Gestion des risques de criminalité financière : les bonnes pratiques pour les insurtechs

Également dénommées assurtechs ou néo-assureurs, les insurtechs ont beau apporter innovation, efficacité et praticité au marché de l’assurance, elles n’en restent pas moins tenues par l’obligation de gérer les risques de criminalité financière et de se conformer aux contraintes réglementaires. Et parce que les clients attendent de ces néo-assureurs essentiellement présents en ligne une expérience efficace et automatisée, ces derniers se doivent d’adopter une approche dynamique de la gestion des risques. 

Nous proposons au Chapitre 4 de notre Guide sur la criminalité financière pour les insurtechs une checklist qui permet à ces assureurs d’évaluer leur programme de lutte contre la criminalité financière. Inspiré par cette liste, le présent article étudie cinq bonnes pratiques que les insurtechs peuvent mettre en œuvre pour gérer efficacement les risques de criminalité financière et leur conformité à la réglementation.

1. Adopter une approche vraiment fondée sur le risque

Il est indispensable que les insurtechs adoptent une approche fondée sur le risque pour gérer la criminalité financière. Plutôt que de se fier à une checklist générique des réglementations, ces assureurs doivent adopter une stratégie plus globale pour évaluer leurs risques spécifiques et personnaliser leurs contrôles en conséquence. 

Pour adopter une approche fondée sur le risque, les insurtechs doivent procéder chaque année à une évaluation des risques à l’échelle de l’entreprise (EWRA) afin de déterminer :

• Les risques inhérents de criminalité financière : Identification des risques spécifiques aux activités des insurtechs, en tenant compte de facteurs tels que les types de produits d’assurance proposés, les données démographiques des clients et les canaux de distribution.
• L’efficacité des contrôles : Évaluation de l’efficacité des contrôles existants pour atténuer les risques de criminalité financière. Évaluation de l’adéquation entre les pratiques en vigueur et les risques identifiés.
• Les risques résiduels : Calcul des risques qui persistent après l’application des contrôles en vigueur. Cette étape est déterminante pour décider si des mesures supplémentaires s’imposent.

Les évaluations EWRA permettent aux insurtechs de comprendre en profondeur leur propre profil de risque et de prendre des décisions éclairées sur la stratégie de gestion des risques à adopter.

En s’appuyant sur les résultats de cette évaluation, les insurtechs peuvent mettre en place un cadre de gestion des risques de criminalité financière qui englobe des politiques, des procédures et des contrôles adaptés aux niveaux réels de risque. Intitulé « Recommandations sur une approche fondée sur les risques pour gérer les risques de blanchiment d’argent », le document du groupe Wolfsberg fournit un exemple concret de cette approche. Appliqué avec succès dans plusieurs secteurs, ce cadre peut servir de référence aux insurtechs qui souhaitent affiner leur stratégie de gestion des risques.

2. Réaliser une analyse des lacunes pour identifier les vulnérabilités

Un programme complet de lutte contre la criminalité financière comporte de nombreuses activités, parmi lesquelles la nomination d’un responsable de la conformité, la création d’une structure de gouvernance ainsi que la formulation de politiques et de procédures. Aussi fondamentaux que soient ces éléments, les insurtechs doivent également gérer d’autres activités essentielles pour se conformer à leurs obligations et identifier les risques de manière efficace, à savoir : 

• La vérification de l’identité (IDV) : Les insurtechs doivent collecter, vérifier et stocker en toute sécurité les données personnelles sensibles destinées à confirmer l’identité du client. Des processus d’IDV fiables sont incontournables pour prévenir la fraude à l’identité et l’usurpation d’identité.
• L’obligation de vigilance à l’égard de la clientèle (CDD)/La connaissance du client (KYC) : Ce processus consiste à collecter, évaluer et stocker en toute sécurité les documents et les données sur le statut financier du client pour déterminer comment ce dernier est susceptible d’utiliser les produits d’assurance.
• Le filtrage des clients : Pour identifier les risques potentiels, les insurtechs doivent filtrer les noms des clients par rapport à l’ensemble des listes de sanctions, de personnes politiquement exposées (PPE) et de médias défavorables.
• La détection de la fraude : La détection et la prévention systématiques de la fraude sont des activités permanentes et indispensables pour toute demande de contrat d’assurance, toute déclaration ou traitement de sinistres ou toute demande de modification de police. Ces opérations impliquent de vérifier l’identité du demandeur ou du bénéficiaire et d’évaluer le bien-fondé de la déclaration.
• La surveillance des transactions : Le contrôle régulier des transactions des clients, notamment le paiement des primes et l’historique des sinistres, permet d’identifier des comportements potentiellement inhabituels ou suspects.
• Le filtrage continu : Il est nécessaire de vérifier la présence du nom de clients actifs sur les listes pertinentes de sanctions, de PPE et de médias défavorables afin de s’informer en permanence sur l’évolution des risques.

Le GAFI et les autorités de régulation nationales ne précisent pas comment mettre ces processus en œuvre, mais ils encourageant les assureurs concernés à adapter leurs réponses à leur activité et à leur profil de risque. En pratique, les insurtechs doivent décider du niveau d’automatisation et de dématérialisation des activités papier et des rendez-vous en personne. La technologie est souvent perçue comme la meilleure solution face à l’ampleur et à l’essor du marché de l’assurance, aux exigences croissantes des clients et au besoin de maîtriser les coûts. Toutefois, l’adoption de solutions technologiques au service de la réglementation financière (regtech) pose des défis, plus particulièrement aux entreprises natives du numérique telles que les néo-assureurs.

3. Relever les défis du déploiement

Les insurtechs doivent avoir la certitude que les mesures LCB et de lutte contre la fraude qui sont déployées permettront, d’une part, de ramener les risques à un niveau qui empêchera les criminels de profiter d’eux et de leurs clients et, d’autre part, de se conformer aux exigences des autorités de régulation. Le déploiement de ces mesures oblige souvent à prêter attention à plusieurs défis :

• L’accès à distance : Les insurtechs réalisent l’essentiel de leurs activités en ligne et il se peut que leurs employés n’aient jamais de contact physique avec la clientèle. Dès lors, l’usurpation d’identité ou l’utilisation de faux documents pour déposer une demande d’indemnisation frauduleuse sont des risques à ne pas négliger.
• Des données incomplètes sur les risques : La plupart des assureurs restent fortement tributaires des fournisseurs de données sur les risques dont les plus réputés produisent des données précieuses. Mais lorsque certains fournisseurs surestiment l’importance et la richesse de leurs données, ce sont leurs clients assureurs qui s’exposent alors à des lacunes majeures en termes de couverture de risques au moment de l’entrée en relation d’affaires avec un futur client et dans le cadre de la surveillance continue de leurs propres clients.
• Les mises à jour en décalé : L’évolution rapide et dynamique des listes de sanctions peut poser des problèmes aux insurtechs. En effet, même si la plupart des fournisseurs publient des mises à jour toutes les six à douze heures, certains ne procèdent à des relevés par lot qu’une fois par jour, en fin de journée ou pendant la nuit. De ce fait, certaines transactions qui devraient être théoriquement bloquées peuvent être autorisées à cause de mises à jour tardives.
• Les faux positifs : De nombreuses plateformes automatisées de détection de la fraude, du blanchiment d’argent et des sanctions s’appuient sur des déclencheurs codés en dur et fondés sur des règles ainsi que sur des techniques primaires de rapprochement de noms face à des comportements criminels qui sont sophistiqués et souples. Quant au volume de faux positifs que génèrent souvent les systèmes fondés sur des règles, il rend les processus inefficaces et gourmands en ressources.
• Le manque de souplesse et d’intégration : Certaines plateformes en place sont des solutions autonomes difficilement compatibles avec les autres systèmes de la suite technologique utilisée par un assureur. Ce cloisonnement des plateformes et des processus de lutte contre la criminalité financière a empêché par le passé de détecter certains risques bien réels.

Les insurtechs doivent relever tous ces défis pour avoir la garantie que les mesures qu’elles déploient permettront d’atténuer les risques de manière efficace et de se conformer aux exigences des autorités de régulation. Pour ce faire, elles doivent adopter une approche réfléchie et dynamique de la gestion des risques.

4. Analyser les solutions de pointe des fournisseurs de regtech

Pour faire face à ces défis et optimiser la gestion des risques de criminalité financière, les insurtechs doivent s’intéresser à des solutions innovantes et tirer parti des possibilités que proposent les fournisseurs de solutions regtech. Cependant, tous les fournisseurs ne se valent pas et les fonctionnalités à rechercher sont notamment :

• L’informatique dans le Cloud pour stocker et filtrer en temps réel les données sur les risques : Abolissant les limites du stockage physique, le Cloud computing distribué permet aujourd’hui d’héberger en toute sécurité de gros volumes de données sur les risques. La mise à jour instantanée et simultanée des données sur tous les sites permet par ailleurs de disposer de listes de filtrage toujours actualisées.
• L’apprentissage automatique (ML) pour la reconnaissance des caractéristiques : Les algorithmes de ML détectent de plus en plus efficacement les incohérences dans les documents et informations fournis par le futur client au moment de l’entrée en relation d’affaires. Ils peuvent aussi détecter des changements subtils dans le comportement des clients, ce qui facilite l’identification de fraudes potentielles et d’autres délits financiers. Les plateformes de ML permettent de réduire sensiblement le nombre de faux positifs ainsi que les coûts liés à des alertes inutiles et à des indemnisations injustifiées. De plus, le ML permet d’établir des « correspondances approximatives » entre des noms équivalents lors du filtrage et également d’évaluer des correspondances probables. Ces outils peuvent identifier les documents redondants, combler des lacunes, rapprocher des noms dans plusieurs langues et systèmes d’écriture mais aussi ajouter, supprimer ou corriger des caractères.
• Des API qui facilitent la souplesse et l’intégration : Les plateformes qui utilisent des API sont idéales pour mettre en place des systèmes souples et intégrés. Ces API facilitent le regroupement de données sur les risques issues de différentes sources et la communication rapide d’informations clés entre différentes plateformes. L’utilisation d’API empêche certains risques de criminalité financière de passer à travers les mailles du filet.

Les insurtechs doivent évaluer soigneusement ces solutions pour s’assurer qu’elles correspondent à leurs besoins spécifiques. Elles doivent impérativement sélectionner des fournisseurs de solutions regtech capables de fournir la technologie la plus performante et la mieux adaptée à chaque tâche spécifique. En s’appuyant sur ces offres innovantes, les insurtechs peuvent renforcer massivement leurs processus de gestion des risques de criminalité financière.

5. Renforcer les atouts inhérents aux modèles économiques des insurtechs

Aussi évident qu’il soit pour les insurtechs de se concentrer sur les risques que posent leurs modèles économiques novateurs, ces néo-assureurs ne doivent pas pour autant en négliger les avantages en matière de gestion des risques de criminalité financière, et notamment :

• La familiarité culturelle avec la technologie : Par nature, les insurtechs maîtrisent la technologie dont elles perçoivent la valeur en raison de leur culture. Cette sensibilité culturelle leur permet d’intégrer en douceur les solutions technologiques à leurs activités.
• Des ensembles de données plus riches et plus propres : Par rapport aux assureurs traditionnels, les insurtechs disposent d’ensembles de données souvent plus volumineux et mieux nettoyés. Ces données de qualité supérieure peuvent améliorer la fiabilité et l’efficacité des systèmes de gestion des risques de criminalité financière.
• Des technologies souples : Les insurtechs font généralement preuve d’une plus grande souplesse pour l’adoption et le déploiement de leur technologie. Elles peuvent décider facilement de déployer des solutions regtech avancées et réagir ainsi sans délai aux risques émergents et aux nouvelles exigences de conformité.

L’intégration de ces avantages à leur approche de la gestion des risques de criminalité financière fait des insurtechs des adeptes de la regtech qui sont capables de gérer efficacement les risques tout en se conformant aux contraintes réglementaires. Leur capacité à innover et à être des précurseurs de l’adoption de solutions technologiques constitue un avantage compétitif dans le secteur des assurances.

En appliquant ces cinq bonnes pratiques, les insurtechs s’appuieront sur un fondement solide pour gérer les risques de criminalité financière, tout en veillant à la sécurité et la conformité de leurs activités. Face à une industrie de l’Insurtech qui évolue, il est impératif de maintenir une gestion efficace des risques pour gagner la confiance des clients et des autorités réglementaires, ce qui sera aussi un gage de succès à long terme.