Avec l’émergence d’un nombre croissant d’acteurs NBFI (Non-Bank Financial Institutions) qui souhaitent entrer en relation avec des institutions financières déjà bien établies, leurs équipes Conformité doivent repenser leurs modèles de risques et opérationnels pour garantir des processus de KYC fiables à ces nouvelles relations, et absorber une hausse du volume, du risque et des contraintes opérationnelles de leurs activités.
Dans sa recherche d’un cadre réglementaire pour les crypto actifs, l’Union Européenne a approuvé le règlementMiCA (Market in Crypto Assets) le 20 Avril 2023.
L’un des points majeurs de cette réglementation est la création du statut de CASP (Crypto Asset ServiceProvider), calqué sur le statut Français de PSAN (Prestataire de Service surActifs Numériques), obligeant tous les acteurs des cryptosactifs au sens large d’obtenir cet agrément sous 18 mois. (Cf. notre post du 29/11/2022 : Blockchain et Crypto actifs : Vers un cadre Européen sécurisant, ouvert à l’innovation mais encore peu représenté).
Ce statut impose désormais à ces contreparties de se soumettre à une obligation de KYC plus structurée qu’auparavant lors de leur entrée en relation avec des institutions financières.
A ce titre, l’AMF a adapté sa doctrine et modifié le livre VII du Règlement Général (via un nouvel article721-1-2) afin :
Cependant, si l’agrément CASP introduit par MiCA constitue une avancée majeure pour contribuer à sécuriser l’écosystème, la conduite d’un KYC auprès de ces entités dites NBFI présente des spécificités et facteurs de risques qui viennent s’ajouter aux enjeux (déjà nombreux) d’un processus classique effectué par les équipes de conformité.
A cet égard, l’actualité récente illustre ce besoin criant d’un processus KYC adapté et rigoureux pour sécuriser l’entrée en relation des établissements bancaires avec un CASP.
Dans ce premier article consacré à ce sujet (Partie 1), nous abordons quelques facteurs de risques spécifiques liés à l’onboarding de ces contreparties.
Contrairement aux acteurs qui opèrent des transactions centralisées classiques, les CASP/PSAN utilisent la blockchain dont le fonctionnement décentralisé implique des risques nouveaux et potentiellement plus importants.
Les solutions de cold wallets proposées par certains acteurs (Ex : Ledger, Trezor) impliquent que les clés privées de leurs clients sont stockées en dehors de la blockchain et de tout accès à internet. Bien que ce dernier point soit un avantage, si le système et le matériel mis à la disposition de leurs clients sont défectueux, ces derniers perdront l’intégralité de leurs clés et donc de leurs fonds.
No key, No coin.
Si cette caractéristique limite les risques d’attaque numérique sur les clés, elle a tendance à :
A contrario, les acteurs offrant des services de hot wallets (qui conservent les clés privées de leurs clients) devront démontrer comment leurs systèmes de stockage des clés sont sécurisés.
En effet, un hot wallet est un portefeuille de cryptomonnaie connecté à Internet. Il est donc exposé par nature au risque de hacking et peu également hériter des failles de sécurité des supports qu’il utilise (navigateur Internet, OS etc.).
Par exemple, un hot wallet utilisable sur mobile via le navigateur Safari serait par nature moins sécurisé qu’un autre accessible sur un PC via Chrome.
Ainsi, un des critères d’évaluation du risque présenté par un PSAN proposant un tel service sera le support utilisé pour sa solution de portefeuille. Les solutions de hot wallet disponibles sur mobiles (ou via un navigateur web), bien que pratiques, sont donc moins sécurisées que celles qui s’installent sur un PC (et a fortiori encore moins qu’un cold wallet) en fonction des technologies compatibles.
La nature des services proposés par cette modalité peut elle aussi être un facteur de risque.
Illustration : Bien que cette technologie soit fiable et répandue, l’émission/usage de QR code pour effectuer des paiements en crypto actif peut comporter des risques autour d’usages frauduleux ou détournés.
Dans le cadre d’un KYC, le prestataire de hot wallet devra alors expliquer les mesures techniques et les procédures qu’il met en œuvre pour sécuriser l’accès aux avoirs de ses clients.
Les CASP offrant ce type de service gèrent les clés privées avec lesquelles ils approuvent et signent les transactions de leurs clients et contrôlent ainsi leurs actifs numériques.
Le KYC d’entrée en relation avec ce type de CASP devra donc mettre en lumière ses modes de gestion des clés privées dont il porte la responsabilité et de signature des transactions.
Il devra notamment expliciter s’il a besoin d’une ou plusieurs signatures par transaction.
Bien que certains de ces CASP soient bien établis (ex : Coinbase, Binance), en cas de faillite, leurs clients détenteurs de custodial wallets ne pourront pas récupérer leurs fonds, ce qui représente un risque majeur.
Illustration : La faillite de FTX a fait perdre le contenu de leurs portefeuilles à près d’un million de clients pour plusieurs milliards de dollars.
En complément de l’analyse des autres facteurs de risque, la procédure de KYC de ce type de PSAN, la due diligence devra se focaliser sur les procédures et outils qu’il met en œuvre pour protéger les clés de ses clients, tant sur le plan du système d’information que des procédures internes mis en place (normes ISO, sécurité, etc.).
Les actifs numériques constituent une vaste famille de produits. Ceux-ci présentent des facteurs de risque hétérogènes et l’offre d’un CASP peut les combiner de manière parfois complexe.
A cette variété de risques sur les types d’actifs peut se combiner une variété géographique de leur distribution. Il conviendra ainsi dans le cadre du processus de KYC de connaitre la proportion des produits proposés et leur répartition par localisation. Il conviendra alors d’en apprécier le risque et de vérifier si ces pays ne sont pas sous embargo.
Illustration : Un PSAN proposant des produits basés sur des cryptomonnaies connues (Bitcoin, Ethereum) en zone Euro présentera moins de risques sur ce facteur qu’un PSAN intervenant sur des actifs moins répandus (Stellar, Polkadot etc.) dans des pays moins régulés voire sous embargo (le GAFI a dressé une liste de 23 pays à risque sur cette activité tels que la Syrie ou l’Ouganda par exemple).
Comme nous le voyons, la finance décentralisée fait émerger un nombre croissant de CASP (Crypto Asset Service Providers) dont l’onboarding présente des facteurs de risques spécifiques, parfois très techniques.
Dans la Partie 2 de cet article nous évoquons à la fois des facteurs de risque supplémentaires encore non-abordés :
... mais aussi les enjeux complexes qu’ils posent aux équipes de conformité des banques dont les obligations ne cessent de croitre sous la pression des autorités prudentielles.