Introduction
En juin dernier, l’Autorité de contrôle prudentiel et de résolution (ACPR) a publié sa nouvelle analyse sectorielle des risques (ASR) en matière de blanchiment de capitaux et de financement du terrorisme (BC-FT) après une première version publiée durant l’année 2019.
Cette analyse vient compléter l’analyse nationale des risques (ANR) qui a été publiée début 2023 par le Conseil d’orientation de la lutte contre le blanchiment de capitaux et le financement du terrorisme (COLB). On y retrouve d’ailleurs en grande partie l’analyse des mêmes secteurs d’activité comme le secteur bancaire, le secteur de l’assurance, les risques relatifs aux actifs numériques, ou encore les risques associés à la monnaie électronique et aux services de paiement.
Étant entendu que l’analyse de l’ACPR se concentre uniquement sur les secteurs qui relèvent de sa compétence et sur lesquels elle exerce une surveillance.
L’ACPR indique ainsi en introduction que l’ASR a vocation à aider les établissements régulés à identifier et gérer les risques auxquels ils sont exposés en matière de BC-FT, mais aussi à orienter ses activités de contrôle de ces mêmes établissements dans ce domaine.
A l’instar du COLB, l’ASR présente les principales menaces criminelles identifiées dans l’ANR auxquelles sont exposés les différents services, produits ou activités du secteur financier, ainsi que les vulnérabilités intrinsèques qui peuvent les affecter et les rendre attractifs pour les criminels.
A ce titre et de façon complémentaire, l’ACPR a réalisé une analyse des vulnérabilités transversales impactant tous les secteurs présents dans le document avec notamment les produits favorisant l’anonymat, le risque géographique ou encore le risque de fraude et d’usurpation d’identité.
La méthodologie de l’ACPR est la suivante : après identification des menaces criminelles par secteur et des vulnérabilités intrinsèques, elle propose des mesures d’atténuation et de contrôle qu’elle opère en tant qu’autorité de tutelle (notamment des bonnes pratiques) afin d’atteindre une vulnérabilité résiduelle par secteur.
Cette analyse est notamment le fruit de la collecte annuelle de questionnaires auprès des différents assujettis mais aussi des groupes de travail mis en place directement par les agents de l’ACPR avec ces derniers. Une analyse complète qui sera utile aux différents assujettis pour se parer au mieux contre les menaces pesant sur leur(s) secteur(s) d’activité.
Enfin, l’ACPR fournit une comparaison de niveau de risque par activité identifié par l’ANR du COLB en 2023 et de la moyenne des notes attribuées par l’ACPR :
Dans le présent document, RegSharp vous propose une synthèse critique de certains secteurs prépondérants en matière de BC-FT comme le secteur financier au travers des banques de détail ainsi que les risques associés aux services de paiement et à la monnaie électronique, le secteur des actifs numériques ainsi que les intermédiaires en financement participatif.
1. Les risques BC-FT attachés au secteur financier
Concernant la banque qu’elle soit privée ou de détail, ou encore les établissements de paiement, les services fournis rattachés à des comptes de dépôt ou de paiement présentent immanquablement des risques de BC-FT ou de financement du terrorisme.
En effet, l’origine des fonds qui alimente parfois ces comptes en vue de réaliser des opérations par carte ou encore par virement peut être illicite et provenir de multiples infractions financières en vue d’en blanchir les bénéfices (trafics en tout genre ; escroqueries ; corruption…), notamment lorsqu’il s’agit d’espèces.
Les modes opératoires sont nombreux, qu’il s’agisse d’une clientèle de particuliers ou de personnes morales.
De façon générale, les comptes bancaires sont exposés à de nombreuses infractions sous-jacentes comme en fait état l’ACPR : fraudes fiscales ; détournements d’aides fournies par l’Etat ; fraudes aux prestations sociales…
Concernant le financement du terrorisme, les fonds transitant sur les comptes bancaires peuvent être à destination d’entreprises terroristes que cela soit sur le territoire national ou directement vers des zones de conflit. L’ACPR pointe ainsi directement du doigt les transactions qui sont réalisées par des proches de personnes étant sous liste de gel des avoirs comme mesure de contournement de cette sanction.
Ces différentes menaces sont d’autant plus grandes que les volumes transitant sur les différents comptes bancaires sont colossaux.
On retrouve aussi parmi les menaces, l’usurpation d’identité qui se produit dès l’entrée en relation d’affaires issue d’un vol d’identité préalable (notamment via le phishing). Ces usurpations peuvent aussi bien concerner les personnes physiques que les personnes morales.
Malgré l’utilisation d’outils intelligents de reconnaissance faciale permettant de s’assurer de l’identité de l’individu ouvrant un compte à distance, la création de comptes « mule », c’est à dire de comptes ouverts par des personnes qui sont soudoyées pour donner leurs accès une fois le compte validé, restent difficilement détectable.
Les comptes « mule » sont souvent utilisés comme des comptes de passage pour brouiller l’origine et la destination des fonds (notamment grâce au fractionnement des sommes qui seront déposées sur plusieurs comptes « mules »), et permettent de réaliser facilement des opérations de blanchiment d’argent.
De plus, l’ACPR à l’instar du COLB précise que ces menaces et vulnérabilités se présentent davantage depuis les prestataires de services de paiement (PSP) que les établissements de crédit notamment de par la présence d’agents ou de distributeurs dans le cas d’établissements de monnaie électronique.
En effet, les agents et distributeurs de PSP ne sont pas directement assujettis aux obligations LCB-FT, quand bien même ils peuvent faire l’objet de contrôle de la part des autorités de tutelle (à condition que leurs activités entrent dans le périmètre géographique de ces dernières). Ainsi, si le contrôle interne permanent mené par l’établissement mandant sur ses agents ou distributeurs est insuffisant, les risques de BC-FT augmentent. C’est également le cas pour les autres assujettis européens exerçant en libre prestation de services sur le sol national dont le contrôle ne relève pas de l’ACPR mais de l’autorité de tutelle dans lequel l’établissement a obtenu son agrément.
L’ASR fait ainsi état d’une menace de BC-FT élevée concernant le secteur financier.
A ce titre, l’ACPR rappelle dans son analyse le respect des obligations LCB-FT comme mesure d’atténuation principale (dispositif LCB-FT complet et robuste), l’envoi de COSI (Communication systématique) à TRACFIN dès que des opérations de versements et retraits en espèces, effectuées sur un compte de dépôt ou de paiement, dépassent 10 000 euros sur un mois civil ou encore le respect du règlement 2015/847 sur les informations accompagnant les transferts de fonds.
En pratique, le respect des obligations LCB-FT nécessite :
- La mise en place de plusieurs outils et procédures, que sont notamment la classification des risques permettant d’évaluer le niveau de risque présenté par une relation d’affaires dès l’entrée en relation d’affaires et durant toute la durée de celle-ci.
- L’adaptation de la connaissance client en fonction du niveau de risque attribué à la relation d’affaires se traduisant par la collecte d’informations et de tout document probant, que cela soit sur l’activité professionnelle du client ; l’origine des fonds ; l’utilisation du compte ; la destination attendue des fonds…
- L’utilisation d’outils de détection concernant les personnes politiquement exposées et celles sous sanction, ainsi qu’une surveillance des flux adaptées à la clientèle rencontrée. On notera que parmi les personnes physiques, plusieurs populations plus ou moins risquées sont à distinguer. A titre d’exemple, dans le cadre de la sanction ACPR prononcée à l’encontre de l’établissement Nickel courant 2023, il avait été jugé par l’autorité que la clientèle rencontrée par l’établissement était davantage sujette à des opérations de blanchiment de fraude sociale. L’ACPR avait ainsi estimé que l’absence de ce critère de risque par l’établissement relevait d’une mauvaise identification des risques de blanchiment capitaux présentés par la clientèle, et n’avait pas fait l’objet d’une surveillance attentive dans le cadre du monitoring des flux financiers.
Pour rappel, chaque assujetti se doit dans le cadre de son dispositif LCB-FT, effectuer une analyse éclairée des risques de BC-FT qu’il est susceptible de rencontrer dans le cadre de ses entrées en relation d’affaires et lorsque les clients effectuent des opérations. Cette analyse doit permettre de détecter toute incohérence pouvant légitimement mener à un examen renforcé voire une déclaration de soupçon auprès de TRACFIN.
Enfin, l’ACPR incite à une surveillance particulière des virements vers les populations carcérales, des retraits d’espèces inhabituels, des retraits de fonds dans des zones sensibles à l’étranger (notamment zones limitrophes de zones de conflit), ou encore, des achats massifs de cartes prépayées.
La vulnérabilité résiduelle du secteur est ainsi modérée.
2. Les risques BC-FT spécifiques à la monnaie électronique
Pour rappel, la monnaie électronique se définit comme « une valeur monétaire qui est stockée sous une forme électronique, y compris magnétique, représentant une créance sur l’émetteur, qui est émise contre la remise de fonds aux fins d’opérations de paiement et qui est acceptée par une personne physique ou morale autre que l’émetteur de monnaie électronique. »
Elle peut être stockée sur un support dit électronique (la puce d’un téléphone mobile) ou à distance sur un serveur (un compte en ligne). Ce support électronique stocke directement la somme d’argent néanmoins, il n’est pas lié à un compte bancaire. Il peut s’agir par exemple d’un porte-monnaie électronique, d’une carte cadeau d’une enseigne commerciale, d’une carte bancaire prépayée…
Dans certains cas, les instruments peuvent être rechargeables en espèces ou par coupons prépayés, qui sont dans la quasi-totalité des cas achetés en espèces, ou encore par message SMS via un opérateur téléphonique. C’est le cas des cartes prépayées, qui comme l’indique l’ACPR peuvent être utilisées comme des moyens de paiement, recharger des cartes de paiement ou encore retirer des espèces.
Néanmoins, la monnaie électronique bien que davantage encadrée ces dernières années reste encore exposée à des risques importants de BC-FT. Les cartes prépayées constituent un des supports les plus risqués aujourd’hui du fait de la méconnaissance de l’origine des fonds et de l’identité de l’individu lorsque ces dernières sont rechargées à partir d’espèces. Cela en fait donc un instrument attractif pour les criminels et organisations terroristes, car il favorise fortement l’anonymat.
L’ACPR fait ainsi état de plusieurs menaces qui peuvent également se produire au sein des différents PSP existants :
- Comme évoqué précédemment, des escroqueries avec usurpation d’identité sont permises par la possibilité d’ouvrir des comptes à distance auprès de prestataires disposant de procédures d’entrée en relation défaillantes (non détection de cas de phishing, vol d’identité sur le darknet…)
- Les porte-monnaie électroniques peuvent être utilisés pour alimenter des comptes sur des sites de jeux en ligne ou des sites de trading préalablement créés par des organisations criminelles dans des territoires faiblement réglementés : les cartes prépayées sont confiées à des « mules » qui effectueront des paris à perte, transformant ainsi les espèces initiales en chiffre d’affaires…
- les références du coupon (flash code ou code PIN) de rechargement de monnaie électronique peuvent être transmises, par sms ou par mail par exemple à une personne située dans une zone de conflit, lui permettant ainsi d’utiliser les fonds pour effectuer des paiements, des virements, des retraits d’espèces et des opérations de transmission de fonds
L’ASR fait ainsi état d’une menace de BC-FT élevée concernant la monnaie électronique.
De plus, quand bien même la monnaie électronique reste encore peu utilisée en France, elle s’achète très facilement lorsque les distributeurs de monnaie électronique sont de simples buralistes qui détiennent un mandat pour émettre de la monnaie électronique au nom et pour le compte d’un établissement assujetti.
Cependant, les limites à l’utilisation des cartes prépayées sont de plus en plus nombreuses, et au-delà du plafond de 150 euros pour lequel une identification et vérification d’identité est nécessaire, la réglementation est venue interdire leur utilisation lorsqu’elles sont émises uniquement en vue de l’acquisition de biens ou services de consommation, dont l’achat d’actifs numériques.
Cela se justifie notamment par le fait que certains montages conjuguent instruments de monnaie électronique et actifs numériques permettant alors de renforcer l’opacification de l’origine des fonds et du bénéficiaire effectif de l’opération.
Enfin, un nouveau décret a été publié le 3 février 2023, relatif à la vérification de l’identité de la clientèle pour certains produits et services à faible risque de blanchiment de capitaux et de financement du terrorisme. Ce décret permet notamment sous certaines conditions de différer la vérification d’identité lors de l’entrée en relation d’affaires pour les personnes physiques.
De surcroît, la mise en place d’un dispositif LCB-FT robuste est primordial, notamment en matière de contrôle interne et plus particulièrement au niveau du contrôle permanent de deuxième niveau, une surveillance accrue des distributeurs de monnaie électronique doit être opérée par les établissements de crédit ou de monnaie électronique. C’est d’ailleurs ce qu’indique l’ACPR dans l’ASR, en rappelant le respect des différents seuils existants quant à l’utilisation de la monnaie électronique ou la recharge des supports stockant ces unités.
La vulnérabilité résiduelle de la monnaie électronique reste cependant très élevée, traduisant un nombre important de contrôles auprès des assujettis par l’ACPR mais également de nombreuses sanctions citées dans l’ASR.
