Contact

Crypto & LCB-FT : l’EBA tire la sonnette d’alarme

Partager cette actualité

L’Autorité bancaire européenne (ABE) dresse un bilan préoccupant de l’état de la conformité dans le secteur des crypto-actifs.

Dans son rapport d’octobre 2025, “Tackling ML/TF risks in crypto-asset services through supervision”, l’autorité met en évidence des failles persistantes dans la lutte contre le blanchiment et le financement du terrorisme.

L’analyse révèle un double constat :

  • D’une part, la mise en œuvre inégale des obligations LCB-FT par les prestataires de services sur crypto-actifs (PSCAs) ;
  • D’autre part, la persistance de stratégies d’évitement qui contournent encore la supervision européenne.

 

Malgré un cadre réglementaire désormais solide, le secteur reste fragilisé par des pratiques d’arbitrage réglementaire (forum shopping), des dispositifs de conformité inadaptés et une gouvernance parfois défaillante. 

Des pratiques de contournement bien rodées

L’ABE décrit plusieurs pratiques employées par certains prestataires pour contourner la réglementation :

  • Fourniture de services sans agrément : des acteurs ont offert des services à des clients européens sans enregistrement ni autorisation, souvent depuis des juridictions non alignées sur les standards LCB-FT. Certains ont poursuivi leurs activités malgré des avertissements ou des ordres de cessation.
  • Forum shopping : avant MiCA, le manque d’harmonisation des régimes nationaux a favorisé la recherche des pays les plus permissifs. Des sociétés ont déplacé leur siège ou retiré leur demande d’agrément lorsque les contrôles des superviseurs s’intensifiaient.
  • Abus du mécanisme de reverse solicitation : certaines plateformes ont prétendu que la relation provenait uniquement de l’initiative du client pour fournir des services sur crypto-actifs dans l’UE, alors même que leur communication visait clairement des résidents européens. En s’appuyant sur l’exemption de la reverse sollicitation des entités disposant de dispositifs LCB-FT insuffisants peuvent accéder au marché de l’UE sans avoir l’agrément MiCA ni le dispositif de conformité/contrôle interne adéquat. Faute d’un suivi et d’une application rigoureux, la reverse sollicitation risque de devenir une faille.

 

Ces pratiques ont accentué le risque de contournement réglementaire. L’ABE souligne qu’elles fragilisent l’intégrité du marché et retardent la mise en place d’un cadre véritablement harmonisé.

Un exemple permet de s’en convaincre. Pour rappel, MiCA prévoit un régime transitoire (clause de grand-père) jusqu’au 1er juillet 2026 au plus tard (certains Etats ayant adopté un délai plus court) permettant aux acteurs crypto d’opérer en vertu de leur statut national (en France, le statut PSAN). A l’issue de cette date, les entités qui n’auront pas obtenu l’agrément MiCA ne pourront plus exercer dans l’UE. L’ABE relève le cas d’une société qui a vu sa demande d’agrément MiCA rejetée par l’autorité nationale et la décision a fait l’objet d’un appel. Malgré la fin officielle de la période transitoire dans le pays en question, le cadre national de la juridiction concernée lui permet de poursuivre son activité crypto jusqu’à ce qu’une décision définitive soit rendue, et ce nonobstant la fin de la période transitoire dans ledit pays. L’entité a également déposé une demande MiCA dans un autre État membre, ce qui laisse présager un possible forum shopping.

Dans certains cas, des entreprises se sont volontairement retirées du marché après le lancement d’inspections sur site.

Où l’on voit que malgré le statut de “règlement” de MiCA, censé harmoniser les règles au sein de l’UE, des divergences d’interprétation et de supervision persistent, ce qui est regrettable. Certaines juridictions sont perçues comme plus “crypto‑friendly” que d’autres, ce que laissait entendre le Peer-Review de l’ESMA sur l’autorité maltaise en juillet dernier. Cela serait de nature à créer une concurrence inéquitable entre les juridictions.

Des faiblesses structurelles dans la conformité LCB-FT

Au-delà de ces stratégies d’évitement, l’ABE met en évidence des lacunes profondes dans les dispositifs de conformité des prestataires.

Externalisation non maîtrisée

De nombreux acteurs, notamment des acteurs membres de groupes internationaux, ont délégué leurs fonctions clés — vérification d’identité, surveillance des transactions — à des entités situées hors de l’Union européenne.

Ces délégations présentent plusieurs faiblesses :

  • Des politiques groupe de pays tiers non adaptées aux exigences européennes ;
  • Des contrats flous sur les responsabilités et le contrôle local ;
  • Une absence de supervision réelle des équipes locales.

 

S’agissant du cas des groupes, l’ABE relève que de nombreuses entités nouvellement établies, en particulier les plus petites disposant de ressources ou d’expertise limitées, s’appuient fortement sur des structures opérationnelles au niveau du groupe pour satisfaire à leurs obligations de conformité. Cela pose un problème d’alignement des standards LCB-FT lorsque l’entité mère est située dans un pays tiers.

Aussi, d’après l’ABE, les autorités ont relevé que certains responsables conformité ne disposaient d’aucun accès aux données clients traitées à l’étranger. L’ABE y voit un risque majeur de perte de maîtrise opérationnelle et de dilution des responsabilités.

Politiques LCB-FT génériques et inadéquates

Les procédures internes restent souvent calquées sur les modèles bancaires classiques :

  • Peu ou pas d’analyse des risques propres aux crypto-actifs (portefeuilles auto-hébergés, mixers, stablecoins, DeFi) ;
  • Cartographies non mises à jour lors du lancement de nouveaux produits ;
  • Vigilance renforcée appliquée de manière inégale.

 

Beaucoup d’acteurs continuent d’ignorer leur rôle de point d’entrée et de sortie entre finance régulée et finance décentralisée, pourtant au cœur des vulnérabilités identifiées.

Instabilité de la fonction de responsable conformité

Les inspections de l’ABE ont mis en lumière :

  • Une rotation élevée des AML officers et responsables conformité – pourtant fonction-clé d’un acteur régulé ; 
  • Le recours fréquent à des consultants externes à temps partiel ; 
  • Un manque de compétences sur les risques crypto-spécifiques et les outils de traçabilité blockchain.

 

Cette instabilité nuit à la continuité du dispositif et à la diffusion d’une culture de conformité durable au sein des équipes.

Un fort turnover couplé à la nomination de désignation de responsables de la conformité LCB-FT qui consacrent un temps minimal à leurs fonctions ou répartissent leurs responsabilités entre plusieurs établissements, se traduit par une supervision insuffisante et une gouvernance faible des dispositifs LCB-FT. 

Aussi, dans certains cas, les autorités compétentes ont constaté que les responsables de la conformité LCB-FT avaient une connaissance insuffisante des risques spécifiques associés aux crypto‑actifs et à la gestion des outils d’analyse blockchain. Ce point ne nous surprend pas : nous l’avions déjà relevé dans notre rapport sur les Outils d’Analyse Transactionnelle (OAT) disponible en téléchargement sur notre site.  Plusieurs  acteurs crypto français interrogés avaient soulevé ce point. D’où la nécessité de former les collaborateurs à ce sujet.

Application incomplète de la Travel Rule et du reporting

Les obligations de transmission d’informations entre prestataires (Travel Rule) issues du TFR demeurent très inégalement appliquées.

Les constats les plus fréquents sont :

  • L’absence d’outils techniques pour la mise en œuvre desdites obligations ; 
  • Des rapports d’activité incomplets ou incohérents ;
  • Un filtrage des sanctions déficient, générant des faux négatifs.

 

Ces manquements altèrent la traçabilité des flux et compromettent la détection des transactions suspectes. Au demeurant, s’agissant des obligations relatives au gel des avoirs, on rappellera qu’il s’agit d’une obligation de résultat. En cas de contrôle du superviseur, un tel manquement justifierait le prononcé d’une sanction.

L’ABE donne l’exemple d’un opérateur de distributeurs automatiques de cryptomonnaies (Crypto‑ATM) qui n’a pas correctement mis en oeuvre les exigences de la Travel Rule, et qui n’a pas non plus correctement déclaré les transactions dépassant les seuils, soumettant des données incomplètes sur des formulaires inadéquats. Les rapports statistiques trimestriels étaient inexacts, avec des informations manquantes ou erronées concernant notamment les évaluations des risques LCB-FT, la surveillance des transactions, l’analyse de la clientèle et l’activité déclarative. 

Risques sous-estimés liés à la DeFi

La finance décentralisée reste largement ignorée dans les dispositifs LCB-FT.

En effet : 

  • Peu d’acteurs intègrent les interactions entre leurs services centralisés et la DeFi dans leurs analyses de risques ; 
  • Certains PSCAs ont servi, malgré eux, de canaux d’accès à des protocoles non régulés à haut risque.

L’absence de politiques spécifiques sur ces flux crée une zone grise particulièrement vulnérable aux détournements.

En effet, à ce jour la DeFi demeure, en principe, en dehors du champ d’application de MiCA (en théorie, car un considérant de MiCA invite à une analyse au cas par cas). Tout comme le TFR (Travel Rule), là encore par principe. En effet, le TFR, s’il ne s’applique pas par principe à la DeFi en tant que tel, s’applique aux transferts de crypto-actifs dès lors qu’un PSCA intervient dans la chaîne. S’il n’y a aucun PSCA impliqué, la Travel Rule n’a pas de prise directe, en revanche si un PSCA se trouve à l’une des extrémités de la chaîne, ou en tant que PSCA intermédiaire de ladite chaîne dans laquelle figure un/plusieurs échanges décentralisés, la Travel Rule s’applique au PSCA qui initie, reçoit le transfert.

Cela devrait conduire à accélérer les réflexions au niveau européen sur une possible régulation de la DeFi. D’aucuns parlent déjà d’un futur MICA 2 pour inclure explicitement la DeFi dans son champ d’application.

En tout état de cause, lorsque des PSCA interagissent avec des services DeFi sans reconnaître ni atténuer les risques accrus de BC-FT associés, ils fournissent malgré eux des canaux permettant aux acteurs criminels d’obscurcir les transactions, de contourner les intermédiaires supervisés et de rendre la traçabilité plus difficile. Cela crée des opportunités de layering qui compliquent davantage la détection de telles infractions. D’où l’intérêt de bien identifier les risques BC-FT liés à la finance décentralisée dans sa classification des risques (axe produits/services et/ou canal de distribution). 

L’architecture MiCA–AMLA : un socle commun à consolider

Le nouveau cadre européen – composé du règlement MiCA, et du futur Package AML comprenant le règlement AMLR, la directive AMLD6 et de le réglement AMLAR instituant l’Autorité européenne de lutte contre le blanchiment (AMLA) – établit une base commune pour la régulation et la supervision des acteurs du secteur des crypto-actifs.

Ce dispositif introduit plusieurs évolutions majeures :

  • Un agrément unique et un passeport européen pour les prestataires de services sur crypto-actifs (PSCAs) ;
  • Une transparence accrue ;
  • Une évaluation systématique de l’honorabilité et de la compétence (“fit & proper”) des dirigeants et actionnaires ;
  • Des mesures de mitigation des risques pour les transferts entre un PSCA et un self hosted wallet
  • La prohibition des privacy coins
  • Des pouvoirs renforcés pour les autorités nationales, l’ABE, l’ESMA et la future AMLA, opérationnelle fin 2025 ;
  • Une coopération renforcée entre régulateurs, appuyée par la mise en place d’un point de contact central  pour les acteurs transfrontaliers.

 

L’ABE souligne toutefois que l’efficacité de cette architecture dépendra de sa mise en œuvre concrète. Les autorités devront veiller à une surveillance active des entités non autorisées, à une transition maîtrisée des prestataires bénéficiant des régimes transitoires (“grandfathered”) après 2026, et à la gestion des problématiques de conformité préexistantes (“legacy AML issues”) afin d’éviter qu’elles ne se propagent dans le nouveau dispositif via le mécanisme de passeport européen.

Le rôle central de la supervision dans la stabilité du marché

L’ABE rappelle que la phase actuelle marque un changement de paradigme : l’enjeu ne réside plus dans l’adoption de nouvelles règles, mais dans leur application effective et cohérente à l’échelle de l’Union européenne.

La supervision devient ainsi le principal instrument pour garantir l’intégrité du marché et la crédibilité du cadre réglementaire. Une mise en œuvre rigoureuse, accompagnée d’une coordination étroite entre autorités nationales et européennes, sera déterminante pour assurer la solidité du dispositif et la confiance des acteurs du secteur.

Dans cette perspective, la conformité ne se limite plus à un exercice réglementaire : elle constitue un élément essentiel de stabilité, de transparence et de fiabilité pour le développement d’un écosystème crypto européen durable.

👉 RegSharp accompagne les CASP/PSCA dans la mise en conformité et l’application des exigences du cadre européen MiCA et LCB-FT. Contactez-nous.

 

 

 

Plus d'articles

Vous souhaitez être informé de notre actualité ?

Notre communication regroupe les nouveautés réglementaires, l'innovation dans le secteur, l'annonce de nos événements et nos analyses sur divers sujets d'actualité.

Cabinet spécialisé en conformité bancaire et des services et  moyens de paiement. La connaissance du fonctionnement des autorités de supervision couplée à l’expertise pointue de nos consultants sont des atouts garantissant la satisfaction de nos clients

Linkedin

Navigation

RegSharp Expertise & Consulting

Informations