Retour au Blog
21/3/2024

Les enjeux de l’AML KYC sur les PSAN (Prestataires de Services sur Actifs Numériques) pour les institutions financières - Partie 2

Ne nous contentons pas de chercher les clés de notre stratégie sous l’éclairage du lampadaire Data

Partie 2 - Des facteurs de risques supplémentaires et plus de pression sur les équipes conformité

Comme abordé lors de la première partie de notre article, l’émergence d’un nombre croissant de PSAN (Prestataires de Services sur Actifs Numériques) fait émerger des facteurs de risque nouveaux à intégrer par les équipes conformité des banques dans leur process de KYC :

  • Facteur 1 : la proposition de solutions de cold et hot wallets
  • Facteur 2 : Les CASP qui offrent des services de portefeuille Custodial
  • Facteur 3 : Les types et natures d’actifs numériques proposés

Dans cette seconde partie, nous abordons à la fois deux autres facteurs de risques à prendre en compte et la mise sous pression des Directions de la conformité, déjà confrontés à des enjeux importants.

Des facteurs de risque supplémentaires

Outre les problématiques de services de call/hot wallet, de custodial et le type d’actifs numériques proposés par les PSAN, la conduite de leur KYC doit prendre en compte des facteurs de risques supplémentaires.

Facteur 4 : La délicate question de l’anonymat

Certains acteurs utilisent et/ou proposent des actifs dits AEC (Anonymity-Enhanced Crypto Currency), ou Privacy coins qui favorisent un niveau très avancé d’anonymat des détenteurs et de leurs transactions. Un des exemples les plus connu est la plateforme Monero.

Cette opacité confère par nature un risque supplémentaire et spécifique à la finance décentralisée car les blockchains utilisées dans ce cas sont intraçables.

La procédure de KYC devra également vérifier si le PSAN a ou non recours à des services de type :

  • Mixeurs (mixers) : ce sont des outils/technologies qui cassent l’historique d’une transaction (sur bitcoin par exemple). Exemples : Sinbad, UniJoin.

Ou :

  • Mélangeurs (tumblers) : ce sont des outils/solutions qui mélangent les actifs numériques de plusieurs utilisateurs. Exemples : Helix, Coin Ninja.

En effet, comme rappelé par l’ACPR en Novembre 2022, ces technologies permettent de mélanger plusieurs flux d’un même type d’actif traçable (ex : le bitcoin) issus de plusieurs adresses publiques afin de les renvoyer à d’autres adresses publiques.

Ces systèmes provoquent ainsi une rupture de la chaine de traçabilité de ces actifs numériques dans l’historique de détention des différents portefeuilles, dont l’intégrité s’en trouve alors faussée.

Illustration : L’intégrité des informations relatives à l’initiateur d’un actif et à son bénéficiaire pourraient être atteinte, en contradiction avec la Travel rule pourtant transposée par MiCA.

Par définition, ces acteurs permettent des échanges peer-to-peer décentralisés (ex : Uniswap) ou non (ex : KuCoin) sans établir aucun KYC auprès de leurs clients (donc en dehors du champ de MiCA).

Comme pour d’autres acteurs, le KYC devra également vérifier comment le PSAN conserve les actifs de ses clients, si chaque transaction est rattachée ou non à un client donné (Cf. usage de comptes omnibus) et s’il tient des registres hors blockchain ou non.

Par ailleurs, le seuil de 1000 EUR à partir duquel s’applique les règles MiCA sur des portefeuilles auto-hébergés ne garantit pas plus leur fiabilité sur ce type d’actifs.

Enfin, les règles de MiCA ne portent pas sur les transactions en peer-to-peer effectuées sans prestataire ou entre prestataires pour compte propre.

Illustration : Un vendeur publie son offre et sa préférence de paiement (virement bancaire, paiement par carte, etc.). Puis un acheteur accepte l’offre, exécute le paiement et reçoit le crypto actif directement dans son wallet, le tout sans intermédiaire.

Ainsi, bien que les plateformes de peer-to-peer (Ex : Western Union, Bitget etc.) utilisent des plateformes d’entiercement pour sécuriser les transactions, un risque de fraude (non-couvert par MiCA donc) demeure, notamment du fait de la non-réversibilité des transactions.

Le KYC diligenté sur ce type de PSAN, de facto noté « High risk » devra donc être particulièrement complet sur l’ensemble des facteurs de risque présentés.  

Facteur 5 : La volatilité/viabilité des acteurs

La finance décentralisée est relativement jeune et connait un essor croissant où se multiplient les initiatives.  

Le lancement sur le marché de petits protocoles aux origines et projets parfois peu définis peuvent notamment présenter un risque important que le processus de KYC devra savoir mesurer et identifier, obligeant le KYC officer à une certaine expertise et une veille de marché.

Ces fintechs n’ont par ailleurs pas toujours la taille suffisante pour mettre en place des procédures de lutte contre le blanchiment et la fraude ou des moyens de protection informatiques suffisants (notamment des outils d’analyse de transactions), y compris pour ceux détenteur d’un agrément.

Le caractère parfois éphémère de certaines structures et de leurs bénéficiaires effectifs doit donc faire l’objet d’analyses plus approfondies que celles réservées à des institutions financières régulées, notées, cotées et aux renoms parfois multiséculaires.

Quelques exemples : la faillite de FTX et les déboires réglementaires récents de Binance démontrent la volatilité de ce marché.

On pourra citer également la plateforme de prêt de cryptomonnaies Celsius, qui après s’être placé sous le régime des faillites américain (chapitre 11) recherche des solutions pour rembourser près de 2 millions de clients.

La confrontation aux enjeux traditionnels de gestion du KYC

L’analyse de ces facteurs de risques spécifiques à l’activité des contreparties PSAN examinés lors de leur KYC s’ajoute à tous les enjeux d’ores et déjà rencontrés par les équipes Conformité au quotidien, tout en leur donnant un relief plus important.

En voici quelques-uns :

  • Facteur géographique : L’origine et l’étendue géographique du PSAN et de son activité est un facteur important (location UE/équivalent ou non-UE, pays sous-embargo, conformité fiscale etc.).
  • Le contrôle des identités et rôles des personnes physiques : Il conviendra de vérifier les identités des représentants légaux du PSAN, leur probité (worldcheck) et leur éventuel statut PEP (Politically Exposed Person) dans un contexte de fraude latente.
  • Le contrôle des bénéficiaires effectifs: Cette opération consiste à vérifier l’identité des bénéficiaires effectifs de l’entité légale objet du KYC. A travers une structure de contrôle complexe, voulu ou non, il est parfois difficile d’identifier rapidement l’identité de bénéficiaires effectifs indirects (plus ou moins bien déclarés).

Jusqu’à présent les équipes de conformité devaient également déjà subir des contraintes multiples :

  • Du régulateur, qui les audits en permanence face au respect de la Directive LCB-FT ;
  • Des équipes commerciales, qui souhaitent démarrer au plus vite leur relation d’affaires avec les contreparties ;
  • Des enjeux opérationnels: le caractère manuel de nombreuses tâches requiert le recrutement, le management et l’organisation d’équipe déjà en charge d’un volume croissant de dossier ;
  • Des enjeux financiers : le KYC n’étant pas un levier d’affaire spécifique, le coût de la conformité est souvent jugé trop élevé et/ou comme un frein commercial ;
  • Des enjeux d’évolution : La mise en place d’outils automatisés (utilisant d’ailleurs eux-mêmes souvent des protocole blockchains) pour juguler les contraintes ci-dessus requiert, en miroir, du budget, de la compétence, et du temps que les Ops doivent passer en mode projet plutôt qu’en production.

Par ailleurs, ces nouveaux outils digitaux nécessitent une supervision accrue face à la croissance des attaques informatiques et de fraudes à l’identité numérique (phishing, ingénierie sociale etc.) et des contraintes techniques limitant ainsi les gains initialement espérés.

Or, pour une Direction de la conformité bancaire, le traitement de l’onboarding des contreparties via un processus de KYC ne constitue qu’un enjeu parmi d’autres à traiter, a fortiori pour les PSAN.

Il devient donc tentant pour elles d’arbitrer leurs budgets et ressources, au risque de négliger ces obligations.  

Pourtant, selon Chainanalysis, plus de 22 milliards de dollars de gains illicites ont été générés par des cryptoactifs en 2023 dans le monde, dans un contexte d’accroissement des risques géopolitiques, économiques et où les organisations criminelles n’ont jamais été aussi puissantes.

Conclusion

Le développement de la finance décentralisée fait émerger un nombre croissant de PSAN qui, tant dans leurs affaires qu’à travers des partenariats d’Open Banking, souhaitent entrer en relation avec des institutions financières déjà bien établies.

Les équipes Conformité de ces dernières doivent donc repenser leurs modèles pour garantir des processus de KYC fiables à ces nouvelles relations et absorber une hausse du volume, du risque et des contraintes opérationnelles de leurs activités.

Ainsi, bien que l’agrément exigé auprès des PSAN par le règlement MiCA permette d’offrir un cadre réglementaire, ces acteurs présentent bien des risques et contraintes accrues pour les équipes de Conformité déjà sous pression des autorités sur le reste de leurs attributions.

Sébastien Pasquet

Soyez toujours au courant

Souscrivez à notre liste pour bénéficier de perspectives sur votre marché.

Merci ! Votre demande a été reçue !
Oops! Something went wrong while submitting the form.
En soumettant ce formulaire, vous acceptez notre politique de confidentialité.
Liens rapides
Nos offres
Vos métiers
Nos réalisations
Contactez-nous
Information sur le site
Coordonnées de l'entreprise
Actualités
Juridique & Conformité
Conditions générales d'utilisation
Politique de confidentialité