Article co-écrit avec Benjamin Brecy, Senior Manager Risk Advisory et Kevin Ramooah, Consultant Risk Advisory.

Démantèlement d’un réseau de blanchiment d’actifs numériques à Hong Kong, suivi de près par une saisine « record » de cryptoactifs par les autorités anglaises[1] (Le Figaro, 12 oct. 2021)… Aucun doute, les actifs numériques (ou cryptoactifs) sont dans le viseur des autorités dans le monde et les autorités françaises ne font pas exception !

 

Qu’est-ce que les cryptoactifs et quels sont les enjeux en matière de réglementation ?

Les cryptoactifs sont  « des actifs virtuels stockés sur un support électronique permettant à une communauté d’utilisateurs les acceptant en paiement de réaliser des transactions sans avoir à recourir à la monnaie légale[2] ».  Loin d’être illégal, un cryptoactif n’est donc pas accepté par tous -gouvernements, commerçants, etc.), au contraire d’une monnaie ayant cours légal.

L’idée d’origine des cryptoactifs, toujours partagée par ses défenseurs, était de pouvoir effectuer des transactions anonymes, sûres et instantanées tout en garantissant une confiance équivalente à celle d’une banque centrale. Ils reposent sur le fonctionnement de la blockchain, un procédé technologique complexe qui permet de stocker et de transmettre des informations, telles que des transactions financières, via un système de registres décentralisés. Ces registres garantissent une haute fiabilité car stockés sur plusieurs supports simultanément. Les informations contenues dans les « blocks » sont cryptées par des mineurs (tiers agissant dans le processus de formation de la blockchain). La blockchain est consultable par tous (publique) ou soumise à l’acceptation d’un tiers (privée).

Aujourd’hui, les transactions de cryptoactifs se font via des plateformes spécialisées qui permettent d’acheter/vendre des cryptoactifs, d’échanger de la monnaie ayant cours légal contre des cryptoactifs ou de conserver les cryptoactifs.

Face aux dérives évidentes, notamment en matière de Lutte Contre le Blanchiment et le Financement du Terrorisme (LCB-FT), les autorités légifèrent : recommandations du GAFI, travaux menés par l’Union européenne, loi PACTE. La dernière réglementation française en date : l’ordonnance n°2020-1544 du 9 décembre 2020 qui fait suite au démantèlement, en France, quelques mois plus tôt, d’un réseau de financement d’un groupe terroriste qui a permis le transfert de fonds à des combattants sur zone, grâce à des transactions recourant à des actifs numériques.

 

Mais quels sont vraiment les risques de blanchiment de capitaux (BC) ou de financement du terrorisme (FT) liés aux cryptoactifs ? Enfin, quels dispositifs doivent être adoptés par les PSAN, ces Prestataires de Services sur Actifs Numériques, pour maitriser ces risques ?

 

Quels sont les risques et les schémas BC-FT dans le secteur des actifs numériques ?

Le secteur des cryptoactifs n’a pas échappé aux blanchisseurs ayant recours à des schémas « classiques » de blanchiment, c’est-à-dire l’utilisation de circuits financiers pour masquer l’origine des fonds et les intégrer dans une économie légale. En effet, le secteur des actifs numériques fonctionne en parallèle des circuits bancaires, tout en étant connexe pour permettre la conversion des cryptos-devises en monnaie ayant cours légal. Les blanchisseurs profitent donc pleinement d’un vide réglementaire pour élaborer des schémas de blanchiment. Ainsi, TRACFIN[3] a relevé que l’utilisation des plateformes de change s’inscrivait dans des schémas de fraude fiscale, par exemple.

D’autant plus en période de crise, les cryptoactifs sont également le vecteur de nouvelles pratiques en matière de BC-FT : cryptojacking, ransomware sont des termes nés de la cybercriminalité et reposent sur l’utilisation de cryptoactifs. Par exemple, le ransomware est une pratique qui consiste à dérober des données personnelles via un logiciel malveillant. Afin de récupérer ses données, la victime doit s’acquitter d’une rançon, en Bitcoin par exemple. Cette pratique facilite grandement le blanchiment de l’argent car les malfaiteurs utilisent des navigateurs favorisant l’anonymat (type Tor) et les portefeuilles de Bitcoin laissent la possibilité à un même client, d’avoir une multiplicité d’adresses lui permettant ainsi de masquer l’origine des fonds et de renforcer l’anonymat des utilisateurs lors de la conversion des cryptoactifs en monnaie ayant cours légal (comme l’euro), sur les plateformes d’échange. Les cryptoactifs peuvent aussi servir au financement du terrorisme, par exemple dans le cas où les terroristes simulent une cagnotte ou un don et diffusent une adresse de portefeuille Bitcoin[4], qui garantit le versement instantané, n’importe où dans le monde et en toute anonymat. Souvent ces dons sont réalisés pour le bénéfice d’association pour aider les femmes ou les enfants dans les pays en guerre contre DAESH. Dans la plupart des cas, les fonds sont redirigés vers des clusters terroristes.

Le risque de blanchiment et de financement du terrorisme dans le secteur des cryptoactifs est donc aujourd’hui incontestable et porte sur deux éléments inhérents à l’activité de PSAN : l’anonymat et la multiplication de transactions instantanées.

L’ordonnance du 9 décembre 2020 constitue, en France, un premier pas dans la lutte contre l’anonymat des transactions en actifs numériques.

 

Quels dispositifs LCB-FT pour les PSAN ?

La réglementation impose désormais un enregistrement auprès de l’Autorité des Marchés Financiers (AMF) pour obtenir la qualité de PSAN. Les candidats doivent ainsi répondre à des conditions spécifiques et parmi ces conditions, « le candidat doit apporter des informations sur les systèmes permettant d’évaluer et de gérer les risques de blanchiment de capitaux et de financement du terrorisme ».[5]

Il est à noter que le décret du 15 avril 2020 limite le contrôle préalable de l’AMF aux deux premiers services sur actifs numériques (conservation d’actifs numériques pour compte de tiers / achat, vente d’actifs numériques contre de la monnaie ayant cours légal), les opérateurs proposant les autres services peuvent demander un agrément optionnel à l’AMF.  Ces obligations s’imposent également aux émetteurs de jetons ou ICO (Initial Coin Offering).[6]

Une fois enregistré auprès de l’AMF, le PSAN est soumis aux mêmes obligations de lutte contre le blanchiment que les établissements bancaires ou financiers, à savoir : l’évaluation des risques BC-FT de leur activité, la connaissance des clients et de leurs bénéficiaires effectifs, la coopération avec les services de renseignement et la mise en place des mesures de gel des avoirs. Ils sont de fait désormais soumis au contrôle permanent de l’ACPR.

Le dispositif LCB-FT attendu par l’AMF doit prévoir une organisation, des procédures et un dispositif de contrôle interne adaptés à l’activité du PSAN. Dans son ensemble, ce dispositif doit pouvoir permettre de répondre à la réglementation et notamment à l’obligation d’identification et de vérification de l’identité du client, la surveillance des transactions et les obligations déclaratives. La mise en œuvre de ces obligations passe, entre autres, par la mise en place d’une classification des risques[7].

Pour autant, ces obligations ont initialement été prévues pour les établissements financiers dits « traditionnels » (banques, assurances, etc.). Les risques sont bien présents, mais peu aisés à maitriser tant la mise en place de mesures préventives dans un secteur aussi évolutif est complexe, et où l’anonymat des opérations, l’absence de justificatifs sur l’origine des fonds ou le caractère transnational de ce type de transactions sont fréquents.

En effet, quand bien même la Blockchain publique permettrait, grâce à des outils d’analyse transactionnelle, d’obtenir des informations utiles pour la vérification de l’identité et la connaissance du client (localisation du client, origine des fonds, destination des actifs numériques, voire les parties prenantes à la transaction) – lesquelles permettraient de pouvoir « scorer » le client et ainsi déterminer son profil de risque du client – ces outils sont encore perfectibles dès lors que l’anonymat peut être renforcé par des Virtual Private Network (VPN) ou des serveurs Proxy.

Le gouvernement tente de répondre à ce défi en rendant obligatoire l’identification du client avant la réalisation de toute opération occasionnelle, ainsi qu’en interdisant de conserver des comptes anonymes.

 

Conclusion

Les risques de BC-FT auxquels est exposé le secteur des actifs numériques font peser une lourde responsabilité sur les PSAN. Les récentes évolutions réglementaires démontrent que les autorités accordent une attention particulière à la maitrise des risques dans ce secteur.

Même si, en France, aucune sanction n’a encore été prononcée par l’AMF à l’encontre d’un PSAN, sans doute en raison de son caractère nouveau, aux Etats-Unis par exemple, une amende de 60 millions de dollars a été prononcée par le régulateur américain[8] à l’encontre d’un Prestataire sur actifs numériques pour l’absence de mise en place de dispositif de surveillance des transactions et d’identification de la clientèle.

PSAN, êtes-vous prêts à mettre en œuvre un dispositif LCB-FT efficace ?

 

[3] Rapport TRACFIN 2019
[4] Le portefeuille Bitcoin est un support de stockage de Bitcoins. Il est identifiable par une adresse unique qui lui est rattaché. Un même utilisateur peut créer autant d’adresses et autant de portefeuilles qu’il le souhaite. A ce jour, les exigences d’identification et de vérification d’identité ne s’appliquent pas aux portefeuilles Bitcoin
[5] Instruction de l’AMF DOC-2019-23