L'Autorité bancaire européenne estime que les contrôles LCB-FT du secteur des paiements soient insuffisants

Au terme d’une évaluation réalisée en 2022, l’Autorité bancaire européenne (ABE) a constaté que les entreprises du secteur des paiements présentaient des lacunes au niveau de leurs contrôles pour lutter contre le blanchiment de capitaux et le financement du terrorisme (BC-FT). Elle a également constaté que, malgré les risques importants de BC-FT auxquels le secteur est confronté, certaines autorités de l’Union européenne (UE) ne supervisent pas suffisamment la gestion du secteur en termes de lutte contre le blanchiment d’argent et le financement du terrorisme (LCB-FT). Cela permet à des entreprises ne disposant pas de mesures LCB-FT appropriées d’exercer dans l’UE en s’établissant dans des pays où la supervision est insuffisante.

L’évaluation a été réalisée conformément au règlement fondateur de l’ABE qui exige que le régulateur procède à des évaluations des risques sectoriels en définissant des « risques significatifs » dans le secteur financier européen.

Risques et faiblesses identifiés en matière de LCB-FT

Le rapport fait état de plusieurs zones de risque élevé pour le secteur des paiements qui devraient être pleinement prises en compte par les évaluations des risques BC-FT et les cadres de gestion des risques des entreprises concernées. Ces risques sont liés à des réalités inhérentes au secteur des paiements, notamment une forte utilisation d’espèces, des transactions en gros volume et à grande vitesse, des relations d’affaires brèves ainsi que des opérations dans des juridictions plus à risque.

À la lumière de ces risques, le rapport a également identifié sept domaines clés où les faiblesses doivent être traités dans ce secteur :

• Une faible sensibilisation à la LCB-FT – Ce domaine reste une faiblesse majeure malgré quelques améliorations globales au fil du temps. L’une des raisons de cette faiblesse est une formation insuffisante du personnel chargé de la LCB-FT.
• Une supervision des transactions insuffisante – Citée comme une lacune « endémique » par de nombreuses autorités de supervision du secteur, certaines entreprises n’ayant mis en place aucune supervision.
• Une détection et une déclaration insuffisantes des transactions suspectes – La mauvaise compréhension par ce secteur des risques associés limite l’identification de ce qui peut être effectivement considéré comme suspect. En outre, il semble que certaines entreprises s’appuient sur les contrôles de leurs partenaires de crédit plutôt que de déployer leurs propres contrôles comme l’exige la législation européenne.
• L’absence de déploiement de systèmes et de contrôles pour se conformer aux mesures restrictives – En lien avec un manque de compréhension des mesures restrictives, cette défaillance concerne spécifiquement le filtrage continu des clients et des transactions, qui est soit sporadique, soit inexistant.
• De faibles dispositions en matière de gouvernance interne – Plus particulièrement chez les nouvelles entreprises qui privilégient une croissance rapide, on remarque un manque de systèmes LCB-FT fondés sur des lignes de défense clairement établies tandis qu’un fort taux de rotation lié à une implication inappropriée des actionnaires compromet encore davantage une bonne gouvernance des risques.
• Des risques de financement du terrorisme mal compris et mal gérés – Malgré les risques de financement du terrorisme (FT) plus élevés dans le secteur des paiements, la compréhension de ces risques reste insuffisante en plus d’une dépendance trop importante envers le filtrage des sanctions sans mesures supplémentaires de contrôle des risques de FT.
• L’absence de protections adaptées pour l’entrée en relation d’affaires à distance – Les autorités de surveillance du secteur ont souligné une incapacité chronique à identifier les clients à haut risque, notamment les personnes politiquement exposées (PPE), lors de l’entrée en relation d’affaires.

Les données de l’enquête de l’ABE révèlent que les principales failles du secteur en matière de LCB-FT se situent au niveau de la supervision continue et de la supervision des transactions, de l’évaluation des risques clients et des contrôles, politiques et procédures internes en matière de LCB. Ces données ont été corroborées par les informations fournies par EuReCA, l’outil de veille de l’UE qui a indiqué les trois mêmes catégories principales. Déployé en 2022, cet outil est déjà prometteur car il contribue en fournissant des informations nécessaires à l’amélioration du cadre global de lutte LCB-FT de l’UE.

Risques émergents

En plus des risques et faiblesses soulignés, l’autorité de régulation a insisté sur trois questions émergentes qui devraient retenir l’attention des entreprises du secteur des paiements. Il s’agit de :

• La marque blanche – Lorsqu’une entreprise de paiement s’engage dans un processus de marque blanche, elle fournit sa licence à un tiers indépendant à des fins commerciales. Comme cette pratique permet au tiers de créer son propre produit sous cette marque, les entreprises doivent être conscientes des risques accrus de FT associés.
• Les numéros de comptes bancaires internationaux (IBAN) virtuels – Ces IBAN virtuels ne peuvent pas servir de compte à part entière et ne sont donc que des intermédiaires pour transférer des fonds d’un endroit à un autre. Leur statut virtuel permet de masquer l’origine des fonds et d’accroître ainsi le risque de BC/FT.
• Acquisition par un tiers – Lorsqu’une entreprise de services de paiement (l’« acquéreur du commerçant ») soustraite une partie du processus à un tiers (un « tiers acquéreur » ou TPA), cela signifie que pour les processus externalisés, l’acquéreur dépend des contrôles LCB-FT existants du tiers (ou de l’absence de tels contrôles) plutôt que des siens. Cette segmentation rend plus probable le traitement de transactions illicites par l’intermédiaire du TPA.

Ce qu’il faut retenir

Pour satisfaire à cette évaluation, les entreprises qui opèrent dans le secteur européen des paiements doivent faire le point sur l’état actuel de leur dispositif LCB-FT en commençant par une évaluation des risques à l’échelle de l’entreprise (EWRA) qui prend en compte les principaux risques sectoriels énumérés par l’ABE. Cette EWRA doit en outre préciser quels sont les risques particuliers auxquels une entreprise spécifique est la plus exposée afin de cibler au mieux les processus LCB-FT.

Dans le cadre de ce processus, les entreprises doivent lancer un audit indépendant et complet de leur programme LCB-FT pour identifier les faiblesses ou les négligences à la lumière des risques établis. Cet audit doit notamment porter sur les partenaires qui peuvent être en partie responsables de la gestion des risques liés à des processus critiques spécifiques tels que les partenaires TPA. Il doit aussi fournir une idée précise du personnel et des technologies de support nécessaires pour gérer efficacement les risques BC:FT. Cela implique une formation complète de l’ensemble du personnel en charge de la gestion des risques ainsi que des programmes de mise à niveau des systèmes obsolètes qui sont incapables de s’adapter de manière efficace.

Une couche d’intelligence artificielle peut être un point de départ rentable et efficace pour les entreprises qui ne sont pas encore prêtes à refondre leur ancien système. Cela peut contribuer à dynamiser les systèmes existants de supervision des transactions en priorisant les alertes les plus risquées afin d’utiliser plus efficacement le temps que les analystes consacrent à l’investigation.

Guide pratique pour la détection des risques de criminalité financière

Découvrez comment l’apprentissage automatique peut renforcer les systèmes de supervision des transactions.

Accédez au guide