Rédaction WEB : JUST DEEP CONTENT
Les AISP et PISP sont soumis à la règlementation LCB-FT des établissements financiers mais leur activité spécifique nécessite une adaptation particulière. Explications
La DSP2 (Directive Européenne sur les Services de Paiement 2) entérine l’intégration de nouveaux acteurs dans la chaîne de paiement : les Third Party Provider (TPP).
Ces nouveaux établissements de paiement sont généralement des fintechs proposant les services d’accès aux informations bancaires (AISP : Account Information Services Provider) et d’initiation de paiement (PISP : Payment Initiation Services Provider).
Ces établissements, ayant un accès aux données bancaires, sont soumis à la réglementation en matière de Lutte contre le Blanchiment et le Financement du Terrorisme (LCB-FT).
De par leurs activités innovantes, basées sur l’Open Banking et la fluidité des parcours utilisateurs (l’UX, User Experience), ces prestataires de services se doivent de faire preuve d’adaptabilité afin de conformer leurs activités aux exigences réglementaires. Leur clientèle pouvant être volatile, les AISP et PISP inventent et/ou réinventent la connaissance client et le suivi de la relation d’affaire afin de ne pas perdre leurs utilisateurs avec des parcours d’accompagnement, dits « onboarding », trop lourds.
Le point sur la réglementation applicable aux AISP et PISP en matière de connaissance client et de suivi de la relation d’affaires et son impact sur leurs activités.
aisp et pisp : quelle réglementation lcb-ft ?
Il n’y a pas de réglementation spécifique aux AISP et PISP. Comme les autres professions dans le champ d’application de la réglementation, ils doivent composer entre exigences réglementaires, pratiques de place, guidelines des régulateurs et beaucoup d’imagination !
La réglementation applicable pour les AISP et PISP est donc celle à laquelle tous les établissements financiers sont soumis. Toutefois, le régulateur tend à prendre en compte les spécificités de ces activités notamment dans les dernières orientations sectorielles du 1er mars 2021.
les aisp et psip : la réglementation lcb-ft générale
La 5e Directive Européenne du Parlement européen et du Conseil du 30 mai 2018 relative à la prévention de l’utilisation du système financier aux fins du blanchiment d’argent de capitaux ou le financement du terrorisme (BC/FT) est applicable aux AISP et PISP en leur qualité d’établissement de paiement.
Ces intervenants relèvent de l’article L.561-2 du Code monétaire et financier (CMF), comme établissement de paiement ainsi que du champ d’application des articles L.561-1 et suivants du CMF sur la lutte contre le blanchiment de capitaux et le financement du terrorisme.
Les établissements de paiement devront donc, comme l’ensemble des établissements soumis à la LCB-FT, mettre en place des dispositifs basés sur les exigences suivantes :
- connaissance de la clientèle
- classification des risques BC/FT
- filtrage des clients sur la base des listes de gel des avoirs et de PPE (Personnes Politiquement Exposés) ainsi que les pays sous embargo ou considéré à haut risque par le GAFI (Groupe d’Action Financière)
- détection et le traitement des opérations suspectes
- formation du personnel
les spécificités sectorielles de l’eba du 1er mars 2021
Pour connaître les spécificités des AISP et PISP, il est indispensable de comprendre leurs activités en pratique.
Les AISP (Account Information Services Providers) sont des établissements proposant un service d’accès aux informations sur les comptes bancaires.
Ces établissements accèdent, via des moyens sécurisés mis à disposition par les banques, aux données bancaires disponibles dans les banques en ligne des utilisateurs.
Ces accès leurs permettent d’agréger plusieurs comptes bancaires de banques différentes sur une même interface afin d’avoir une vision complète des comptes bancaires d’une même personne.
En BtoC (Business to Consumer) ce service est proposé directement aux utilisateurs (particulier et/ou professionnel), sous forme d’application, afin qu’ils puissent avoir une vision 360° sur leurs comptes bancaires.
Ces établissements proposent également des fonctionnalités de catégorisation des données bancaires afin d’apporter une vision précise des différents types de dépense, dans un objectif de meilleure gestion des revenus et du budget du client.
Ces établissements peuvent proposer également des astuces et conseils afin d’optimiser les budgets et mettre en relation les utilisateurs avec des partenaires afin d’optimiser certaines dépenses.
En BtoB (Business to Business), les AISP proposent la collecte des données bancaires et leur catégorisation à des experts comptables, à des sociétés de gestion de logiciels comptables sous forme d’API (Application Programming Interface), à des établissements de crédit pour l’obtention de prêt ainsi qu’à des sociétés limitant les cas de fraude aux identifications bancaires (identité, identification bancaire …).
Les PISP (Payment Initiative Services Providers) sont des établissements proposant un service d’initiation d’ordre de paiement.
Ces établissements, via des accès sécurisés mis à disposition par les banques, initient des ordres de paiement que les banques exécutent.
Ces établissements proposent plusieurs types de paiement qui, lorsqu’ils sont conjugués aux services AIS (Account Information Services) permettent d’élaborer des produits différents.
Par exemple, un produit AIS couplé à un produit PIS permettra de proposer un virement sur la liste de bénéficiaire de confiance de la banque. Tandis qu’un produit uniquement PIS est seulement utilisé pour faire du paiement marchand.
Les AISP et PISP sont également appelés TPP (Third Party Providers).
Devant le caractère spécifique de ces établissements, l’EBA (European Banking Authority) a formulé récemment des orientations sectorielles relatives aux facteurs de risques de BC/FT propres aux prestataires de services d’initiation de paiement (PIS, Payment Initiation Services) et d’accès à l’information sur les comptes (AIS, Account Information Services) ( EBA Guidelines du 1er mars 2021).
Ces orientations consacrent en particulier :
- le caractère limité du risque inhérent de BC/FT associé aux activités PIS et AIS compte tenu du fait que ces prestataires n’exécutent pas eux-mêmes d’opérations de paiement et qu’ils ne détiennent pas les fonds des utilisateurs
- l’existence de facteurs de risque spécifiques liés aux clients, aux canaux de distribution et aux pays ou zones géographiques
- l’applicabilité de la notion de « client » aux personnes morales utilisant les services PIS pour leurs clients finaux
- le principe de procédures de vigilance basées sur des typologies tierces ou propres pour la détection de transactions inhabituelles ou suspectes selon les risques qu’elles représentent
- l’applicabilité, lorsque le risque associé à une relation d’affaire est a priori faible, de mesures de vigilance simplifiées à l’égard de la clientèle.
Ces orientations ont été largement appréciées par les TPP (Third Party Provider). Aucun régulateur n’avait apporté autant de précisions sur la déclinaison opérationnelle d’exigences règlementaires.
aisp / pisp : une connaissance client spécifique
Les particularités des AISP et PISP, reprises dans les dernières orientations de l’EBA, ont un impact sur la qualification de la clientèle de manière générale, le processus de connaissance des clients et le suivi des transactions propres aux PISP.
la qualification de la clientèle pour les aisp et les pisp
La qualification de la clientèle d’un TPP dépendra de son business plan, de son positionnement sur le marché et de sa stratégie de distribution.
Les conséquences de la position de marché
En matière de positionnement commercial, les TPP peuvent se situer sur le marché du BtoB et/ou le marché du BtoC.
- En BtoB, il existe deux typologies de clients en fonction du produit :
- Pour les produits AIS :
- les utilisateurs finaux, clients de services AIS mis en relation par un client partenaire
- le client partenaire qui propose à ses clients/utilisateurs la possibilité d’utiliser le service AIS de l’AISP.
- Pour les produits PIS : seuls les clients partenaires sont considérés comme clients.
- Pour les produits AIS :
En effet, l’EBA, dans ces orientation du 21 mars 2021, a précisé que les utilisateurs finaux PIS, initiant des virements, ne sont pas des clients ( EBA/GL/2021/02, article 18.8).
- En BtoC, les clients sont les utilisateurs de l’application proposant les services AIS et/ou PIS.
Cette première qualification pourra également évoluer en fonction de la distribution des services de paiement.
Les conséquences de la stratégie de distribution des AISP et PISP
La distribution pourra se faire selon plusieurs méthodes : le choix du modèle contractuel ainsi que le canal de distribution.
- Pour les modèles contractuels, il existe plusieurs schémas pouvant impacter la qualification de la clientèle :
- le modèle “Tiers Utilisateur”, principe standard des établissements de paiement permettant aux AISP d’être mis en relation par un client (BtoB) sans transfert de clientèle, et de conserver son autonomie et sa responsabilité sur son activité.
L’AISP signe un contrat avec le client « tiers utilisateur » ainsi qu’avec l’utilisateur final. Il a donc deux types de clients : le client partenaire et l’utilisateur final.
- le modèle “Tiers Utilisateur”, principe standard des établissements de paiement permettant aux AISP d’être mis en relation par un client (BtoB) sans transfert de clientèle, et de conserver son autonomie et sa responsabilité sur son activité.
- le modèle “agent”: dans ce cadre, le client partenaire exerce son activité sous la responsabilité et l’agrément de l’AISP. Le client de l’AISP sera donc l’agent ou autrement dit le client partenaire. Les utilisateurs finaux seront les clients de l’agent soumis aux exigences LCB-FT sous la responsabilité de l’AISP.
- le modèle PSEE (Prestataires de Services Essentiels Externalisés) : dans ce schéma, un établissement régulé contractualise avec l’AISP pour une prestation technique. L’AISP agira, sur le périmètre du contrat, sous la responsabilité de l’établissement client régulé. Dans ce modèle, l’établissement régulé est le client de de l’AISP et l’utilisateur final des services AIS est client de l’établissement régulé.
- Pour le canal de distribution, la qualification de client dépendra du moyen de distribution mis en place :
- soit une distribution en direct,
- soit une distribution par des intermédiaires qui pourront devoir s’immatriculer à l’ORIAS (Organisme pour le Registre des Intermédiaires en Assurance) en fonction de la méthode de distribution choisie (indication d’affaire/mise en relation ou distribution des produits sous mandat de distribution IOBSP (Intermédiaire en Opération Bancaire et Service de Paiement).
L’une des pratiques de marché actuelle est de passer par des intermédiaires. Dans ce cas, les intermédiaires sont les clients des TPP.
Ces intermédiaires distribuent les produits en tant qu’indicateur d’affaire ou IOBSP à d’autres entreprises qui seront également clientes de l’AISP et qui elles-mêmes proposeront les services à des utilisateurs finaux (entreprise ou consommateurs).
L’utilisateur final pourra être également client de l’AISP en fonction du modèle contractuel choisi.
Les schémas de distribution peuvent être relativement complexes. Cette qualification de la clientèle en fonction du business model est donc indispensable pour identifier les clients ainsi que le niveau de vigilance qui devra être appliqué.
aisp, pisp : les spécificités d’une connaissance digitalisée en vigilance simplifiée
Comme précisé par l’EBA, de par leur activité, les TPP sont en vigilance simplifiée, ce qui permet d’optimiser le processus de connaissance client.
Qu’est-ce que la vigilance simplifiée ?
Les mesures de vigilance à l’égard de la clientèle s’appliquent avant d’entrer en relation d’affaires. Elles portent sur :
- l’identification et la vérification de l’identité du client et, le cas échéant, de son représentant, puis éventuellement du bénéficiaire effectif
- la connaissance de l’objet, de la nature de la relation d’affaires et le recueil de tout autre élément d’information pertinent.
En l’absence de tout soupçon BC/FT, les TPP bénéficient d’une exception à la mise en œuvre de ces obligations, au titre des mesures de vigilance dites « simplifiées », en application du 2° de l’article L. 561-9 du CMF. Les activités PIS et AIS présentent en effet un risque inhérent de BC/FT limité.
Cette exception autorise l’application de mesures de vigilance dites « simplifiées » qui permettent de :
- s’appuyer sur les données d’identification accessibles via les connecteurs bancaires pour prouver l’identité du client, lorsque les coordonnées de son compte de paiement sont connues et que ce compte est détenu auprès d’un établissement réglementé établi dans l’EEE (Espace Economique Européen).
- reporter la vérification de l’identité du client à une certaine date après l’établissement de la relation d’affaires
- présumer la nature et l’objet de la relation d’affaires.
En cas de soupçon, les AISP se devront de mettre en place des mesures d’identification et de vérification adéquates, afin de leur attribuer un niveau de vigilance pertinent en fonction du risque.
AISP, PISP : un processus de connaissance clients adapté à leur typologie
Les TPP, comme l’ensemble des entreprises soumises à la LCB-FT appliquent la méthode standard :
- identification du client et recueil de la documentation
- vérification de l’identité du client et de filtrage
- revue périodique.
Toutefois, le recueil des informations et la vérification seront spécifiques à la qualification du client, selon qu’il s’agit de clients partenaires professionnels ou de clientèle de détail.
La connaissance des clients partenaires
Pour la connaissance des clients partenaires, le processus de collecte de la documentation, se fera en fonction du produit :
- de manière digitalisée,
- ou manuellement avec des processus de vérification les plus automatisés possibles.
Pour ces clients, la vigilance simplifiée requiert un recueil de pièces, qui pourra se faire a posterori de la contractualisation.
La connaissance de la clientèle de détail
Pour les clients utilisateurs finaux, les mesures de vigilance simplifiées permettent aux AISP et PISP de :
- collecter et s’appuyer sur les données d’identification accessibles via les connecteurs bancaires pour prouver l’identité du client
- reporter la vérification de l’identité du client jusqu’à l’obtention des coordonnées de son compte de paiement
- présumer la nature et l’objet de la relation d’affaires sur la base des conditions générales de ventes soumises à l’approbation de l’utilisateur concernant les services AIS et PIS.
Ce processus digitalisé permet de se baser sur les données considérées comme fiables afin de proposer un KYC (Know Your Costumer) adaptée à l’activité des AISP et les PISP.
les spécificités du suivi des transactions applicables aux pisp
Les PISP sont soumis aux exigences de KYC de leur client partenaire mais également au suivi des transactions bancaires.
Ce suivi des transactions bancaires permet d’identifier les comportements frauduleux pouvant être liés aux blanchiment et financement du terrorisme.
La méthode doit répondre aux exigences des différents régulateurs européen et national, sur le besoin de filtrage des acteurs du paiement ainsi que la pertinence des règles.
Le besoin de filtrage des acteurs du paiement
En matière de transaction, les PISP se doivent en plus de connaitre leurs clients, de détecter les opérations frauduleuses mais aussi de détecter toutes transactions à destination ou émise par une personne ou entité dont les avoirs ont été gelés (Lignes directrices conjointes de la Direction Générale du Trésor et de l’Autorité de contrôle prudentiel et de résolution du 16 juin 2021).
Dans cette orientation, la CCLBFT (Commission consultative de lutte contre le Blanchiment et le financement du terrorisme de l’ACPR) a rappelé qu’une obligation de résultat s’impose aux établissements assujettis sur « la mise en place d’un dispositif qui doit permettre la détection de toute opération au bénéfice des personnes ou entités dont les avoirs sont gelés ».
Pour ce faire, le dispositif doit reposer sur deux critères :
- le caractère exhaustif de la détection de ces opérations
- une mise en œuvre des obligations en matière de gel des avoirs et d’interdiction ne relevant pas d’une approche par les risques.
Les PISP se doivent donc de filtrer les acteurs du paiement selon le registre de gel des avoirs, ce dès le premier euro et en amont de l’envoi de l’ordre à l’établissement bancaire.
Les initiateurs du paiement n’étant pas leurs clients et donc n’ayant pas fait l’objet d’un KYC, les PISP sont dans l’obligation de filtrer le destinataire et le bénéficiaire des paiements.
Ce filtrage engendre un risque de perte de fluidité et d’instantanéité de l’opération qu’il s’agira d’adresser avec habileté, afin de concilier obligation réglementaire et performance du processus de paiement.
La pertinence des règles de détection des transactions atypiques
En plus du filtrage, les PISP ont pour obligation d’identifier les transactions atypiques afin d’être en mesure de détecter les cas de fraude et/ou les cas de blanchiment et de financement du terorrisme.
D’après les orientations sectorielles de l’EBA, les prestataires AIS et PIS doivent a minima considérer les facteurs de risques suivants, comme susceptibles de contribuer à une augmentation du risque :
- un client transfère au même bénéficiaire des fonds provenant de différents comptes de paiement ou reçoit de la part du même donneur d’ordre des fonds sur différents comptes de paiement qui, ensemble, représentent une somme importante sans justification économique ou légitime claire, ou qui donnent au prestataire des motifs raisonnables de soupçonner que le client essaie d’éviter des seuils de contrôle particuliers
- les facteurs de risques liés aux canaux de distribution identifiés dans l’avis conjoint des Autorités Européennes de Surveillance sur l’utilisation de solutions innovantes dans le cadre des mesures de vigilance à l’égard de la clientèle (JC 2017 81), c’est-à-dire liés à l’authentification forte
- un client initie un paiement (PIS) ou reçoit/envoie des fonds (AIS) en provenance ou à destination d’un pays ou territoire associé à un risque plus élevé de BC/FT ou en provenance ou à destination d’un pays tiers à haut risque, ou au bénéfice d’une personne ayant des liens connus avec de tels pays ou territoires, ou bien encore le client relie des comptes de paiement détenus au nom de plusieurs personnes dans plusieurs pays ou territoires.
Les établissements doivent ainsi identifier des règles sur les critères suivants :
- zone géographique
- montants en fonction des sommes qu’ils ont l’habitude d’initier
- fréquence des transactions
- indices spécifiques de fraude qu’ils auraient identifiés (ex: l’adresse IP (Internet Protocol), le device ID (Device identification) pour pouvoir identifier les cas de fraude dites « sim swap »).
Selon ces règles, les processus de contrôle vont :
- générer des alertes a priori
- déclencher un seuil permettant une gestion efficace de ces alertes ( priorisation des alertes et déclenchement d’ astreintes )
- bloquer des transactions en fonction d’une limite de risque préalablement identifiée.
En plus de la détection des alertes a priori, les PISP peuvent également mettre en place des analyses a posteriori afin d’obtenir une cartographie des flux de paiement et identifier de nouveaux scénarios de risques.
Ces deux mécanismes de filtrage et de détection des transactions sont essentiels aux services PIS, tout comme à la connaissance des clients KYC.
Ces dispositifs ont néanmoins des impacts financiers importants pour les établissements, au niveau des ressources humaines pour traiter les alertes, mais aussi des dispositifs techniques à mettre en place. A ces investissements, s’ajoute la potentielle perte d’utilisateurs si les parcours et/ou processus de paiement ne sont pas performants.
Les orientations de l’EBA viennent clarifier le besoin en matière de vigilance sur les activités des AISP et les PISP. Ces orientations sont très appréciées par les professionnels de la conformité car elles apportent des précisions concrètes aux établissements proposant des services innovants.
Toutefois, selon le projet de réforme de la 6ème Directive LCB-FT dont la procédure législative aura lieu pendant la gouvernance française de la commission européenne, les établissements proposant des services d’AIS pourraient être soumis également aux analyses de suivi des transactions.
Aux obligations de connaissance client et de suivi de la relation d’affaire, viendrait ainsi s’ajouter pour les AISP l’analyse des transactions à l’image des PISP.
Le législateur considère en effet que ces établissements, accédant à l’ensemble des informations sur les comptes des personnes, sont en mesure de détecter les potentielles anomalies transactionnelles pouvant être qualifiées de blanchiment et/ou de financement de terrorisme.
Il est vrai que ces établissements seraient en mesure d’avoir une certaine visibilité sur les différents flux bancaires des personnes. Toutefois, cela supposerait de réaliser une analyse financière des transactions de leurs clients, alors que leur cœur de métier est de proposer des services d’accès aux informations sur les comptes.
Les AISP sont souvent des PME, start-up, proposant des services innovants pour qui la mise en conformité LCB-FT s’est révélée et se révèle être un coût important, entre la perte de l’utilisateur en raison d’un « onboarding » alourdi, les charges de ressources humaines et les investissements dans les outils permettant de filtrer et de vérifier les identités.
A date, les AISP ont fait parvenir aux régulateurs une note dans ce sens afin de démontrer que le risque est disproportionné par rapport à l’activité d’AIS.
Auteurs
Anne-Victoire d’Herbécourt
Responsable Risques, Contrôle interne et Conformité en Fintech – Participante au parcours de certification LCB-FT ES Banque