déploiement des mises à jour réglementaires
• Le signalement automatisé concernant les données

IA et LCB : les perspectives réglementaires mondiales

Les organismes de réglementation internationaux explorent aussi le potentiel des outils d’IA dans le cadre de la lutte LCB. Voici quelques-unes des principales perspectives réglementaires à travers le monde : 

Royaume-Uni – La FCA et l’IA dans le cadre de la LCB 

En 2022, l’Autorité de bonne conduite financière britannique (FCA) a publié un rapport sur l’utilisation de l’IA dans les services financiers et a conclu que les autorités de réglementation et les établissements financiers devraient « superviser et soutenir une adoption fiable de l’IA pour le marché des services financiers ». La FCA a constaté que certains facteurs, notamment la pandémie de Covid-19, avaient accéléré l’utilisation de l’IA au sein de l’infrastructure des services financiers du Royaume-Uni, et que les établissements devraient donc examiner avec attention son impact en termes de LCB/FT. Pour l’intégration de systèmes d’IA, la FCA suggère que les établissements financiers :

• Tiennent compte de l’impact des nouvelles applications d’IA en cours de développement, y compris avec des évaluations régulières de leurs performances en matière de conformité, des explications claires des risques encourus et un processus d’approbation pour leur introduction
• S’assurent que les avantages des applications d’IA soient proportionnels à leur complexité et à tout défi potentiel que ces applications peuvent poser en matière de conformité
• Mesurent l’impact des applications d’IA sur les consommateurs et gèrent tout nouveau risque qu’elles génèrent

Allemagne – BaFin et IA au service de la LCB

La BaFin, l’autorité fédérale allemande de supervision financière, a mené plusieurs consultations auprès d’entreprises de services financiers afin d’examiner l’impact des systèmes d’IA en termes de LCB/FT. Dans son rapport de 2019 intitulé Big Data Meets Artificial Intelligence, la BaFin reconnaît que l’IA pourrait « améliorer le taux de détection des anomalies et des caractéristiques et renforcer ainsi l’efficacité et les performances des processus liés à la conformité tels que la détection du blanchiment d’argent ou la prévention de la fraude ». La BaFin a également admis que les autorités de régulation devraient pouvoir examiner les algorithmes des solutions de conformité LCB fondées sur l’IA avec, à cette fin, la possibilité d’imposer un minimum d’exigences en matière de supervision. 

La BaFin a ensuite publié un rapport en 2022 intitulé Machine Learning in Risk Models qui se concentre spécifiquement sur les applications LCB/FT des outils d’apprentissage automatique. Le régulateur allemand a reconnu que l’apprentissage automatique était utile pour aider les établissements financiers à identifier les risques mais, comme pour les applications d’IA, sachant que l’« explicabilité » des méthodes d’apprentissage automatique intégrées aux solutions de LCB/FT restait un critère majeur. La BaFin a également insisté sur le fait que les exigences de supervision des méthodes d’apprentissage automatique « devraient être harmonisées à travers l’Europe et homogènes sur tous les secteurs.»

Réglementations mondiales en matière de LCB

Au niveau mondial, le paysage réglementaire en matière de LCB est diversifié et la conformité est essentielle. Découvrez la liste des réglementations en matière de LCB.

En savoir plus

France – ACPR et IA au service de la LCB

En 2020, l’Autorité française de contrôle Prudentiel et de Résolution (ACPR) a publié un document de réflexion sur la gouvernance de l’intelligence artificielle dans le secteur financier. La discussion portait sur « l’explicabilité et la gouvernance » de l’IA et de l’apprentissage automatique au sein des établissements financiers et identifiait les facteurs importants qui doivent façonner leur intégration, notamment :

• Un processus métier : les établissements financiers doivent s’assurer que les applications d’IA exécutent un processus ou une fonction métier critique. 
• Une interaction humaine : les employés chargés de la conformité et les clients doivent pouvoir comprendre et interagir avec les applications d’IA. Les établissements financiers doivent être conscients des biais et des risques potentiels que comporte l’intervention humaine avec les applications d’IA. 
• La sécurité: les établissements financiers doivent tenir compte de la manière dont l’intégration de l’IA les expose à de nouveaux types de risques de sécurité et de cyber-attaque 
• La validation : les établissements financiers peuvent avoir besoin de développer de nouvelles procédures pour valider les applications d’IA et s’assurer que ces processus seront appliqués en permanence. De même, les applications d’IA doivent faire l’objet d’un audit approfondi et continu réalisé par les contrôleurs internes et les autorités de supervision. 

Singapour – La MAS et l’IA au service de la LCB

L’Autorité monétaire de Singapour (MAS) a défini ses attentes en matière d’intégration des applications LCB fondée sur l’IA dans sa publication de 2018 intitulée Principles to Promote Fairness, Ethics, Accountability and Transparency (FEAT) in the Use of Artificial Intelligence and Data Analytics (AIDA) in Singapore”s Financial Sector. Conformément aux orientations de la MAS, les établissements financiers doivent tenir compte de chacun des quatre principes FEAT :

• L’équité (Fairness) : la MAS note que l’utilisation des applications d’IA ne doit pas se faire au détriment de groupes ou d’individus. Les établissements doivent mettre en place des cadres de gouvernance internes pour évaluer la justification des « décisions fondées sur l’AIDA (IA et analyse des données) ».
• L’éthique (Ethics) : les établissements qui utilisent des applications d’IA doivent veiller à « opérer conformément à leurs normes éthiques ». Ces normes doivent être appliquées aux applications d’IA aussi rigoureusement que tout autre aspect de l’offre de services.
• La responsabilité (Accountability) : les établissements doivent faire la preuve d’un système de responsabilité clair pour les applications d’IA qu’elles déploient dans le cadre de leur infrastructure LCB/FT. Toute décision prise à la suite d’une entrée fournie par l’IA doit s’appuyer sur une compréhension précise de ces données. 
• La transparence (Transparency) : les établissements doivent trouver un équilibre entre la nécessaire transparence concernant les fonctionnalités de leurs applications d’IA et le besoin de protéger l’efficacité de la lutte LCB-FT et s’assurer de ne pas permettre aux criminels d’exploiter des failles en termes de conformité. 

États-Unis – FINCEN et IA au service de la LCB

Soutenu par des autorités de régulation fédérales, le réseau américain de lutte contre la criminalité financière (FINCEN) a publié une déclaration exhortant « les établissements dépositaires à envisager, évaluer et mettre en œuvre de manière responsable des approches innovantes » lorsqu’ils ont recours à des applications d’IA pour la LCB. 

Le réseau FINCEN reconnaît le potentiel des applications d’IA pour « mieux gérer les risques de blanchiment d’argent et de financement du terrorisme tout en réduisant le coût de la conformité.». Par conséquent, lors de l’intégration d’applications d’IA, les établissements financiers américains doivent tenir compte de facteurs tels que :

• La possibilité que les applications d’IA puissent améliorer les processus de conformité existants en matière de LCB/FT
• Les risques de sécurité et les problèmes de gestion des risques tiers en lien avec des applications d’IA
• La compatibilité des applications d’IA avec les obligations de conformité LCB/CFT existantes

Solutions de conformité à la LCB via l’IA : les éléments clés

L’intégration des applications d’IA à l’infrastructure LCB/FT existante doit être évaluée de manière exhaustive. Parmi les principaux critères pour les équipes de conformité, citons : 

L’IA et le filtrage de la couverture médiatique négative

Les systèmes d’IA peuvent améliorer sensiblement les processus de filtrage de la couverture médiatique négative en permettant aux établissements financiers de prendre des décisions concernant les résultats qu’ils génèrent et de catégoriser ces résultats en fonction des informations qu’ils contiennent. 

Les outils d’IA peuvent notamment aider les établissements financiers à effectuer un filtrage des médias défavorables sans dépendre (de manière obsolète) de mots- clés dans le cadre de recherches manuelles (Google) sur Internet. Les algorithmes d’apprentissage automatique peuvent prendre automatiquement des décisions concernant la pertinence des articles de presse, sur la base des données fournies, ce qui renforce la vitesse et la précision tout en réduisant le risque de fausses alertes positives. 

L’IA et l’approche fondée sur les risques LCB-FT

L’approche de la lutte LCB fondée sur le risque exige des établissements financiers qu’ils procèdent à une évaluation individuelle des risques de leurs clients afin d’évaluer le niveau de risque qu’ils représentent, puis qu’ils déploient des mesures de conformité proportionnelles. 

Dans cette optique, l’IA et les outils d’apprentissage automatique peuvent améliorer les programmes LCB fondés sur le risque en attribuant des catégories de risque prioritaires aux clients lors de l’entrée en relation d’affaires et en recherchant des caractéristiques, des liens et des anomalies statistiques au niveau de l’activité transactionnelle et qu’une supervision classique aurait pu laisser échapper.

De même, les systèmes d’IA offrent des avantages pour les processus de filtrage fondés sur le risque. Ainsi, la recherche de noms dans des informations médiatiques négatives peut être accompagnée par une logique floue pour réduire les faux positifs et garantir la bonne identification des vrais positifs. 

L’IA et les seuils de surveillance des transactions

Les établissements peuvent utiliser l’IA pour définir de manière intuitive des seuils de supervision des transactions LCB sur la base d’une analyse des données de risques. Lorsqu’un client se rapproche d’un seuil établi ou le franchit, les outils d’apprentissage automatique peuvent décider s’il faut déclencher une alerte LCB en fonction de ce que l’on sait du profil du client ou de sa situation financière. 

The post LCB et IA : comment l’IA est en train de transformer le paysage de la LCB appeared first on ComplyAdvantage.

Chaque année apporte son cortège de nouvelles réglementations conséquentes en matière de lutte contre le blanchiment d’argent (LCB) et 2024 ne fait pas exception. Différentes autorités de régulation prévoient un train de réformes dont les conséquences seront importantes. Nous avons retenu cinq changements clés pour cet article, en raison de leur importance globale pour les marchés concernés, et de la possible reprise de ces réformes par d’autres régulateurs, ce qui augmenterait leur portée.

1.   La loi sur la transparence des entreprises (USA)

La Loi sur la transparence des entreprises (Corporate Transparency Act ou CTA) qui introduit des exigences en matière de transparence des bénéficiaires effectifs aux États-Unis est entrée en vigueur le 1er janvier 2024. Elle contraint les entreprises à déclarer leurs bénéficiaires effectifs à l’administration en imposant des exigences quant au mode d’enregistrement et de déclaration de ces informations. Les données sur la propriété effective sont notamment le nom et les prénoms, la date de naissance, l’adresse actuelle et un identifiant unique.

Cette loi s’applique aux entités américaines et étrangères qui font des affaires aux États-Unis. Les dirigeants d’entreprise qui ne respectent pas cette loi devront payer une astreinte comprise entre 500 et 10 000 dollars par jour et risquent une peine d’emprisonnement pouvant aller jusqu’à deux ans. Les entreprises devront informer le bureau FinCEN de tout changement important.

2.   Un nouveau train de mesures LCB pour l’Europe (UE)

Le dernier train de mesures de lutte contre le blanchiment de l’UE devrait être adopté dans le courant du premier trimestre 2024, suivi d’une période de transition de trois ans. Il a été introduit suite à une série de scandales liés à la LCB-FT qui ont ébranlé des membres de l’Union européenne et afin d’harmoniser les mesures LCB-FT dans l’ensemble de l’UE. Cet ensemble de mesures est composé de quatre instruments distincts : (1) Un règlement visant à établir une autorité de lutte contre le blanchiment d’argent (AMLA), prévue pour 2024 ; (2) Une nouvelle 6ème directive anti-blanchiment permettant aux pays d’améliorer leurs cadres LCB-FT nationaux ; (3) Un nouveau règlement plus clair et fournissant plus de recommandations pour les entités contraintes de respecter les obligations en matière de LCB-FT et (4) Une mise à jour du règlement sur les transferts de fonds (TFR) clarifiant les exigences sur la communication d’informations accompagnant les transferts de cryptoactifs. Le TFR a été adopté en juin 2023.

3.   Un 2ème plan de lutte contre la criminalité économique (Royaume-Uni)

Le Royaume-Uni a publié en 2023 un deuxième plan de lutte contre la criminalité économique baptisé Economic Crime Plan 2 ou ECP2. Ce plan contraint le gouvernement à réduire le blanchiment d’argent et à augmenter le recouvrement d’actifs, à s’attaquer à la kleptocratie et à lutter contre l’évasion des sanctions, et également à réduire la fraude et la menace que représente les flux financiers internationaux pour le Royaume-Uni et ses intérêts. L’ECP2 prévoit l’augmentation des ressources destinées à faire appliquer la loi ainsi que le renforcement des moyens de l’agence nationale britannique de lutte contre la criminalité (NCA) pour combattre la corruption via sa cellule de lutte contre la kleptocratie (CKC) et l’aide aux dépendances de la Couronne et des territoires britanniques d’outre-mer en mettant en place des registres de propriété effective. En outre, ce plan détaille les « réformes transversales du système » en insistant sur le partage de l’information, les données et la technologie, en renforçant les moyens des services répressifs grâce à une stratégie de ressources humaines publiques-privées, en réformant le système de procédure pénale et en apportant un financement supplémentaire de 400 millions de livres sterling jusqu’à la fin de l’année fiscale 2025.

4.   Les réformes de la Tranche 2 (Australie)

L’Australie devrait introduire les réformes de la Tranche 2 en 2024/2025 pour éviter son inscription sur la liste grise du GAFI. Le Ministre de la Justice a annoncé une consultation sur les réformes LCB-FT et indiqué que le gouvernement avait accepté les recommandations de l’enquête du Sénat sur la pertinence et l’efficacité du régime LCB-FT de l’Australie.

Depuis longtemps, les réformes de la Tranche 2 sont un sujet de discorde en Australie. Le rapport du Sénat comprend une présentation de la réglementation s’appliquant aux entités concernées par la tranche 2 ainsi que des défis actuels et émergents en matière de LCB-FT et diverses recommandations pour améliorer la situation. Les entités soumises à la tranche 2 sont, entre autres, les avocats, les agents immobiliers, les casinos, les autres prestataires de services de jeux d’argent, les auditeurs et les négociants en métaux précieux et pierres précieuses.

Les recommandations portent notamment sur l’introduction d’une réglementation de type « garde-barrière » et sur l’amélioration du cadre LCB-FT. Il est également conseillé de simplifier les règles LCB-FT, de soutenir l’utilisation des technologies pour satisfaire aux obligations de connaissance du client (KYC), d’adopter une approche de la réglementation fondée sur le risque, de poursuivre la mise en place d’un registre des bénéficiaires effectifs, d’alourdir les sanctions pour blanchiment d’argent et financement du terrorisme et d’augmenter les ressources de l’AUSTRAC. Le gouvernement australien s’est engagé à investir 14,3 millions de dollars australiens sur quatre ans pour soutenir les réformes législatives et réglementaires.

5.   Les réglementations sur l’IA (G7)

En octobre 2023, le G7 a publié une déclaration sur le Processus d’Hiroshima sur l’intelligence artificielle qui décrit les principes directeurs internationaux de ce processus pour les entreprises développant des systèmes d’IA avancés ainsi que le Code de conduite international du processus d’Hiroshima pour les entreprises développant des systèmes d’IA de pointe pour répondre aux priorités identifiées. En novembre, le Royaume-Uni a réuni des responsables gouvernementaux et technologiques de vingt-huit gouvernements, dont le Royaume-Uni, les États-Unis, l’Union européenne, l’Australie et la Chine, dans le cadre de la Déclaration de Bletchley sur la sécurité de l’IA. Cette déclaration souligne la nécessité d’une coopération internationale pour faire face aux risques liés à l’IA et exploiter le « potentiel transformatif positif de l’IA » tout en garantissant le développement d’une IA centrée sur l’humain, digne de confiance et responsable. Des entreprises ont également accepté de tester de nouveaux modèles avec les gouvernements avant leur diffusion dans le but de gérer les risques.

Les professionnels de la LCB-FT, les autorités de régulation et les décideurs politiques commencent à se pencher sur la manière dont l’IA pourrait être réglementée au niveau national. Des propositions législatives sont à différents stades de développement notamment dans l’UE, aux États-Unis, au Canada et au Royaume-Uni, sachant que des exigences plus codifiées devraient être publiées d’ici 2024.

L'état de la criminalité financière en 2025

Téléchargez notre cinquième rapport annuel sur l'état du secteur, une feuille de route pour l’année à venir, élaborée à partir d'une enquête mondiale menée auprès de 600 décideurs en conformité.

Consultez le rapport

The post 5 réglementations LCB qui façonneront la lutte contre la criminalité financière en 2024 appeared first on ComplyAdvantage.

L’ancienne solution de surveillance des transactions d’Ebury était devenue obsolète, engendrant d’importants retards dans les alertes et des inefficacités opérationnelles. De ce fait, l’équipe Conformité d’Ebury a cherché à établir un nouveau partenariat à long terme pour la surveillance des transactions afin de permettre à l’entreprise de passer à l’échelle supérieure tout en gérant ses risques de criminalité financière.

Une approche personnalisée

Les objectifs d’Ebury pour le partenariat tournaient autour de la création d’une bibliothèque de règles de surveillance des transactions non générique configurée pour atténuer des menaces spécifiques de blanchiment de capitaux et de financement du terrorisme auxquelles l’entreprise est confrontée. L’ambition d’Ebury était de réduire les fausses alertes mensuelles qu’elle recevait afin de libérer des ressources opérationnelles et de se concentrer sur les menaces réelles.

« Nous voulions un prestataire qui nous donnerait la possibilité de personnaliser nos règles en fonction de notre segmentation et nous fournirait les informations nécessaires pour comprendre l’efficacité et l’efficience de la plateforme. C’est quelque chose que ComplyAdvantage nous permet de faire. » – Miriam Crespillo, Directrice mondiale Surveillance des sanctions et des transactions, Ebury

ComplyAdvantage a aidé Ebury à atteindre ses objectifs stratégiques en mettant en œuvre une bibliothèque de règles de surveillance des transactions alignée sur les typologies de risques de l’industrie qui reflètent les différents segments de clientèle d’Ebury. ComplyAdvantage s’est assuré que chaque type de client serait pris en compte dans son ensemble de règles tout au long de la période de définition du périmètre et du développement.

Pour soutenir Ebury dans ses ambitions, ComplyAdvantage a examiné en profondeur les règles qui fonctionnaient bien pour Ebury et celles qui n’étaient plus adaptées compte tenu de la croissance de l’entreprise.

Collaboration proactive

Une attention particulière a été portée à la compréhension de l’approche basée sur les risques d’Ebury, afin de s’assurer que le nouvel ensemble de règles de surveillance des transactions répondrait à ses besoins et correspondrait à son appétence au risque. Ebury a collaboré avec les consultants de mise en œuvre des solutions technologiques de ComplyAdvantage pour définir son modèle de données et évaluer les règles personnalisées qu’elle souhaitait intégrer. Les ingénieurs de ComplyAdvantage ont intégré ces règles dans un environnement d’assurance qualité sécurisé pour qu’Ebury puisse les tester, les modifier et les affiner.

« La collaboration entre ComplyAdvantage et Ebury lors des tests et de la mise en œuvre du nouveau cadre de surveillance des transactions a été déterminante pour son lancement dans les délais, ce qui a permis une nette amélioration de l’efficacité et de l’efficience. » Miriam Crespillo, Directrice mondiale Surveillance des sanctions et des transactions, Ebury

Ensembles de règles de surveillance des transactions sur mesure

Le déploiement de la solution de surveillance des transactions de ComplyAdvantage a permis à Ebury de définir des règles et des seuils adaptés à son évaluation des risques. Cela signifie que ses analystes peuvent se concentrer sur les alertes importantes et identifier les risques réels. En adoptant une approche basée sur les risques et en adaptant l’ensemble de règles à ses clients, Ebury a travaillé avec l’équipe de mise en œuvre de ComplyAdvantage pour configurer des règles appropriées, atténuer les risques et réduire de 60 % les taux de faux positifs.

L’une de ces règles a été définie lorsque de nouvelles sanctions ont été imposées à la Russie à un rythme sans précédent à partir de février 2022. Selon Ignaat van der Meulen, Responsable du contrôle et de la surveillance des transactions chez Ebury, « chaque transaction envoyée en Russie devait être examinée en temps réel. ComplyAdvantage nous a aidés à mettre en œuvre rapidement une règle sur mesure qui bloquait toutes les transactions vers la Russie en temps réel. »

Un autre ensemble de règles sur mesure impliquait de fractionner la règle d’estimation annuelle pour permettre à Ebury de suivre les nouveaux clients à plus haut risque. En fractionnant la règle, ComplyAdvantage a également mis en place différents seuils pour les clients nouveaux et existants, en tenant compte de l’appétence au risque d’Ebury. Ce changement a amélioré l’approche d’Ebury basée sur les risques en permettant à ses équipes Conformité de se concentrer sur la surveillance de l’activité des nouveaux clients présentant les niveaux de risque les plus élevés.

La solution de surveillance des transactions de ComplyAdvantage a permis à Ebury de recueillir de nouvelles informations sur les activités des clients, permettant ainsi à la société de services financiers de détecter des typologies nouvelles ou émergentes et de définir des règles pour les atténuer.

Un partenariat de longue date

Désormais, Ebury travaille avec son responsable de la réussite client dédié qui comprend les objectifs et les stratégies de l’équipe Conformité pour assurer la réussite.

« Notre responsable de la réussite client joue un rôle clé. Il est très abordable et agit comme un filtre entre les équipes techniques du prestataire et nous lorsque nous souhaitons ajuster quelque chose d’un point de vue opérationnel. » Ignaat van der Meulen, Responsable du contrôle et de la surveillance des transactions, Ebury

À travers un plan de réussite collaboratif, des objectifs clairement définis, des business reviews trimestriels et un dialogue continu, le partenariat entre Ebury et ComplyAdvantage permet de suivre et de mesurer la réussite.

The post Ebury réduit de 60 % ses taux de faux positifs grâce à des ensembles de règles de supervision des transactions sur mesure appeared first on ComplyAdvantage.

Si tous ces facteurs sont importants, la mise en œuvre est un facteur tout aussi important et souvent négligé. La manière dont les prestataires mettent en œuvre les programmes de lutte contre le blanchiment de capitaux (LCB) de leurs clients est essentielle. Un processus de mise en œuvre lent risque de nuire à l’expérience client et de retarder le déploiement de nouveaux produits et services. Un support client inadéquat peut devenir à terme un problème chronique qui pèse sur les équipes Conformité si, par exemple, il nuit à la capacité à ajouter de nouvelles règles et fonctionnalités.

Alors comment les entreprises peuvent-elles déterminer si une mise en œuvre est « bonne » ? Voici cinq aspects clés à prendre en compte.

Mise en œuvre d’un logiciel de lutte contre le blanchiment de capitaux : 5 aspects clés à prendre en compte

1. Règles prédéfinies et documentation

Bien que les délais d’intégration varient en fonction de la complexité de la mise en œuvre et des exigences spécifiques du client, les prestataires peuvent prendre certaines mesures pour rendre le processus plus fluide. Pour les solutions LCB telles que la surveillance et le contrôle des transactions, les équipes Conformité doivent vérifier qu’elles disposent de capacités « prêtes à l’emploi », qui facilitent le processus d’installation. Par exemple, une bibliothèque prédéfinie de règles et de typologies. En plus de montrer à quoi ressemble un programme de bonnes pratiques, ces bibliothèques peuvent aider les équipes à tout mettre en place rapidement, sans avoir besoin de tout créer de A à Z.

En plus des règles prédéfinies, les entreprises devraient demander aux prestataires quelle documentation ils fournissent à l’appui de la mise en œuvre. Cela peut inclure une bibliothèque de règles, un guide API, des données factices pour les tests, etc. Tout cela aide les clients à démarrer plus rapidement et leur permet de se mettre à niveau à leur rythme.

Toutefois, les prestataires doivent être réalistes quant à la durée du processus de mise en œuvre. Avec des solutions efficaces et des ressources adéquates préparées du côté du client, les délais de mise en œuvre peuvent être courts.

2. Une approche personnalisée

Les fonctionnalités « prêtes à l’emploi » telles qu’une API REST doivent être prises en charge par des compétences techniques et personnelles internes pour gérer les demandes de mise en œuvre complexes et personnalisées. Certains clients auront inévitablement des ensembles de règles personnalisés à gérer ou rencontreront des difficultés particulières liées à la structure ou à la qualité de leurs données. Cela doit être pris en compte dès le départ pour garantir que le système de détection de la fraude et de lutte contre le blanchiment de capitaux fonctionnera efficacement après la mise en œuvre. Pour gérer ces demandes complexes, les entreprises doivent demander aux prestataires comment ils gèrent le processus de mise en œuvre. Chaque client devrait avoir un consultant en mise en œuvre dédié qui l’accompagnera jusqu’au lancement, garantissant la continuité du service et une réponse rapide aux questions et difficultés inévitables. Idéalement, ce consultant travaillera aussi bien à distance que sur place avec le client, selon ce qui lui permettra d’avancer plus rapidement.

TransferMate, l’un des principaux fournisseurs mondiaux d’infrastructure en tant que service pour les paiements B2B, permet aux particuliers d’effectuer facilement et à moindre coût des paiements à l’étranger. Mais comme elle opère dans plus de 201 pays et 141 devises, les risques et les typologies que ses équipes doivent surveiller ne sont pas toujours englobés dans des ensembles de règles prédéfinis. Au cours du processus de mise en œuvre avec ComplyAdvantage, les deux équipes ont échangé presque tous les jours. Alex Clements, Directeur mondial Enquêtes et surveillance financières chez ComplyAdvantage, a décrit cette approche comme « une équipe, deux entreprises ». L’entreprise a travaillé avec les consultants en mise en œuvre de ComplyAdvantage pour définir son modèle de données et évaluer les règles personnalisées qu’elle souhaitait intégrer pour la gestion des risques liés aux transactions. ComplyAdvantage a mis à profit son expertise de l’industrie pour aider TransferMate à atteindre ses objectifs, en partageant des idées et des bonnes pratiques.

3. Une solide connaissance de l’industrie

Certains prestataires de Regtech sont spécialisés dans certains secteurs d’activité comme la banque numérique ou les paiements. D’autres ont des clients de différents secteurs, avec des équipes de mise en œuvre et de réussite client dédiées à chacun. Bien que les deux approches puissent être fructueuses, il est indispensable que le fournisseur ait déjà travaillé avec des entreprises du secteur. Il sera ainsi capable de proposer des solutions prêtes à l’emploi pour surmonter les difficultés et obstacles inévitables. Cela permet également aux équipes de mise en œuvre d’être proactives, en proposant des solutions créatives qui peuvent aider les entreprises à obtenir la solution souhaitée plus rapidement ou plus efficacement que prévu.

Hampshire Trust Bank (HTB), une banque spécialisée basée au Royaume-Uni qui propose des solutions de financement d’entreprises, d’achats immobiliers et de développement, est confrontée à des problèmes de conformité propres à son modèle économique. En travaillant avec une équipe de mise en œuvre expérimentée chez ComplyAdvantage, la banque peut notamment chercher des moyens d’optimiser l’application de ses règles de surveillance des transactions pour des segments de clientèle spécifiques qui peuvent fonctionner d’une façon particulière.

4. Sandbox et approche itérative

Dès le premier jour de la mise en œuvre, les meilleurs prestataires auront un état d’esprit tendant à « tester et reproduire ». Cette approche devra commencer par une sandbox, permettant de démarrer immédiatement l’intégration. Une approche sandbox signifie également que la mise en œuvre peut être progressive, avec des livrables prêts immédiatement tandis que le travail sur d’autres aspects de la solution est en cours.

La mise en œuvre et la réussite client doivent aller de pair. Les responsables de la réussite client seront les représentants de première ligne de leurs clients lorsqu’ils expliqueront et travailleront sur le déploiement de nouvelles fonctionnalités du prestataire, ou lorsqu’ils gèreront les demandes de nouvelles fonctionnalités de leurs clients. Un responsable de la réussite client compétent et impliqué peut également recommander en amont des optimisations sur la base de son expérience avec d’autres clients similaires. Comme l’a expliqué Robin Jeffrey, Responsable de la Transformation chez HTB, à propos de son travail avec ComplyAdvantage : « Les autres produits que nous avons étudiés étaient plus rigides. ComplyAdvantage nous permet de nous concentrer sur l’amélioration continue, en adaptant la plateforme à mesure que nous apprenons et que le monde évolue. »

5. Flexibilité nécessaire pour s’adapter à l’évolution des risques

Les entreprises doivent également garder à l’esprit que la mise en œuvre n’est pas un processus que l’on fait « une bonne fois pour toutes ». Les décideurs en matière de conformité doivent évaluer la capacité des entreprises à introduire des changements au fil du temps, à mesure que de nouveaux risques apparaissent. Cherchez un fournisseur qui offre des fonctionnalités telles que la possibilité de créer rapidement de nouvelles règles sans avoir besoin de soumettre un ticket d’assistance. Attendre que l’équipe informatique du fournisseur mette en œuvre une modification des seuils de risque basée, par exemple, sur de nouvelles informations fournies par la police ou la justice pourrait conduire à ce qu’un comportement criminel passe inaperçu pendant des semaines, voire des mois.

Lumon, un fournisseur de services de paiement et de change, a dû réagir rapidement au début de la pandémie lorsqu’il a observé une augmentation soudaine de la fraude à l’investissement liée au COVID. « Dans les 48 heures suivant l’identification du problème, Lumon a développé et déployé de nouveaux ensembles de règles pour lutter contre la menace et empêcher que d’autres clients ne soient victimes d’escroqueries », explique Alessio Giorgi, Directeur de la conformité et MLRO de l’entreprise.

The post Programme de lutte contre le blanchiment de capitaux : pourquoi une bonne mise en œuvre du logiciel est-elle cruciale ? appeared first on ComplyAdvantage.

Qu’est-ce que la norme ISO 20022 ?

ISO 20022 est une norme de l’Organisation internationale de normalisation (ISO) qui aidera les établissements financiers à structurer de manière plus fiable les données qu’ils s’échangent lors d’une transaction. Son objectif est d’améliorer ces échanges de données au moyen d’une norme mondiale partagée entre les établissements financiers afin de rendre le processus plus clair, plus rapide et plus riche en données.

Aussi, quels avantages ces gains d’efficacité pourraient-ils offrir aux établissements, à la fois au niveau de leur activité et, plus particulièrement, en termes de lutte contre le blanchiment d’argent et le financement du terrorisme (LCB-FT) ?

Les avantages de la norme ISO 20022 

En plus de servir de norme commune, la norme ISO 20022 permet aux établissements utilisant des normes différentes de mieux communiquer. C’est un peu comme si deux personnes ayant une langue maternelle différente partageaient une même deuxième langue. Sans cette seconde langue commune, elles seraient contraintes de traduire directement à partir d’une langue qu’elles ne maîtrisent pas et risqueraient donc de mal communiquer. Mais grâce à une deuxième langue commune, chaque personne peut facilement communiquer avec l’autre dans la langue maîtrisée par les deux parties. Ensuite, chacune peut transmettre les informations nécessaires à des tiers dans sa langue maternelle.

De même, la norme ISO 20022 peut servir de passerelle entre des établissements financiers qui communiquent via des normes de données différentes. Ils pourront ainsi mieux communiquer tout en étant commettant moins d’erreurs de traduction critiques. ISO 20022 accélère donc les paiements, offre une meilleure interopérabilité, réduit les frictions et fournit une documentation plus fiable.

Principaux avantages pour la LCB-FT et la gestion des risques de criminalité financière

L’économiste Dave Ramsden, Directeur adjoint de la Banque d’Angleterre pour les marchés et les banques, a identifié les avantages d’ISO 20022 dans le contexte de la « feuille de route du G20/Conseil de stabilité financière sur les paiements transfrontaliers » qui explique comment « une utilisation plus efficace et une normalisation renforcée des données pourraient contribuer à rationaliser la LCB-FT et le respect des sanctions ». En effet, les avantages de cette nouvelle norme sur les données ouvertes ont plusieurs applications spécifiques pour la LCB-FT. Trois domaines clés de la conformité sont particulièrement concernés par la norme ISO. Il s’agit de :

• La règle de voyage (GAFI R.16) : la norme ISO 20022 peut potentiellement améliorer la conformité des établissements à cette règle du Groupe d’action financière (GAFI) en enrichissant les données disponibles et en les structurant d’une manière plus accessible et plus normalisée. Cette règle impose aux pays de collecter des informations d’identification auprès des donneurs d’ordre et des bénéficiaires de virements électroniques nationaux et transfrontaliers afin de fournir une traçabilité fiable en termes de LCB-FT.
• La supervision des transactions : avec la généralisation de cette nouvelle norme de messagerie, les systèmes de supervision des transactions auront accès à des données plus riches et plus normalisées. Ceci permettra de lutter contre le blanchiment et d’autres infractions majeures telles que la fraude tout en réduisant les faux positifs générés par des champs de données mal lus ou manquants, ce qui se traduira par des alertes plus fiables en matière de supervision des transactions.
• L’automatisation et l’intelligence artificielle (IA) : lors d’un récent entretien, Andreas Braun de PwC Luxembourg a expliqué comment les FinTechs exploitent les puissantes ressources d’analyse des données fournies par l’IA pour résoudre les dilemmes coûts/risques traditionnels en matière de LCB et de connaissance du client (KYC). Et les données le confirment : dans notre rapport sur l’état de la criminalité financière en 2023, 99 % des établissements interrogés à travers le monde comptent sur l’IA pour impacter positivement la détection des risques de criminalité financière. Mais si les autorités de régulation commencent à manifester un certain soutien, elles restent tout de même conscientes que la technologie n’en est encore qu’à ses balbutiements.

Néanmoins, comme le souligne Red Compass Labs, de meilleures ressources de données, dont ISO 20022, peuvent aider l’IA à mûrir et à améliorer les cadres LCB des établissements tout en créant des cas d’utilisation qui encouragent le soutien des régulateurs. En ingérant les données riches générées par cette nouvelle norme, les technologies IA et d’apprentissage automatique peuvent mieux renseigner leurs processus et mûrir à un rythme soutenu. En prime, les données étant structurées de manière fiable, cela devrait améliorer l’automatisation.

Comment les établissements financiers peuvent-ils se préparer à la norme ISO 20022 ?

3 bonnes pratiques de déploiement

S’appuyant sur un travail de fond concernant des projets de déploiement d’envergure mondiale, SWIFT insiste sur trois bonnes pratiques validées par le marché pour les établissements qui déploient la norme ISO 20022 :

• Commencez par une évaluation de l’impact de la norme ISO 20022. Cette évaluation vise à créer un calendrier d’adoption à la fois personnalisé et réaliste. Elle comprend des analyses coûts-avantages dans de nombreux domaines et doit intégrer quatre composants majeurs :
  • L’évaluation de l’impact sur l’activité – Le but est de comprendre les fonctions métier actuelles de l’établissement à la lumière de l’impact de la migration ISO 20022 sur ces dernières. Cette évaluation doit aider les établissements à prévoir le soutien nécessaire pour les cadres importants, plus particulièrement les infrastructures et les fonctions axées sur le marché et la clientèle, ainsi que des délais réalistes pour garantir le fonctionnement et les performances escomptés.
  • L’évaluation technologique – L’objectif consiste aussi à comprendre l’infrastructure technique interne de l’établissement dans ses moindres détails, y compris l’impact de la migration sur l’infrastructure. Il s’agit notamment d’analyser les ressources actuelles du système par rapport aux contraintes de la norme ISO 20022 en matière de traitement des données et d’évaluer les ressources (nouvelles ou existantes) qui permettront de satisfaire ces exigences.
  • Le calendrier d’adoption et l’architecture métier prévue – À ce stade, les établissements doivent utiliser les données produites par leurs évaluations métier et technologiques afin de créer un plan de déploiement particulièrement détaillé. SWIFT insiste sur le fait que ce plan doit concerner « la portée, le phasage et l’impact organisationnel escompté » tant au niveau granulaire que global.
  • L’analyse de rentabilité – Enfin, les coûts et les avantages du plan doivent être quantifiés et synthétisés en tenant compte des différentes phases et parties prenantes ainsi que des avantages stratégiques.
• Passez ensuite à la conception détaillée de la solution. À ce stade, les établissements doivent élaborer un plan clair sur la mise en pratique du contenu de l’étape précédente. Ce plan doit se concentrer sur l’architecture métier nécessaire pour mener à bien le déploiement. La conception se compose de quatre couches :
  • L’activité – Concevez les flux des processus métier et définissez des lignes directrices pour les pratiques du marché.
  • Les données – Alignez-vous sur le dictionnaire de données et le modèle économique ouvert de l’ISO 20022, cartographiez toutes les données et inventoriez les éléments de données ISO 20022 qui seront utilisés dans le cadre de l’initiative.
  • L’application – Identifiez les exigences techniques pour les solutions nouvelles et existantes afin d’assurer l’interfaçage avec les exigences de traitement des données de la norme ISO 20022. SWIFT souligne que ces « exigences doivent garantir l’harmonisation entre les applications. »
  • La technologie – Veillez à l’adéquation entre le traitement et le réseau en tenant compte de toute différence pouvant impacter les performances concernant la nouvelle norme. Pensez aussi à créer des procédures de résilience et de reprise.
• Adoptez une approche globale tout au long du processus. Le calendrier d’adoption sera différent pour chaque établissement, mais quelle que soit sa taille, le processus doit mobiliser les équipes et les parties prenantes indispensables à la réussite du projet. Cela implique, y compris pour les plans de migration de moindre envergure, de maintenir un dialogue ouvert entre les différents services. Et comme les aspects métier et informatiques de la migration sont d’égale importance, les parties concernées doivent représenter équitablement ces deux activités et superviser leurs propres domaines d’expertise. En outre, il est indispensable de centraliser toutes les données concernées pour que tout le monde puisse avoir accès à et travailler depuis la même source d’information. Cela permettra d’éviter les dysfonctionnements et les interférences.

Les établissements à la recherche d’un guide plus détaillé des bonnes pratiques de déploiement de la norme ISO 20022 peuvent consulter le livre blanc 2018 de l’ISO.

Les défis liés à la migration

La gestion des données est un défi important que les établissements doivent relever lorsqu’ils planifient leur migration vers ISO 20022. D’une part, les données enrichies et structurées que la nouvelle norme permet d’obtenir conviennent parfaitement à l’automatisation et, plus important encore, à l’intelligence artificielle et à l’apprentissage automatique (IA/ML). Ceci peut à son tour améliorer en profondeur la gestion des risques de criminalité financière, depuis la LCB-FT jusqu’à la prévention de la fraude.

D’autre part, les établissements doivent élaborer des plans détaillés qui permettront à leurs applications, réseaux et systèmes de traitement de prendre en charge ces données enrichies afin que leur IA puisse les exploiter. Pendant la phase de coexistence dans le cadre de la migration vers la norme ISO 20022, les établissements devront aussi prendre des mesures pour atténuer le risque de troncature des données. Si les établissements planifient soigneusement leur migration et élaborent un plan d’urgence, ils pourront alors profiter au maximum d’une gestion supérieure des données et du risque de criminalité financière que la nouvelle norme peut leur fournir.

En conclusion

Bien que la migration vers ISO 20022 soit une source de défis inévitables pour les établissements, elle leur sera au final profitable ainsi qu’à l’ensemble du secteur des services financiers et du monde tributaire de ces services. Outre les opportunités permettant d’améliorer la rapidité et l’interopérabilité des paiements, cette norme sur les données de portée mondiale améliore aussi la gestion des risques liés à la criminalité financière. Grâce à des données enrichies qui facilitent la conformité à la règle de voyage et l’analyse LCB, les établissements peuvent compter sur des améliorations notables au fur et à mesure que la communauté internationale s’appuiera sur ISO 20022.

Armées de cette nouvelle norme sur les données ouvertes et d’outils de pointe propulsés par l’intelligence artificielle, les équipes LCB-FT seront alors en première ligne d’une gestion proactive des risques qui ira au-delà de la simple conformité et freinera et anticipera la criminalité financière.

The post Qu’est-ce que la norme ISO 20022 ? appeared first on ComplyAdvantage.

La cellule Traitement du renseignement et action contre les circuits financiers clandestins (TRACFIN) n’est pas une autorité de régulation, mais un organisme français indépendant qui enquête sur le blanchiment d’argent et le financement du terrorisme (LCB-FT). En tant que cellule de renseignement, elle ne sanctionne pas les infractions LCB-FT des professions assujetties aux régulateurs français. Sa mission est plutôt de s’informer sur des transactions suspectes et de signaler ses découvertes aux autorités compétentes.

L’entité TRACFIN a été créée en 1990 suite au Sommet du G7 de 1987. En 2021, TRACFIN a annoncé un changement dans son organisation et s’appuie désormais sur cinq équipes distinctes :

• Le département « renseignement et lutte contre le terrorisme »
• Le département « lutte contre la fraude »
• Le département « lutte contre la criminalité économique et financière »
• Le département « affaires institutionnelles et internationales »
• La cellule Cyber

Source : TRACFIN

Ce changement répond aux nouvelles tendances globales de la criminalité qui évoluent parallèlement à un système financier de plus en plus internationalisé et aux nouvelles technologies de paiement telles que les crypto-actifs. TRACFIN cherche donc à rester efficace dans cet environnement évolutif.

Quelle est la mission de TRACFIN ?

Dans son rapport intitulé TRACFIN 2021-2023 : Un Service en mouvement, la cellule  d’enquête rappelle son identité duale qui est au cœur de sa mission :

1. Cellule de renseignement financier (CRF) conformément à la définition du Groupe d’action financière (GAFI), TRACFIN s’appuie sur le code monétaire et financier français. À ce titre, elle lutte contre le blanchiment d’argent et le financement du terrorisme (LCB-FT) et les circuits financiers clandestins.
2. Service de renseignement encadré par le code de la sécurité intérieure et faisant partie du cercle du renseignement français, la cellule TRACFIN protège les intérêts économiques français, lutte contre le crime organisé et le terrorisme et protège « les intérêts fondamentaux de la Nation.»

À la lumière de ces deux fonctions, TRACFIN décrit ses trois missions essentielles, à savoir :

• La lutte contre la criminalité économique et financière. TRACFIN a notamment détecté ces dernières années plusieurs réseaux affairistes spécialisés dans les escroqueries financières de grande envergure comme les escroqueries aux faux ordres de virement (FOVI) ou aux faux investissements. Le Service s’est également distingué dans plusieurs dossiers d’atteinte à la probité concernant des personnes politiques exposées étrangères.
• La lutte contre la fraude aux finances publiques. Des typologies emblématiques ont été détectées et traitées par TRACFIN comme la fraude à la TVA sur les quotas carbone, les fraudes au dispositif des certificats d’économie d’énergie ou encore les fraudes liées aux dispositifs de soutien à l’économie mis en place pour faire face à la crise liée à la Covid-19.
• La défense des intérêts fondamentaux de la Nation. Grâce à ses capteurs financiers et aux techniques de renseignement auxquelles elle a accès, la cellule TRACFIN s’est illustrée dans la lutte contre le terrorisme en identifiant des circuits d’argent de comptes collecteurs destinés à faciliter l’approvisionnement de combattants sur zone, ainsi que de nouveaux modes de financement utilisant les crypto-monnaies. TRACFIN a également détecté des mécanismes d’influence étrangère et de prédation économique.

Source : TRACFIN

Pour mener à bien ces missions, TRACFIN peut accéder à des informations pertinentes pour ses enquêtes auprès de sources publiques et privées. La cellule a également le droit de demander tout document nécessaire auprès des professions assujetties dans le cadre d’une enquête ou pour effectuer d’autres recherches pertinentes. TRACFIN peut aussi communiquer en toute confidentialité avec des cellules de renseignement homologues basées dans d’autres juridictions pour réaliser ses enquêtes ou assister d’autres organismes dans leurs propres enquêtes.

TRACFIN : perspectives actuelles

L’édition 2022 du rapport d’Evaluation Mutuelle (MER) pour la France publié par le GAFI a mis en évidence différents atouts et lacunes et a formulé diverses recommandations. Concernant TRACFIN, le GAFI a souligné certains points forts, parmi lesquels :

• Des analyses de qualité et rigoureuses – TRACFIN fournit des analyses permettant de mieux comprendre les typologies et les risques, même avec peu de moyens.
• Un échange efficace d’informations avec les autorités compétentes – L’existence de groupes et de cellules de coopération entre TRACFIN et les autres autorités rend leur collaboration encore plus efficace. La cellule collabore fortement aussi au niveau international.
• Des ressources fiables pour combattre le financement du terrorisme. TRACFIN forme bien son personnel, ce qui donne des résultats concrets sur le terrain.

Néanmoins, le GAFI a également identifié plusieurs lacunes à combler. Parmi les points faibles, citons notamment :

• Une utilisation non optimale des informations disponibles – TRACFIN n’exploite pas toutes les informations disponibles avant de mener ses enquêtes, ce qui n’est pas sans conséquences pour les autorités concernées. Le GAFI recommande donc à la France d’exploiter au mieux les informations à la disposition de TRACFIN.
• Un manque de personnel pour la cellule d’analyse stratégique – Le GAFI recommande d’étoffer le personnel de l’équipe pour une diffusion optimale des informations stratégiques et sur les typologies.

AMF, TRACFIN et ACPR : comment ces différentes entités collaborent-elles ?

TRACFIN étudie les déclarations de soupçon communiquées par des organismes réglementés, mène des enquêtes et communique ses observations aux autorités compétentes. TRACFIN est donc indispensable au travail LCB/FT et collabore avec l’AMF et l’ACPR dans ce domaine. Tandis que la cellule TRACFIN est chargée de mener des enquêtes sur des  activités suspectes, l’AMF et l’ACPR réglementent et interviennent dans le système financier français. Alors que l’AMF supervise le secteur des marchés financiers, l’ACPR surveille celui des assurances et des banques.

L’ACPR et TRACFIN ont publié en 2018 des recommandations communes et, en 2021, l’AMF et TRACFIN ont également publié des lignes directrices conjointes. Ces deux entités rappellent aux professions assujetties leurs obligations de signalement auprès de TRACFIN. A noter que l’AMF collabore régulièrement aux enquêtes de TRACFIN et qu’en 2022, les deux organismes ont dévoilé un nouveau protocole de collaboration dont la version précédente remonte à 2012.

Guide sur le nouveau cadre LCB-FT de l’Union européenne

Découvrez comment optimiser vos programmes de LCB-FT a l’aune des nouvelles réglementations de l’UE.

Téléchargez le rapport

The post TRACFIN (Traitement du renseignement et action contre les circuits financiers clandestins) appeared first on ComplyAdvantage.

La séance plénière de février s’est concentrée sur la montée en puissance des attaques de ransomware en soulignant notamment l’utilisation abusive d’actifs virtuels qui permettent aux criminels de s’éclipser avec d’importantes sommes d’argent. Selon l’IBM X-Force Threat Intelligence Index, en 2022, c’est la région Asie-Pacifique qui a connu le plus grand nombre de cyberattaques pour la deuxième année consécutive.

Les deux derniers rapports du GAFI sont le fruit de recherches menées par cet organisme de surveillance mondial afin de mieux comprendre les défis à relever.

Méthodes et tendances classiques

Lors de la présentation de ses objectifs 2022-2024 en juillet 2022, le GAFI a souligné que de nombreux pays s’efforçaient d’arrêter ou de contenir les cyberattaques. Nos enquêtes mondiales sur la conformité de 2022 et 2023 se font l’écho de ce défi, la cybercriminalité apparaissant comme l’infraction qui préoccupe le plus les équipes chargées de la conformité, et ce deux années de suite.

Et il est clair qu’il y a de quoi. En effet, selon le GAFI, de récentes estimations font état d’une multiplication par quatre des paiements de rançons en 2020 et 2021 par rapport à 2019 en raison des nouvelles tactiques et techniques utilisées par les criminels.

Les méthodes classiques de ransomware et les tendances associées qui sont identifiées dans le rapport sont les suivantes :

• Les mixeurs de bitcoins – utilisés pour obscurcir le rapport entre l’adresse du portefeuille qui envoie des actifs virtuels (AV) et les adresses recevant des AV
• Les transactions « CoinJoin » –plusieurs expéditeurs et destinataires de fonds associent leurs paiements en une seule transaction
• Les cryptomonnaies renforçant l’anonymat – utilisées conjointement à des technologies renforçant la confidentialité telles que les mixeurs, les signatures d’anneau, les adresses furtives et les transactions confidentielles d’anneau
• Monero – cet AV est de plus en plus recherché par les cybercriminels, même si le bitcoin reste l’AV le plus couramment utilisé pour les ransomware
• Les sauts de chaîne – utilisés pour convertir les paiements de rançon d’un AV (généralement le bitcoin) en une autre (de plus en plus de cyberjetons indexés) avant d’échanger les fonds en monnaie fiduciaire
• Les mules financières – utilisées pour reconvertir les paiements de rançon en monnaie fiduciaire en utilisant des voies de sortie
• Les négociants de gré à gré – prestataires de services sur actifs numériques (PSAN) centralisés souvent utilisés pour encaisser des produits illicites
• Les juridictions à haut risque – les cybercriminels envoient les AV dans des pays à haut risque où les contrôles LCB-FT sont faibles voire inexistants afin de convertir ces AV en monnaie fiduciaire

Les équipes Conformité observeront que bon nombre des méthodes et tendances susmentionnées peuvent être classées comme des typologies générales de blanchiment de cryptomonnaies. Dans ce contexte, l’objectif du cybercriminel est de dissimuler les paiements de rançons.

Actions proposées

À la lumière des méthodes utilisées par les cybercriminels pour mener des attaques par ransomware, le GAFI communique une liste d’actions pratiques que les pays doivent mener pour renforcer leur capacité à perturber les flux financiers liés à ce type de cybercriminalité en plein essor. Parmi ces bonnes pratiques, citons:

• L’application de normes pertinentes du GAFI, notamment concernant les PSAN, et une détection renforcée
• L’encouragement à lancer des enquêtes financières et des initiatives de recouvrement d’actifs
• L’adoption d’une approche pluridisciplinaire pour lutter contre les ransomware
• Le développement de partenariats avec le secteur privé
• Le renforcement de la coopération internationale

Indicateurs de risques potentiels

La liste des indicateurs de risques décrits par le GAFI vient compléter ceux communiqués dans les précédentes recommandations sur les indicateurs d’alerte relatifs aux actifs virtuels publiées en septembre 2020. Pour fournir un maximum de clarté et aider les entités des secteurs public et privé à identifier les activités suspectes associées aux ransomware, le deuxième rapport classe les indicateurs de risque par perspective. Le rapport énumère tout d’abord des indicateurs pour aider les établissements à identifier les rançons payées par les victimes :

• Des virements bancaires sortants vers des sociétés de conseil en cybersécurité spécialisées dans la lutte contre les ransomware
• Des virements entrants inhabituels provenant de compagnies d’assurance spécialisées dans la lutte contre les ransomware
• Un client qui semble inquiet ou impatient en raison du délai d’exécution d’un paiement
• Des achats ou des transferts via des cryptomonnaies renforçant l’anonymat
• Un nouveau client qui achète des AV et transmet l’intégralité du solde de son compte à une seule adresse

Ensuite, le GAFI avance des indicateurs pour aider les établissements à détecter un compte criminel qui a reçu (ou reçoit) le paiement d’une rançon :

• Des transactions impliquant des cryptomonnaies renforçant l’anonymat
• Le transfert d’AV vers un service de mélange d’AV
• L’utilisation d’un réseau chiffré
• Le retrait immédiat de fonds convertis en AV
• Des informations sur le client indiquant qu’il détient un compte de messagerie connu pour son haut niveau de confidentialité, notamment Proton Mail ou Tutanota
• Un volume élevé de transactions depuis le même compte bancaire vers plusieurs comptes d’un PSAN

Le GAFI fait remarquer qu’un seul indicateur de risque ne peut pas justifier à lui seul la suspicion du paiement d’une rançon. De même, un indicateur unique ne fournira pas nécessairement une information claire sur une telle activité. Cependant, si l’équipe Conformité identifie l’un des indicateurs susmentionnés, elle doit alors procéder à une supervision et à un examen plus approfondis.

Ce qu’il faut retenir

Gérer les risques liés aux ransomware est de plus en plus complexe. Pour mieux protéger leurs clients et la réputation de leur entreprise, les établissements et leur équipe Conformité doivent envisager de renforcer leurs cyberdéfenses et le niveau de leur cyberhygiène. Les nouvelles méthodes et tendances en matière de ransomware qui sont identifiées par le GAFI doivent aussi être examinées à la lumière des contrôles LCB-FT des établissements en veillant à ce que toute lacune soit comblée en fonction de l’appétit pour le risque de l’entreprise.

Pour en savoir plus sur les principaux enseignements de la réunion plénière de février 2023, lisez notre article ici.

The post Le GAFI se penche sur les indicateurs de risque liés aux ransomware alors que les paiements de rançons ont quadruplé appeared first on ComplyAdvantage.