Voilà un constat qui fait mal. L’Autorité bancaire européenne vient de publier un rapport soulignant l’inadéquation des dispositifs de lutte contre le blanchiment et le financement du terrorisme des établissements de paiement. Quelque 900 de tels dispositifs sont recensés dans l’Union européenne.

D’abord, les risques de LCB-FT sont mal connus et mal évalués par ces établissements, la formation dans ce domaine est souvent insuffisante, en particulier dans le cas où des agents (intermédiaires) sont utilisés. Ensuite, la surveillance des transactions est largement défaillante, voire inexistante. La détection et le reporting sur les transactions suspectes sont également très insuffisants, les établissements de paiement se reposent souvent sur le dispositif de leur banque au lieu d’installer leur propre système, comme requis par la règlementation européenne. De plus, les superviseurs ont constaté l’absence ou l’insuffisance de mise en œuvre des régimes de restrictions, mais aussi une «compréhension limitée» de ces obligations. Autrement dit, le filtrage des transactions n’était pas réalisé de façon systématique, voire pas du tout.

Contrôle interne insuffisant

Ensuite, les dispositifs de contrôle interne ne sont pas suffisants, notamment sur la gouvernance, en particulier chez les établissements de paiement arrivant sur le marché et cherchant à croître rapidement et à réaliser des profits. L’absence d’un système à trois lignes de défense et la rotation élevée des effectifs ont aussi affaibli la bonne gouvernance des établissements. Un superviseur a même souligné la participation active des actionnaires à la gestion de l’entreprise, ce qui a pu interférer avec la bonne gestion des risques de blanchiment et de financement du terrorisme.

De même, les risques de financement du terrorisme sont mal compris et mal gérés, alors qu’ils sont considérés comme significatifs, surtout lorsque le service intègre l’utilisation des espèces et touche de larges zones géographiques.

Particulièrement pointée du doigt, l’entrée en relation à distance sans précautions adéquates est source de vulnérabilité car elle empêche l’identification des consommateurs à haut risques, y compris des personnes politiquement exposées.

L’EBA a rédigé ce rapport à partir d’une enquête auprès des superviseurs nationaux et des données de la base EuReCA, mise en place en janvier 2022, qui comprend 62 rapports sur des faiblesses constatées par les autorités nationales auprès de 19 établissements de paiement. L’un de ces établissements s’est d’ailleurs vu retirer son agrément pour défaut de conformité LCB-FT.

Le cas Keplerk

En France, c’est Keplerk, devenu Bykep, un service d’achat-vente de bitcoin en bureau de tabac qui a été radié en septembre 2022 sur décision de l’ACPR et de l’AMF. Les causes ? Outre une liberté excessive dans l’utilisation des fonds des clients, l’ACPR et l’AMF ont mis en évidence des défaillances sérieuses dans la gestion des dossiers de connaissance clients, dans l’examen des opérations risquées et dans la mise en œuvre du gel des avoirs. Soit exactement les mêmes reproches que ceux exposés dans le rapport de l’EBA. En outre, Nickel a également été sanctionné d’un million d’euros d’amende par l’ACPR en avril dernier pour ne pas avoir été assez rapide dans sa mise en conformité LCB-FT alors qu’il était détenu depuis plusieurs années par BNP Paribas. Toutefois, les autorités françaises sont considérées comme plutôt strictes sur les déficiences des dispositifs anti-blanchiment, qu’elles soient le fait d’établissements de crédit ou de paiement. D’autres pays sont moins rigoureux sur le sujet.

Le rapport de l’EBA cible certains pays ayant des procédures d’agrément insuffisamment robustes qui laissent exercer des établissements de paiement malgré des dispositifs de contrôle interne inadéquats. Ainsi, certains collectent bien les documents nécessaires à l’évaluation des systèmes LCB-FT, mais sans les questionner réellement ou alors sans impliquer des spécialistes du blanchiment dans l’évaluation, voire en ne prenant pas en compte leur opinion. De plus, tous les superviseurs nationaux n’ont pas de méthode efficace pour évaluer les risques de LCB-FT liés à une activité, ni les faiblesses des dispositifs mis en œuvre. Toutes les autorités nationales ne vérifient pas les capacités professionnelles et l’honorabilité des représentants des établissements demandant un agrément, ni celles de la personne en charge de la LCB-FT. Enfin, la capacité à «passeporter» un agrément d’un Etat-membre à l’autre, conformément à la directive sur les services de paiement, est également considérée comme un facteur de risque dans la mesure où la coordination entre le superviseur du pays d’origine et celui du pays d’accueil reste complexe.

En conclusion, l’EBA avertit qu’elle a formulé des propositions pour la révision de la DSP2 et qu’elle examinera plus étroitement certains sujets, comme celui des Iban virtuels et des pratiques en marque blanche.