Signaux d’alerte LCB pour les cryptos

Plus l’utilisation des cryptomonnaies se répand, plus s’élargit l’éventail des menaces que font planer sur les prestataires de services de cryptomonnaies les blanchisseurs d’argent qui exploitent la vitesse de traitement et l’anonymat liés à l’échange d’actifs virtuels en ligne.

L’achat et la vente de cryptomonnaies, c’est-à-dire des actifs virtuels, obligent les utilisateurs à accéder à des plateformes et portefeuilles en ligne. Traitant de gros volumes de transactions en cryptomonnaies, ces services permettent de transférer rapidement des actifs et des fonds à travers le monde en dehors des systèmes bancaires et financiers classiques. Cette absence de supervision réglementaire attire les blanchisseurs d’argent, généralement soucieux de convertir des fonds illicites en cryptos pour échapper aux contrôles LCB imposés par les établissements financiers ordinaires. La menace ne fait que s’amplifier puisque les études évaluent à près de 2,8 milliards de dollars les sommes blanchies via des plateformes de cryptomonnaies en 2019 contre environ 1 milliard de dollars en 2018.

Le rapport du GAFI sur les signaux d’alerte concernant les actifs virtuels

Dans ce contexte de risques que posent les cryptos, le groupe d’action financière (GAFI) a étudié les caractéristiques du blanchiment d’argent impliquant des cryptomonnaies. Ces travaux se sont inspirés de précédentes recherches du GAFI sur la criminalité impliquant des actifs virtuels et sur plus de cent études de cas recueillies depuis 2017 au sein du réseau mondial du GAFI.

En 2020, le GAFI a publié ses résultats dans le rapport : Actifs virtuels – Indicateurs d’alerte de blanchiment de capitaux et de financement du terrorisme. Destiné à aider à la fois les autorités financières et les entreprises spécialisées dans les portefeuilles et les échanges de cryptomonnaies à développer et à déployer leurs programmes LCB, le rapport définit plusieurs indicateurs d’alerte d’activité de blanchiment impliquant des actifs virtuels :

• Les indicateurs d’alerte liés aux types de transaction
• Les indicateurs d’alerte liés aux caractéristiques transactionnelles
• Les indicateurs d’alerte liés à l’anonymat
• Les indicateurs d’alerte concernant les donneurs d’ordre et les bénéficiaires
• Les indicateurs d’alerte en lien avec l’origine des fonds
• Les indicateurs d’alerte liés aux risques géographiques

Indicateurs d’alerte liés aux types de transaction

Même si les cryptomonnaies constituent une nouvelle frontière dans le paysage du blanchiment de capitaux, les stratégies classiques de lutte contre ce type de criminalité restent pertinentes. Le GAFI a établi que les types suivants de comportement transactionnel, impliquant des modes de paiement conventionnels, trahissent souvent une tentative de blanchiment d’argent :

• Fractionner les opérations en cryptomonnaies en petits montants inférieurs aux seuils de déclaration.
• Effectuer plusieurs opérations de grande valeur en cryptomonnaies dans un court laps de temps.
• Transférer immédiatement des dépôts de cryptomonnaies vers un prestataire de services opérant dans un autre pays peu regardant en matière de réglementation.
• Retirer immédiatement des dépôts de cryptomonnaies sans autre activité transactionnelle ou convertir ces dépôts en plusieurs types de cryptomonnaies, ce qui entraîne des commissions d’intervention.
• Déposer sur des portefeuilles de cryptomonnaies des fonds identifiés comme ayant été volés.

Exemple d’étude de cas du GAFI : Environ 400 millions de KRW (le won sud-coréen est la devise officielle de la Corée du Sud) qui avaient été volés à des victimes sud-coréennes lors d’opérations de hameçonnage ont été échangés contre des cryptomonnaies au moyen de virements successifs. Les criminels ont ensuite effectué de nombreuses opérations de grande valeur qui ont transférées vers un prestataire de services d’actifs virtuels (PSAV) étranger dans un seul portefeuille. Les fonds ont été finalement transférés sur 48 comptes distincts pour tenter de dissimuler leur origine.

Indicateurs d’alerte liés aux caractéristiques transactionnelles

Parfois, le blanchiment peut être révélé par des caractéristiques inhabituelles de transactions en cryptomonnaies, notamment lorsqu’il s’agit de :

• Financer l’ouverture de nouveaux comptes en cryptomonnaies avec un dépôt qui ne correspond ni au profil ni aux ressources du client.
• Effectuer un dépôt initial important et de commencer à transférer ou à retirer le montant total le jour même de l’ouverture du compte ou peu après.
• Réaliser des opérations impliquant l’utilisation de plusieurs cryptomonnaies ou de plusieurs comptes, sans explication commerciale logique. 
• Effectuer des transferts fréquents, émis par plusieurs personnes, de gros montants de cryptomonnaies au cours d’une certaine période (un jour, une semaine, un mois) et vers le même compte. 
• Recevoir des opérations provenant de nombreux portefeuilles sans lien entre eux pour des montants faibles, avec transfert immédiat vers un autre portefeuille ou échange intégral contre des monnaies fiduciaires. 
• Échanger plusieurs fois des cryptomonnaies, potentiellement à perte en raison des frais de commission.
• Convertir régulièrement de gros volumes de monnaie fiduciaire en cryptomonnaies, sans explication commerciale logique. 

Exemple d’étude de cas du GAFI : Une maison de titres a repéré qu’un ressortissant étranger avait effectué deux opérations distinctes pour un montant total de 4,8 millions de dollars entre des comptes de cryptomonnaies, à six minutes d’intervalle le même jour, depuis un portefeuille qui n’était pas hébergé dans les îles Caïmans. Après le dépôt d’une déclaration de transactions suspectes, les comptes ont été gelés et il a été établi que les fonds étaient d’origine illégale.

Indicateurs d’alerte liés à l’anonymat

Les portefeuilles et plateformes de cryptomonnaies sont sécurisés contre les menaces au moyen de fonctionnalités technologiques qui renforcent également l’anonymat des utilisateurs des services et compliquent la détection d’activités criminelles par les autorités chargées d’enquêter et de lancer des poursuites. Les signaux ou indicateurs d’alerte suivants peuvent révéler que l’anonymat lié aux services de cryptomonnaies est exploité à des fins de blanchiment :

• Des transactions impliquant plusieurs types de cryptomonnaies, et en particulier des cryptomonnaies qui permettent de bénéficier d’un anonymat plus élevé, et ce malgré des frais d’intervention supplémentaires.
• Le déplacement de cryptos fonctionnant sur une blockchain publique et transparente à destination d’une plateforme d’échange centralisée avant de les échanger immédiatement contre des cryptomonnaies à anonymat renforcé (AEC) ou un jeton privé confidentiel. 
• Des clients qui opèrent en tant que PSAV sans licence pour le compte d’autres utilisateurs sur des sites d’échange de cryptomonnaies entre particuliers (P2P), en particulier si ces clients traitent de gros transferts de cryptomonnaies pour le compte de leurs propres clients et facturent à ces derniers des frais plus élevés que les services de transfert proposés par d’autres plateformes d’échange sous licence.
• Une activité transactionnelle anormale (en volume ou fréquence) impliquant des plateformes P2P ou des plateformes qui s’appuient sur des services de mixage sans explication commerciale logique.
• Des fonds déposés dans un portefeuille de cryptomonnaies provenant de sources suspectes, notamment des places de marché du darknet, des sites de jeu douteux ou d’autres sites d’activités illégales. 
• Des utilisateurs qui accèdent à la plateforme du PSAV en utilisant une adresse IP associée à des sources suspectes ou qui effectuent des opérations avec des partenaires qui utilisent des logiciels de chiffrement.
• L’utilisation de portefeuilles décentralisés et non hébergés, matériels ou papier, pour faire passer les frontières aux cryptomonnaies.
• Des utilisateurs qui s’inscrivent sur une plateforme d’échange de cryptomonnaies après avoir enregistré leurs noms de domaine Internet par l’intermédiaire de proxies ou en utilisant des registraires de noms de domaine qui suppriment l’identité des propriétaires des noms de domaine.
• Un grand nombre de portefeuilles de cryptomonnaies contrôlés à partir de la même adresse IP.
• L’utilisation de cryptomonnaies non documentées qui sont liées à de la fraude ou à des systèmes de type pyramide de Ponzi.
• L’envoi ou la réception de fonds provenant de plateformes de cryptomonnaies dont les processus d’obligation de vigilance à l’égard de la clientèle (CDD) ou de connaissance du client (KYC) sont manifestement inappropriés.
• L’utilisation de distributeurs automatiques de cryptomonnaies facilitant les petites opérations répétées ou bien de distributeurs situés dans des pays à haut risque. 

Exemple d’étude de cas du GAFI : la place de marché P2P du darknet AlphaBay a été utilisée pour acheter et vendre des produits illégaux dont des stupéfiants, des faux documents ou des armes à feu. Environ 200 000 utilisateurs et 40 000 vendeurs y ont réalisé des transactions pour plus d’un milliard de dollars à l’aide de différents types de cryptomonnaies entre 2015 et 2017, année où le gouvernement américain a fermé les serveurs hébergeant AlphaBay.

Indicateurs d’alerte concernant les donneurs d’ordre et les bénéficiaires

Le comportement inhabituel de donneurs d’ordre (expéditeurs) et de bénéficiaires (destinataires) de cryptomonnaies est souvent un indicateur d’alerte de blanchiment d’argent dans les cas de figure suivants : 

Irrégularités observées lors de la création d’un compte :

• La création de plusieurs comptes sous des noms différents dans le but de contourner les restrictions sur les opérations et les limites de retrait émises par la plateforme ou des tentatives d’ouverture de comptes à partir de la même adresse IP. 
• Des opérations initiées à partir d’adresses IP non fiables ou suspectes ou d’adresses IP provenant de pays à haut risque. 
• Des entreprises dont le nom de domaine Internet est enregistré dans un pays à haut risque ou dans un pays différent de celui dans lequel elle sont établies.

Irrégularités observées au cours du processus de CDD :

• Des clients dont les informations KYC sont insuffisantes, qui refusent de répondre aux demandes de documents KYC ou qui fournissent des documents d’identification falsifiés.
• Des donneurs d’ordre et les bénéficiaires qui ne connaissent pas l’origine des fonds ou la relation avec la contrepartie. 

Profil des clients :

• Des clients qui fournissent des informations d’identification partagées par un autre compte ou associées à des activités illégales. 
• Des incohérences entre les adresses IP associées au compte du client et les adresses IP à partir desquelles les transactions sont initiées. 
• Des clients qui modifient fréquemment leurs informations d’identification ou de contact, dont leurs adresses électronique et IP. 
• Le même client qui tente plusieurs fois d’accéder à une plateforme de cryptomonnaies à partir de différentes adresses IP au cours d’une même journée.
• Des clients qui réalisent des profits ou des pertes importants de manière répétée en effectuant des opérations avec un seul et même groupe d’individus.
• Des clients qui communiquent avec d’autres clients d’une manière indiquant que leurs transactions sont effectuées pour soutenir une activité illicite. 

Comportement des passeurs de fonds (mules financières) :

• Des donneurs d’ordre qui ne semblent pas très au fait de la technologie des cryptomonnaies.
• Des clients âgés ou identifiés comme des personnes financièrement vulnérables qui effectuent un grand nombre d’opérations en cryptomonnaies.
• Des clients qui achètent de gros volumes de cryptomonnaies qui ne correspondent pas à leur profil financier. 

Exemple d’étude de cas du GAFI : Une entreprise locale détenant sur son compte bancaire des fonds en cryptomonnaies déposés à la fois par des personnes physiques et morales et qui n’a pas donné suite aux demandes de renseignements de la banque concernant l’origine des fonds. Après examen, la banque a découvert que les fonds en cryptomonnaies présentaient des liens avec le crime organisé.

Indicateurs d’alerte en lien avec l’origine des fonds

L’origine des fonds en cryptomonnaies peut indiquer leur lien avec des activités criminelles, par exemple :

• Des fonds qui proviennent directement d’investissements dans des cryptos ou dans des d’opérations de financement par émission de jetons (ICO), de plateformes sans contrôles LCB-FT suffisants ou de services de mixage tiers.
• Des transactions avec des comptes de cryptomonnaies ayant des liens connus avec des activités illicites telles que de la fraude, de l’extorsion ou des logiciels rançonneurs, des places de marché du darknet ou encore des transactions en provenance ou à destination de services de jeux d’argent en ligne.
• L’utilisation d’une ou de plusieurs cartes de crédit et/ou de débit liées à un seul et même portefeuille de cryptomonnaies pour retirer de grandes quantités de monnaie fiduciaire.
• Des dépôts anormalement élevés sur des portefeuilles de cryptomonnaies, suivis d’un retrait immédiat en monnaie fiduciaire.
• Un manque de transparence du client quant à l’origine et au propriétaire des fonds dans un contexte où les données personnelles des investisseurs ne sont pas accessibles aux prestataires de services de cryptomonnaies. 

Exemple d’étude de cas du GAFI : En 2019, les propriétaires du site Web DeepDotWeb (DDW) ont été inculpés pour avoir reçu des commissions occultes en cryptomonnaies après avoir orienté les visiteurs du site vers des places de marché du darknet. Pour tenter de dissimuler l’origine de ces fonds illicites, les propriétaires de DDW ont transféré plus de 15 millions de dollars de rétrocommissions du portefeuille de bitcoins de DDW vers d’autres portefeuilles de bitcoins.

Indicateurs d’alerte liés aux risques géographiques

Lorsqu’ils déplacent leurs fonds illicites à travers le monde, les criminels cherchent souvent à tirer parti des différences et des incohérences au niveau de la réglementation sur les cryptomonnaies d’un pays à l’autre. Les signaux d’alerte de blanchiment d’argent liés aux risques géographiques sont notamment :

• Des fonds en cryptomonnaies qui proviennent d’une plateforme d’échange ou qui sont envoyés vers une bourse de cryptomonnaies qui n’est pas enregistrée dans le pays où le client ou la plateforme sont situés.
• Des clients qui utilisent des plateformes d’échange de cryptomonnaies ou des prestataires de services situés dans des pays à haut risque ou connus pour ne pas avoir une réglementation LCB-FT appropriée.
• Des clients qui établissent leurs bureaux dans des juridictions qui n’ont tout simplement pas de réglementation ou bien une réglementation inadéquate en matière de cryptomonnaies, et ce sans la moindre explication commerciale logique.

Exemple d’étude de cas du GAFI : En 2019, les autorités américaines ont fermé un courtier en bitcoins sans licence qui avait organisé des échanges de cryptomonnaies pour plus de 800 000 dollars via une plateforme de cryptos basée aux États-Unis. Ce même courtier s’est ensuite tourné vers une plateforme d’échange asiatique pour acheter 3,29 millions de dollars de bitcoins entre 2015 et 2017 et rapatrier ses bénéfices aux États-Unis par petits montants, inférieurs au seuil obligeant à une déclaration.

Que faire des signaux d’alerte LCB pour les cryptos ? 

Conformément aux recommandations du GAFI et à la législation locale, les programmes LCB concernant les plateformes d’échange de cryptos doivent s’appuyer sur un modèle fondé sur le risque qui reflète le paysage des menaces et l’environnement réglementaire. Dans la pratique, il convient d’adopter des mesures pour lutter contre les méthodes classiques de blanchiment et, le cas échéant, de se référer aux indicateurs d’alerte spécifiques liés aux actifs virtuels définis dans le rapport du GAFI. Dès lors, un programme de conformité LCB pour les cryptomonnaies doit comporter :

• Des processus de CDD adaptés pour identifier les clients avec précision et mettre en évidence ceux qui présentent les plus gros risques afin de les soumettre à un processus de vigilance renforcée (EDD).
• Des mesures de surveillance des transactions permettant de détecter des transactions suspectes en cryptomonnaies et de les signaler rapidement aux autorités financières.
• Des mesures de filtrage pour vérifier si des clients figurent dans les listes mondiales de sanctions pertinentes et s’il s’agit ou non de personnes politiquement exposées (PPE)
• Un filtrage des médias défavorables pour vérifier si les clients font l’objet d’une couverture médiatique négative quelque part dans le monde.