Le crime ne paie pas. Ce n’est pas l’avis des criminels plus ou moins organisés qui ont fait transiter en 2023 plus de 3100 milliards de dollars de fonds illicites à travers le systèmes financier global, selon les chiffres du Nasdaq Verafin 2024 Global Financial Crime Report. Publié il y a quelques jours par le think tank américain Entrust Cybersecurity Institute, l’Identity Fraud Report note de son côté que l’année 2024 est la première à voir la part des contrefaçons numériques de documents (57%) dépasser celle des contrefaçons physiques. Une hausse de plus de 240% de ce type de crime cybers (parmi tant d’autres...) par rapport à 2023. (Et l’année 2024 n’est même pas encore arrivée à son terme). Nathalie Zaharna, Directrice risques et conformité de la banque numérique suisse Alpian, offre un aperçu de ce qu’une institution financière disruptive est amenée à faire pour se rendre hermétique à la cybercriminalité.
En quoi les tâches d’un responsable des risques et de la conformité au sein d’une banque numérique peuvent-elles être différentes de celles d’une banque traditionnelle?
Le temps est la première différence. Il y a une perception selon laquelle un établissement bancaire qui repose entièrement sur le cloud doit nécessairement répondre à n’importe quelle sollicitation en un temps très bref, quasi instantané. En téléchargeant l’application d’une banque numérique, un client peut être amené à croire que l’ouverture d’un compte se fera en quelques minutes. La réalité est qu’une banque numérique comme la nôtre, régulée par la FINMA, procède aux mêmes vérifications qu’exige la loi de la part de toutes les entreprises offrant des services financiers et bancaires. En Suisse, ces vérifications sont poussées, afin de protéger le client d’éventuelles cyberattaques ou autres types de fraudes.
«Nous utilisons des systèmes de protection des données et antifraudes que des banques traditionnelles ne sont pas amenées à employer.»
Les risques auxquels une banque numérique doit faire face sont-ils les mêmes que dans le cas d’une banque traditionnelle ou systémique?
Chez Alpian, la priorité réside dans la cybersécurité et la protection des données. Notre équipe est composée d’ingénieurs informatiques spécialisés dans la cybersécurité, d’experts dans la protection des données, ainsi que de gestionnaires de risque de conformité ou de compliance. La cybersécurité, la résilience face aux risques opérationnels, le risque associé aux tierces parties, les risques de fraude, tous ces risques concernent aussi bien la banque numérique que la banque traditionnelle. Nous utilisons des systèmes de protection des données et antifraudes spécifiques que des banques systémiques ou des banques privées ne sont pas amenées à employer.
Comment se déroule la vérification des clients et comment éviter leur onboarding sur la base de documents falsifiés?
La FINMA exige des banques numériques qu’elles procèdent à une identification par vidéo et en ligne qui soit fiable et sécurisée. Ceci implique de se doter d’un selfie du client pour le comparer à ses documents d’identité. Nous effectuons également des vérifications concernant des clients politiquement exposés, notamment en recueillant les données potentiellement négatives à partir de sources d’information officielles telles que les médias ou les réseaux sociaux.
Et quels types de systèmes mettez-vous en œuvre pour parvenir à cette conformité?
L’un des meilleurs systèmes pour le suivi et le reporting des transactions est celui développé par Napier, que nous utilisons au sein de la banque et qui nous permet de demeurer conforme aux exigences légales en ce qui concerne les vérifications des clients. Je précise également qu’en tant que banque régulée, nous avons recours à de nombreux sous-traitants informatiques ou technologiques, ce qui implique que nous devons également satisfaire aux exigences de la FINMA en matière d’outsourcing.
S’agissant de la recherche et de la gestion réglementaire, quelle place occupent les technologies réglementaires ou «reg tech» chez Alpian?
Alpian développe en interne et en se basant sur les services "state of the art" de ses cloud providers tout ce qui concerne la gestion du risque cybernétique, ainsi que les solutions relatives aux normes, procédures de contrôle et de surveillance des systèmes. Pour ce qui est des technologies réglementaires, nous recourons à des services externes à l’entreprise car nous préférons nous tourner vers les meilleurs spécialistes et experts sur le marché.
«À mesure que la banque numérique se développe, voire devient la norme, la réglementation devra évoluer.»
Où en est la Suisse, selon vous, par rapport à l’Union européenne (UE) en matière de cadre réglementaire entourant les banques numériques?
Je pense que le cadre réglementaire de l’UE est plus développé qu’en Suisse, essentiellement en raison de la taille de ce marché. Par exemple, l’UE s’est déjà dotée, depuis 2023, du Digital Operational Resilience Act ou «DORA», qui couvre la résilience opérationnelle des banques liée aux technologies de l’information et de la Communication. On peut encore citer la Législation européenne sur l’Intelligence Artificielle ou «AI Act», qui fournit depuis cette année le premier cadre juridique entourant les risques liés à l’IA. L’UE a également promulgué des lois concernant la protection des données, avant l’amendement de la réglementation suisse sur la protection des données.
Dans quelle mesure le cadre réglementaire évoluera-t-il encore, compte tenu de la dynamique des innovations technologiques?
Jusqu’ici, le cadre réglementaire demeure essentiellement conçu pour les banques traditionnelles ou systémiques. À mesure que la banque numérique se développe voire devient la norme, la réglementation devra évoluer. Par exemple, le règlement général européen sur la protection des données ou «règlement GDPR» ne résout nullement le problème de blanchiment d’argent.
D’un côté, le régulateur exige que nous collections un maximum de données et, de l’autre, que nous le fassions que lorsque cela est jugé nécessaire. Il y aura également, il me semble, un alignement des régulations entre États, ce qui serait souhaitable. Alors que l’UE exige que l’on conserve les données aussi longtemps que l’on en a besoin, la FINMA, elle, fixe à 10 ans le délai de conservation des données personnelles à partir de la dernière saisie. Il y a donc encore beaucoup de rattrapage à réaliser en termes réglementaires.