Nous constatons malheureusement que la conformité est souvent reléguée au second plan, en particulier par les start-ups qui peuvent connaître un développement extrêmement rapide. Mais mettre en place des systèmes de contrôle après coup est rarement une bonne idée, car les régulateurs sont de plus en plus intransigeants avec les entreprises qui font fi des risques ou mettent leurs clients en péril.

Le seul moyen d’éviter les sanctions et amendes est de mettre en place des contrôles KYC robustes dès le départ.

Les néo-banques et autres banques en ligne ont connu les bons et les mauvais côtés d’une croissance effrénée. La vitesse à laquelle elles peuvent procéder à l’onboarding de nouveaux clients (souvent en quelques minutes, malgré l’absence d’agences physiques) a totalement éclipsé les vétérans du secteur.

Elle a également changé les attentes des clients. Le mobile, les chatbots, l’aide en ligne et une disponibilité 24 h/24 ont « ringardisé » la banque à l’ancienne, qui exigeait des professionnels qu’ils respectent les horaires d’ouverture et attendent souvent des semaines avant d’ouvrir un compte.

Un secteur sous pression

« Les réglementations et la lutte contre le blanchiment d’argent sont sous le feu des projecteurs dans de nombreuses régions du monde », a déclaré Abi Hollinger, experte en vigilance raisonnable et LCB-FT au sein du cabinet d’avocats Miller & Chevalier. « Tout indique que cette tendance est là pour durer. Il est également probable que les poursuites pour blanchiment d’argent soient utilisées par les États-Unis à des fins politiques, notamment dans le contexte de la guerre en Ukraine et des sanctions imposées contre la Russie et la Biélorussie. »

Le réseau américain de lutte contre les crimes financiers (FinCEN) reste un régulateur mondial influent, notamment via la mise en œuvre de la loi sur la transparence des entreprises (Corporate Transparency Act) et de la loi de 2020 sur le blanchiment d’argent (Anti-Money Laundering Act). Les entreprises de cryptomonnaies sont également susceptibles d’être surveillées de près et soumises à une pression accrue concernant leurs processus KYC, a déclaré Hollinger.

Il en va de même en Europe, où les récents amendements apportés à la 5e directive anti-blanchiment (LCB-FT) renforcent les contrôles sur les sources de financement, notamment les cartes prépayées et les cryptomonnaies. Les précédentes réglementations avaient déjà introduit le concept de bénéficiaires ultimes, qui enregistre de manière centralisée le nom des véritables propriétaires des entités juridiques.

La France adopte notamment une réglementation stricte sur la criminalité financière qui obligeront les entreprises à améliorer leurs processus de vérification d’identité sous peine de poursuites.

Un paysage réglementaire qui se dessine

En France, le paysage financier a été profondément remodelé par l’émergence des fintechs. Cependant, cet essor de l’innovation financière s’accompagne d’une nécessité impérieuse de contrôle et de régulation afin d’assurer la stabilité du secteur et la protection des consommateurs.

L’autorité principale chargée de superviser et de réglementer les activités des fintechs est l’ACPR (Autorité de Contrôle Prudentiel et de Résolution), une entité rattachée à la Banque de France. L’ACPR joue un rôle crucial dans la surveillance des activités financières et s’emploie à garantir leur conformité aux normes et réglementations en vigueur. Elle établit des cadres réglementaires spécifiques pour les différentes catégories de fintechs, telles que les plateformes de paiement, les néobanques et les entreprises de gestion de patrimoine en ligne. Les fintechs qui souhaitent opérer en tant qu’établissements régulés en France doivent obtenir un agrément afin d’exercer ses activités en toute légalité. Parmi les exigences existantes pour obtenir cet agrément de l’ACPR, voici 2 exemples :

• Gestion de risques : les fintechs doivent avoir des politiques et des procédures de gestion des risques en place pour identifier, évaluer et atténuer les risques liés à leurs activités, comme le contrôle des personnes politiquement exposées par exemple.
• Conformité réglementaire : les fintechs doivent se conformer aux réglementations financières en vigueur concernant notamment la lutte contre le blanchiment d’argent et le financement du terrorisme.

Une des réglementations clés qui a un impact sur les fintechs en France est la Directive sur les Services de Paiement 2 (DSP2), émanant de la réglementation européenne. Cette directive vise à renforcer la sécurité des transactions financières électroniques, en exigeant notamment l’authentification forte du client lors des paiements en ligne, tout en favorisant la concurrence et l’innovation dans le secteur des paiements.

En parallèle, d’autres organismes de régulation jouent un rôle complémentaire dans le contrôle des fintechs. L’Autorité des Marchés Financiers (AMF), par exemple, est responsable de la régulation des activités liées aux investissements et aux marchés financiers. Elle veille à ce que les offres de produits financiers proposées par les fintechs respectent les normes de transparence et de protection des investisseurs.

Toutefois, le contrôle des fintechs en France ne vise pas seulement à imposer des réglementations restrictives, mais aussi à promouvoir l’innovation dans le secteur financier. Dans cette optique, les autorités françaises ont mis en place des « sandboxes » réglementaires, des espaces où les fintechs peuvent tester leurs solutions innovantes dans un environnement contrôlé et bénéficier d’une supervision souple.

Les nouvelles procédures de contrôle contre la criminalité financière

Le processus KYC est l’une des obligations réglementaires les plus importantes qu’une fintech doit respecter. Les principales étapes consistent à établir et à valider l’identité du client, à comprendre la nature de ses activités, et l’origine des fonds. Grâce à ces informations, l’entreprise peut alors déterminer les risques de blanchiment d’argent et de financement du terrorisme.

Dans le cas des banques traditionnelles, ce processus était pris en charge par les gestionnaires de comptes et impliquait que le client remette diverses pièces d’identité et autres justificatifs, généralement en personne.

Mais les problèmes de données KYC figurent en tête de liste des défaillances identifiées par les régulateurs, ainsi que la gestion manuelle du processus de vigilance raisonnable pour les clients à haut risque. Ces processus lents et souvent sources d’erreur contrarient largement les efforts déployés pour protéger les données et assurer la sécurité des clients.

Les régulateurs ont bien insisté sur le fait que la moindre insuffisance lors de l’étape de l’onboarding compromet tout ce qui suit. Certaines entreprises comptaient jusqu’à présent sur leur capacité à surveiller les transactions pour identifier toute alerte ou client à haut risque, mais les autorités en ont décidé autrement. Un processus de vigilance raisonnable inadéquat se traduit aussi par un système de surveillance des transactions moins efficaces. Et parmi les autres problèmes que rencontre le secteur, on peut citer des données trop cloisonnées et les autres processus manuels, qui datent de l’ère technologique pré-cloud.

Les processus de vérification d’identité à distance ont toujours été faciles à contourner avec de faux documents — cela oblige donc les entreprises à mettre en place des technologies qui offrent d’autres méthodes d’authentification comme les puces NFC et/ou la détection d’hologramme ou la vérification biométrique (reconnaissance faciale ou détection du vivant par exemple) lors de leurs processus d’onboarding.

Le futur du processus KYC dans le secteur financier

Que vous soyez une banque historique ou une fintech, vous ne pouvez plus compter sur de simples feuilles de calcul pour surveiller vos clients à des fins de LCB-FT et de KYC.

Ces dix dernières années, les technologies financières ont totalement changé la donne. La vérification d’identité est devenue une opération digitale qui peut être réalisée en quelques minutes, via un smartphone, à l’aide d’outils d’intelligence artificielle et de machine learning.

Les entreprises de secteurs réglementés qui prennent au sérieux la conformité doivent être conscientes du risque que peuvent représenter certains clients. De nombreuses institutions financières ont reçu des amendes conséquentes pour ne pas avoir régulièrement contrôlé leurs clients à risque. Historiquement, les clients à risque élevé étaient contrôlés tous les ans, les clients à risque moyen tous les trois ans et les clients à faible risque tous les cinq ans.

Les institutions financières sont soumises à une telle pression pour renforcer leurs contrôles qu’elles abandonnent progressivement cet examen périodique pour adopter une approche KYC plus dynamique.

L’automatisation de certains aspects du processus, tels que le profil des clients ou l’évaluation des risques, permet d’alléger la charge des systèmes existants et d’identifier les problèmes plus rapidement, réduisant ainsi les fenêtres d’opportunité pour les criminels cherchant à blanchir des fonds.

Les Fintechs qui cherchent à simplifier leur processus de vérification d’identité peuvent désormais mettre en place un logiciel entièrement dématérialisé et conforme aux normes LCB-FT, soutenu par un réseau mondial de spécialistes de l’identité et de la fraude, afin de contrôler leurs utilisateurs. Ce processus d’onboarding digital peut s’appliquer à un grand nombre de scénarios, de l’ouverture d’un compte bancaire à un accord de prêt en passant par l’intégration de gamers.

Combiné au contrôle et à la surveillance LCB-FT, il permet de réduire les délais de mise en œuvre et d’améliorer l’efficacité du processus d’onboarding.

Quelles solutions KYC pour les fintechs ?

La vérification d’identité automatisée permet de répondre aux obligations en matière de connaissance client (KYC) et de collecte de données, tout en éliminant le risque d’erreur humaine.

Pour répondre à un environnement en rapide mutation les Fintechs doivent offrir des produits et services innovants qui respectent également les dernières directives en matière de KYC « Know Your Customer ».

Les réglementations ont pendant longtemps été conçues pour répondre aux défis auxquels étaient confrontées les grandes institutions financières traditionnelles. Les Fintechs, bien que plus modestes, font cependant face aux mêmes risques de fraude et d’attaque criminelle, raison pour laquelle elles sont de plus en plus soumises aux mêmes contraintes réglementaires.

En 2016, l’AMF (Autorité des marchés financiers) a réuni les acteurs de la FinTech dans le but de faire évoluer la réglementation en l’adaptant au développement de ce secteur prometteur.

Aujourd’hui, les fintechs proposant des services tels que le paiement digital, le financement particulier, l’agrégation des comptes courants etc. sont réglementés de la même manière que les établissements financiers classiques.

Quel que soit ce que nous réserve l’avenir, les exigences en termes de connaissance client « KYC » et de lutte contre le blanchiment d’argent et financement du terrorisme (LCB-FT) demeureront incontournables. En Europe, cela inclut notamment la cinquième directive LCB-FT  et le règlement eIDAS.

L’intelligence artificielle et le processus KYC

L’IA est entraînée à partir d’ensembles de données à penser et à tirer des conclusions comme un humain; ce processus est appelé « machine learning » ou apprentissage automatique. Il s’applique donc très naturellement aux processus de vérification d’identité.

L’IA permet une meilleure précision et un processus d’onboarding client plus rapide. Elle peut être utilisée dans de nombreux domaines tels que la vérification d’identité automatisée, la reconnaissance biométrique et le contrôle des transactions. Bien que les réglementations LCB-FT ne préconisent aucune technologie en particulier, de nombreux régulateurs ont confirmé que l’intelligence artificielle et le machine learning étaient acceptées.

Les solutions de KYC permettent aux Fintechs de réduire les risques de non-conformité à quasiment chaque étape de leur plan de développement. Si elle est bien réalisée, la vérification d’identité automatisée permet un onboarding client plus rapide et plus précis, avec à la clé une meilleure expérience client et davantage de conversions.

Les défis de l’intelligence artificielle.

Comme toute révolution technologique, l’IA et le machine learning présentent un certain nombre de défis. Pour minimiser leur impact, il est important de les connaître. Se faire accompagner par un partenaire technologique reconnu est également une bonne solution.

Le premier défi concerne l’utilisation des techniques d’intelligence artificielle et des algorithmes de machine learning en général.

Une mauvaise préparation ou qualité des données

L’IA et les algorithmes machine learning ont besoin de données pour être entraînés. L’accès à des données historiques ou des données d’entraînement est nécessaire, et les résultats doivent être contrôlés. La qualité tout comme la quantité des données sont importantes. Ce problème se pose surtout au début de l’utilisation d’un nouveau système ou d’un nouvel algorithme, les données étant peu nombreuses. La situation s’améliore au fil du temps, à mesure que le volume de données disponibles augmente.

Les biais algorithmiques

L’entraînement a besoin d’être étroitement contrôlé pour éviter tout biais de l’IA, ce qui nuirait aux résultats. Les biais algorithmiques interviennent lorsqu’une intelligence artificielle mal entraînée reproduit les biais humains. Ils sont imputables aux personnes qui ont entraîné l’IA ou à de mauvaises données. La reconnaissance faciale dans le cadre du processus KYC est particulièrement touchée par ce phénomène.

De tels biais sont souvent non intentionnels, et par conséquent difficiles à identifier. Parmi les méthodes permettant d’éviter ces biais, on peut citer la préparation de jeux de données réellement représentatifs, une analyse rationnelle des résultats et un examen des résultats de l’IA en regard des données réelles.

L’intervention humaine reste nécessaire

L’intelligence artificielle n’est pas la réponse à tout. Le facteur humain reste nécessaire à la fois lors de la phase d’entraînement et lors de son utilisation en direct. Lors de l’entraînement, l’intervention humaine aide le système de machine learning à identifier des résultats en échec, tels que des non-correspondances ou des cas de fraude. Il peut s’agir de vrais négatifs ou de faux positifs, et les algorithmes doivent apprendre à les distinguer. Par ailleurs, les normes KYC et LCB-FT évoluent constamment pour répondre à de nouveaux défis et techniques de fraude ; par exemple, le référentiel PVID certifié par l’ANSSI, propose un parcours intégrant la biométrie, et tous les acteurs soumis aux réglementations de l’ACPR, comme les institutions financières, devront être en mesure d’inclure un tel parcours. Les algorithmes de machine learning doivent donc être régulièrement modifiés et réentraînés.

L’intelligence artificielle est largement automatisée lors de sa mise en place, et un contrôle humain reste donc nécessaire.

Pour respecter les normes de sécurité et la réglementation en vigueur, les entreprises ayant adopté l’intelligence artificielle doivent pouvoir intervenir en cas de problème. Dans le cas de la vérification d’identité, cela correspond au cas où l’IA n’arriverait pas à valider une identité. Lorsque cela se produit, ces cas doivent être signalés pour faire l’objet d’une vérification par un agent.

Gestion des risques de l’intelligence artificielle et du machine learning

Toute nouvelle méthode ou nouveau processus génère des risques spécifiques, et l’intelligence artificielle et le machine learning ne font pas exception – surtout dans le cadre des services financiers. Ces risques peuvent s’appliquer à tous les domaines, et cette inconnue fait justement partie de la difficulté.

La Financial Conduct Authority (FCA), instance de régulation du secteur financier du Royaume-Uni, a réalisé une étude en 2019 auprès d’environ 300 institutions financières. Celle-ci a révélé plusieurs types de risques, mais a également souligné que les organisations les connaissaient déjà très bien.

D’après la FCA, plutôt que d’introduire de nouveaux risques, le machine learning accroît des risques déjà existants – qui pourraient être gérés grâce à une formation adaptée du personnel et des modèles de validation des données.

Parmi les types de risques identifiés, il y a :

• Une formation insuffisante du personnel à l’utilisation des systèmes ;
• Des risques introduits par la complexité de l’IA, notamment les problèmes de validation et de gouvernance des systèmes ;
• Des problèmes de qualité des données qui génèrent des résultats inexacts.

L’IA dans la FinTech et les solutions KYC : quels sont les défis ?

Intégrer l’IA dans le processus d’onboarding n’est pas forcément évident. Il existe des difficultés inhérentes aux processus KYC, à la vérification d’identité et à l’onboarding qu’il faut connaître avant de mettre en place un système d’intelligence artificielle.

Gérer les attentes et l’expérience client

Les utilisateurs sont habitués aux interactions humaines. Le passage à un processus LCB-FT ou KYC automatisé doit donc être adapté aux expériences et attentes propres à chaque marché. Cela devrait créer moins de frustration que d’autres modes d’intelligence artificielle telles que les chatbots, mais les Fintechs ne peuvent cependant pas l’exclure.

Intégrer le processus KYC dans l’onboarding

Si les algorithmes d’intelligence artificielle et de machine learning sont invisibles pour l’utilisateur final, leur impact est bien visible. Ils permettent notamment de détecter les dispositifs de protection des documents d’identité et de procéder à une reconnaissance faciale biométrique en temps réel.

Si l’automatisation est bien faite, le processus doit être fluide côté client. Tout problème ou erreur à ce stade peut semer le doute quant à la sécurité du site. Une vérification trop lente ou interrompue au moment de l’onboarding peut également amener les clients à quitter le processus d’inscription. Ce qui ne serait pas une bonne nouvelle pour la marque, la réputation ou les taux de conversion. Ces problèmes pourraient d’ailleurs s’aggraver à mesure que l’intelligence artificielle se démocratise et que les attentes client évoluent en conséquence.

Rester conforme à la réglementation en vigueur

Ce point est un enjeu capital pour les entreprises Regtech. Les exigences KYC et LCB-FT sont très bien définies par le Groupe d’action financière (GAFI) et les instances de régulation de chaque pays. Mais ces réglementations ne préconisent pas de technologie en particulier. Les entreprises Fintech, tout comme les banques, doivent en être conscientes et prêtes à défendre les technologies utilisées.

De plus en plus de régulateurs autorisent l’utilisation de l’intelligence artificielle. Les pays qui autorisent l’utilisation de l’IA sans restriction comprennent actuellement le Royaume-Uni, la France, l’Espagne, la Belgique et la Finlande. D’autres pays européens comme l’Allemagne impose un processus KYC basé sur l’assistance vidéo.

L’adoption de l’intelligence artificielle est en marche et devrait permettre à terme aux acteurs de la Fintech de se développer plus facilement. En attendant, les acteurs du secteur vont devoir adapter leur offre et leurs méthodes aux marchés actuels.

Quel est le rôle de l’intelligence artificielle dans la vérification d’identité ?

L’intelligence artificielle a révolutionné les processus de vérification et d’onboarding pour les institutions financières. Il y a peu encore, ces processus étaient entièrement manuels. Les clients devaient se rendre en agence pour faire vérifier leurs documents d’identité. C’était à la fois long, coûteux et frustrant pour les clients.

L’intelligence artificielle peut être utilisée de différentes manières pour la vérification d’identité :

• Vérification de l’authenticité d’une pièce d’identité. L’intelligence artificielle peut automatiquement détecter et vérifier les dispositifs de sécurité présents sur les pièces d’identité.
• Reconnaissance biométrique en direct. L’identité peut être vérifiée à l’aide de photos ou vidéos en direct permettant de comparer les données biométriques à des photos. Grâce aux données d’entraînement et à la supervision humaine, les algorithmes de machine learning peuvent être entraînés (et améliorés au fil de l’eau) pour détecter les correspondances.
• Contrôle de transaction et remédiation. Les réglementations KYC et LCB-FT n’imposent pas seulement une vérification unique au moment de l’onboarding. Un contrôle régulier des clients et des transactions est également exigé. Là aussi, l’intelligence artificielle peut vous aider.

Les atouts de l’intelligence artificielle dans la vérification d’identité.