La RegTech : une solution aux sanctions de conformité embargo

La RegTech : une solution aux sanctions de conformité embargo

Les banques face au joug des sanctions

Une accumulation d’amendes

Les banques ont deux lignes de reporting, la première auprès des régulateurs est assimilée au quotidien du métier bancaire. La seconde, moins évidente, est rappelée aux esprits en défrayant la chronique par des amendes record : il s’agit du reporting auprès des organismes gouvernementaux qui ont infligé total de 320[1] Mds de dollars de sanction aux banques depuis 2007.

Plus particulièrement, les manquements au respect des sanctions et embargos internationaux ont couté à eux seuls plus de €20Mds aux banques européennes. En France on peut citer les récentes sanctions de l’OFAC : Crédit Agricole €700 Mio pour ses transactions avec Cuba et le Soudan, BNPP $9 Mds (soit 12% du CET1) pour ses transactions avec l’Iran. La clameur monte quant à la légitimité de la justice américaine de pénaliser des banques en dehors de son territoire sur base de sanctions décidées unilatéralement par les Etats-Unis. Qui fixe les règles ?

[1] Global Risk 2017: Staying the Course in Banking – BCG

 

Des acteurs à la fois juges et parties

En matière de conformité embargo et sanctions internationales, trois instances régissent sans se concerter : l’ONU, l’OFAC, et l’UE. Il est à noter que cet article ne traitera que des sanctions et embargos financiers.

Le cas de l’ONU est le plus consensuel, une liste publique[1] est maintenue et les entrées et sorties sont votées en conseil de sécurité. Chaque état membre doit respecter cette liste mais conserve la possibilité d’établir une liste locale plus exhaustive. Le conseil de sécurité est en droit d’imposer des sanctions aux transgresseurs sous l’article VII de la charte de l’ONU.

L’UE est similaire à l’ONU, la liste[2] de sanctions est multilatérale, son objectif est préventif plus que punitif, et s’applique à toute personne ou entité régie par la loi Européenne.

L’OFAC (Office of Foreing Assets Control) est l’organisme gouvernemental qui a le plus d’impact. Il maintient une liste[3] mise à jour par le département du trésor américain dont la fréquence de mise à jour est plus élevée, ce qui rend la conformité plus délicate. Le champ des personnes concernées par l’OFAC est vague : les américaines, les entités sous contrôle américain […], des étrangers en possession de biens d’origine américaine.

Des listes complémentaires sont à considérer au cas par cas (HM treasury OFSI, Singapour MAS, Canada GAC…).  La conformité embargo est achevée en filtrant ses transactions et ses clients par rapport à ces listes. Plutôt simple, qu’en est-il dans les faits ?

[1] UN Consolidated Sanctions List

[2] EU Consolidated Sanctions List

[3] OFAC Consolidated Sanctions List

 Une mise en conformité délicate

Le filtrage embargo est réalisé sur les individus et les transactions en confrontant, en temps réel et post-facto, les listes de sanctions aux documents KYC des contreparties.

La qualité de la donnée étant variable, les règles de recherche permettent une équivalence approximative des mots clés lors du premier filtrage. Ceci génère un nombre important d’alertes à traiter manuellement par des opérateurs en seconde vague (60 000 faux positifs pour un vrai positif en moyenne).

Ajouter à cela que les listes de sanction ainsi que les méthodes de contournement des contrôles par les clients des banques évoluent en permanence, et cette simple opération de filtrage devient alors un casse-tête pour les départements de contrôle permanent, contraints de doubler leurs effectifs pour faire face au volume d’alertes à arbitrer. Fort heureusement on trouve une solution par l’innovation.

La lumière au bout du tunnel : les RegTech

Le marché des RegTech offre trois solutions, complémentaires, au défi posé : le screening amélioré, la Blockchain et l’IA.

Le screening amélioré pour un premier filtrage

L’objectif de ces solutions est d’obtenir un filtrage exhaustif tout en réduisant le ratio de faux positifs. Elles combinent des répertoires de données de tiers déjà identifiés par d’autres banques et de nombreuses listes officielles, avec des moteurs de recherche « fuzzy search » (recherche approximative). La solution la plus populaire dans ce domaine est la joint-venture de SWIFT et du français FircoSoft : « SWIFT Sanction Screening ».

La Blockchain pour stocker les données en sécurité

La Blockchain[1] (ou Distributed Ledger Technology) est une base de données décentralisée, incorruptible et dont le contenu ne peut être consulté qu’à condition d’avoir la bonne clé. La Blockchain est constamment mise à jour en comparant ses données aux données locales de chaque membre du réseau.

Appliquée au KYC cette technologie évite les redondances en permettant de stocker en un unique lieu sécurisé les données KYC des clients avec la garantie qu’elles sont légitimes. De plus, chaque action de traitement d’une alerte en local par une banque du réseau contribue à enrichir la Blockchain. Le résultat est une Golden Source KYC, aisément auditable par le régulateur et accessible par toutes les institutions financières.

Un test a été réalisé à Singapour entre le régulateur et trois banques (OCBC Bank, HSCB et MUFG) avec des résultats positifs. Aucune initiative sérieuse n’est à relever pour le moment en Europe.

[1] Bitcoin, Blockchain et Distributed Ledger Technologies (DLT) : peut-on parler d’une véritable révolution pour l’industrie bancaire et financière ? – MPG Partners

 L’Intelligence Artificielle (IA) pour le traitement de masse

Les deux solutions précédentes contribuent à réduire le nombre d’alertes générées, elles ne permettent pas de s’affranchir des opérateurs traitant manuellement chaque alerte. Puisqu’il s’agît d’une tâche répétitive, elle est automatisable à l’aide d’une IA.

En Machine Learning (ML), on dote un algorithme de neurones (des critères de choix), on donne à l’algorithme des cas précédemment traitées par des humains à étudier, puis par itération, l’algorithme pondère ses neurones pour obtenir le meilleur résultat. Il s’agît de traduire par une formule mathématique les choix implicites qu’effectue un humain lors d’une opération. On peut alors combiner cette formule mathématique à la rapidité de calcul d’un ordinateur pour traiter un grand volume d’alertes avec une qualité comparable à l’humain. Des solutions KYC de ML sont proposées par CGI LOGICA- HOTSCAN.

En Deep Learning (DL), la méthode est similaire au ML à l’exception faite que la création de neurones (la définition des critères de résolution) est laissée libre. L’algorithme est capable de détecter régularités et tendances, et de lier des métadonnées d’une manière inenvisageable par l’être humain. La qualité du traitement peut alors dépasser celle de l’humain puisque l’algorithme est non-contraint. Bighterion est le seul fournisseur proposant une solution de DL applicable au KYC.

Blockchain + IA : le nouveau KYC

Le KYC a besoin d’évolution

Les solution KYC disponibles sur le marché sont un remède temporaire permettant de soulager la charge des institutions financières. Elles ne sont pas scalable et ne pourront faire face au volume inlassablement croissant de transactions et des contreparties. Il faut une innovation de rupture : Blockchain + IA pour traiter le filtrage embargo avec la qualité exigée par le régulateur (i.e. 0 tolérance pour l’erreur). Puisqu’il s’agît d’innovation, il convient d’en repérer les barrières

Une première barrière structurelle

Les banques n’ont pas terminé leur révolution numérique. Les outils des banques se modernisent, mais leurs SI sont vétustes et les initiatives de création de Datalab / Datalake éparses. Ceci pose un problème de qualité de la donnée censée alimenter les algorithmes et la Blockchain. De surcroît les canaux de communication sont multiples (intra-bank, wholesale, internationaux…) limitant le déploiement d’une solution unique et transverse.

Une seconde barrière humaine

Le manque de confiance dans les nouvelles technologies subsiste. Bien que réputée incorruptible, le régulateur doit en acquérir la certitude avant de se reposer aveuglement sur une solution Blockchain. Dans le cas de l’IA c’est le manque de transparence qui pose un problème, au régulateur, mais aussi aux dirigeants ; imaginer le risque de réputation résultant de l’introduction d’un biais algorithmique fondé sur l’observation d’un biais humain involontaire.

L’IA appliquée au filtrage embargo prendra une place, croissante à la mesure de l’amélioration des SI, dans les contrôles permanents des banques mais sans se supplanter à l’humain.