LE PAIEMENT PAR MOBILE, UNE ARME POUR LES TERRORISTES
Selon le rapport annuel sur les « Tendances et analyse des risques de blanchiment de capitaux et de financement du terrorisme » de Tracfin, la cellule anti-blanchiment de Bercy, le paiement par mobile recèle de graves vulnérabilités.
Avec la montée du risque terroriste et les bouleversements technologiques, l’activité de la cellule de « Traitement du renseignement et action contre les circuits financiers clandestins » plus connue sous le nom de Tracfin, grimpe en flèche. En 2015, suivant les mêmes tendances qu’en 2014, la cellule anti-blanchiment de Bercy a reçu 45266 informations contre 38419 un an plus tôt, ce qui représente une hausse de 18% selon le rapport annuel sur les « Tendances et analyse des risques de blanchiment de capitaux et de financement du terrorisme » dévoilé la semaine dernière. Un point précis, et relativement nouveau, inquiète la cellule dirigée par Bruno Dalles : le paiement par mobile. Déjà, dans un rapport publié en juin 2013 et consacré aux risques présentés par les nouveaux modes de paiement, le GAFI (Groupe d’action financière) estimait que ce nouveau type de paiements devait faire « l’objet d’une attention particulière dans le cadre de l’approche par les risques en termes de blanchiment de capitaux et de financement du terrorisme ». C’est aujourd’hui d’autant plus vrai que le paiement mobile se développe très rapidement. En 2015, il était disponible dans 93 pays du monde et les opérateurs de télécommunications géraient en moyenne 33 millions de transactions par jour pour 411 millions de comptes d’utilisateurs, soit une augmentation de 31% par rapport à 2014. À noter que le terme de « paiement mobile » recouvre plusieurs pratiques. Il s’agit du paiement mobile adossé à une carte bancaire (c’est-à-dire le paiement sans contact dans les commerces), des paiements sur Internet auprès d’e-commerçants (débités sur un compte bancaire), des achats en ligne directement imputés sur la facture télécom du client et enfin de cash transfer (transfert d’argent) de mobile à mobile, national ou international, qui implique un point de vente physique où le client dépose une somme en espèces contre la remise d’un code adressé par SMS au bénéficiaire. Ce dernier, muni du code, peut retirer les espèces dans un autre point de vente.
POURQUOI LE « CASH TRANSFER » INQUIÈTE BEAUCOUP TRACFIN
C’est en particulier le développement du cash transfer qui inquiète Tracfin, cette méthode de paiement ayant connu un développement rapide en Afrique au cours des cinq dernières années en raison de la faiblesse du taux de bancarisation des économies. « Les opérateurs télécoms proposent des services financiers élémentaires et à faible coût qui correspondent aux besoins des consommateurs », précise le rapport de Tracfin qui cite par exemple la transmission de fonds mais aussi le paiement de biens et de services. « Les services de cash transfer par téléphone mobile apparaissent aujourd’hui en France, ciblant en priorité les populations issues de la diaspora africaine qui désirent envoyer des fonds vers leur pays d’origine. Si les services proposés se limitent à ce jour aux flux de la France vers certains pays d’Afrique, il n’y a aucun obstacle, ni juridique ni technique, à ce que les flux puissent être ouverts à l’avenir de l’étranger vers la France, d’autant plus avec l’arrivée probable de nouveaux opérateurs », poursuit Tracfin, qui s’en inquiète. Comment s’effectuent ces services de transfert d’espèces par téléphone mobile ? Comme l’explique Tracfin, ils reposent sur une infrastructure (dans le pays expéditeur comme dans le pays destinataire) composée d’un Prestataire de services de paiement (PSP), partenaire voire filiale, d’un opérateur télécom, d’un réseau d’agents distributeurs gérant des points de vente physiques et chargés de collecter ou remettre les espèces. « Les agents peuvent être des vendeurs de produits télécoms, des chaînes de distribution et commerçants divers voire des kiosques dédiés à l’activité de transactions en espèces. Au regard du code monétaire et financier, ce service s’analyse juridiquement comme un virement en monnaie scripturale, initié par le prestataire de services de paiement (PSP) du pays de l’expéditeur, vers le PSP du pays du bénéficiaire. Dans ce cas, les risques de blanchiment des capitaux et de financement du terrorisme (LBC/FT) s’apparentent à ceux des services de transmission de fonds. Le dispositif LBC/FT s’impose aux PSP proposant ce type de services sur le territoire français » , précise le rapport.
PLUSIEURS VULNÉRABILITÉS, DONT L’ANONYMAT POSSIBLE DES PAIEMENTS
C’est cette infrastructure qui pose problème, « au-delà de l’alimentation du compte en espèces », constate Tracfin qui relève des points faibles et plusieurs vulnérabilités. La cellule cite en premier lieu l’identification du client expéditeur : les éléments d’identification client sont collectés par les points de vente et doivent être transmis immédiatement au PSP du pays expéditeur, qui devra les analyser et les conserver pendant au moins cinq ans. Les clients sont eux-mêmes responsables de l’actualisation de leurs données d’identité auprès du PSP. Mais ce n’est pas la principale vulnérabilité de ce type de paiement. L’identification du client destinataire des fonds constitue la faiblesse essentielle de ce type de services. De plus, le PSP peut être un établissement de monnaie électronique (EME), qui propose au client un compte de monnaie élec-
Le “cash transfer” par mobile apparaît en France et cible la diaspora africaine
tronique utilisable à partir de son téléphone. Dans ce cas, les fonds reçus ne seront pas seulement retirables en espèces, mais pourront être directement utilisés au règlement d’autres types de biens et services. En clair, les paiements par mobile peuvent être très facilement anonymes. Pour Tracfin, qui est l’un des maillons essentiels de la communauté du renseignement, la surveillance des flux financiers devient donc impossible. Rappelons que c’est en traquant les transactions financières que les forces de l’ordre ont pu mettre la main sur les auteurs des attentats du 13 novembre à Paris.
UN BESOIN D’ASSOCIER LES DONNÉES ET D’ÉCHANGER EN TEMPS RÉEL
Le contrôle des agents est également faillible. Si le PSP est immatriculé en France, les agents seront automatiquement déclarés à l’Autorité de contrôle prudentiel et de résolution (ACPR), et enregistrés au Registre des agents financiers (REGAFI). L’ACPR contrôlera les procédures du PSP concernant la gestion de ses agents. Autre cas, si le PSP est immatriculé dans un autre pays de l’Union européenne et intervient en France sous le régime de la libre prestation de services ou du libre établissement, ses agents français seront enregistrés auprès du superviseur de son pays d’immatriculation, lequel les notifiera à l’ACPR. Mais, comme le précise et le regrette Tracfin, la qualité et le respect de ces procédures peuvent varier en fonction des opérateurs. « Un encadrement important des risques de blanchiment ou de financement du terrorisme consiste pour le PSP à imposer des plafonds restrictifs aux opérations, qu’il s’agisse de transfert de fonds, de réception de fonds, de retrait, de solde ou de rechargement dans le cas de comptes de monnaie électronique », précise Tracfin qui souhaite que la réglementation soit adaptée à ce nouveau niveau de risque, afin que les opérateurs télécoms qui mettent en place ce type de services soient pleinement associés au dispositif LBC/FT, et ne fassent pas reposer l’ensemble des obligations de vigilance sur le seul PSP. « En termes de connaissance clients, il est important que les opérateurs télécoms et les PSP partenaires puissent échanger en temps réel des informations sur l’identité et la domiciliation de leurs clients et que les cellules de renseignements financiers (CRF) puissent avoir accès à ces informations de manière directe et complète », poursuit le rapport. Difficile d’être plus clair. Ce n’est pas la première fois que Tracfin pointe du doigt les dangers d’un paiement par mobile sans garde-fou. Le 26 mai 2016, lors d’un colloque du master 2 de droit pénal financier de l’université de Cergy Pontoise sur le financement du terrorisme organisé à la Maison du barreau à Paris, Bruno Dalles avait fait part de ses inquiétudes. Contactés par La Tribune, les opérateurs téléphoniques qui se sont lancés dans cette activité étaient catégoriques : toutes les garanties en matière de sécurité et de traçabilité avaient été réunies. Il semble que ce ne soit pas le cas.