La lutte contre le blanchiment d’argent exige une adaptation constante face à l’innovation des méthodes criminelles. Les établissements financiers, confrontés à un volume exponentiel de données, ont besoin d’outils plus sophistiqués.
L’intelligence artificielle, en analysant de vastes ensembles de données et en identifiant des patterns complexes, se révèle être une solution de choix pour améliorer la détection des activités suspectes et renforcer la conformité réglementaire. Mais quels sont les risques liés à l’utilisation de l’IA ?
Le superviseur s’est penché sur la question et l’Union Européenne a récemment légiféré à son tour.
LA REVOLUTION DE L’INTELIGENCE ARTIFICIELLE AU SERVICE DE LA LUTTE CONTRE LE BLANCHMENT D’ARGENT
Dans le cadre de la lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT) fondée sur le risque, les institutions financières sont tenues d’analyser les risques spécifiques liés à chaque client et de mettre en place des mesures de conformité adaptées à ce niveau de risque.
L’intelligence artificielle (IA) permet d’améliorer la précision des systèmes de lutte contre le blanchiment d’argent en automatisant l’analyse de grandes quantités de données transactionnelles et en identifiant des liens et des anomalies statistiques que les méthodes traditionnelles ne pourraient pas détecter.
LES LIMITES DES OUTILS TRADITIONNELS
Malgré leur généralisation dans les établissements financiers, les dispositifs de surveillance automatisée des opérations, pilier essentiel de la LCB-FT, présentent certaines limites.
Une étude de l’ACPR[1] révèle que ces dispositifs reposent souvent sur des modèles d’alertes simplistes, ne tirant pas pleinement parti des informations de connaissance client. Ils se concentrent principalement sur des seuils statiques, négligeant ainsi les comportements atypiques et les typologies de blanchiment plus complexes qui nécessitent de véritables scenarii de détection définis dans les rapports d’analyse de Tracfin par exemple.
Parmi les principales lacunes identifiées, on note :
- Une exploitation partielle des données : les informations de connaissance client, pourtant essentielles pour évaluer le risque, ne sont pas suffisamment exploitées dans les modèles d’alertes.
- Des modèles d’alertes peu discriminants : les alertes générées sont souvent trop nombreuses et peu pertinentes, entraînant un taux élevé de faux positifs.
- Une incapacité à détecter certains types de risques : les dispositifs actuels ne couvrent pas toujours l’ensemble des typologies de blanchiment, notamment celles liées à des comportements atypiques.
Les conséquences de ces limites sont une efficacité réduite, les dispositifs de surveillance automatisée ne parvenant pas à détecter tous les cas de blanchiment, une surcharge des équipes de conformité qui doivent traiter un grand nombre d’alertes peu pertinentes, et un risque de réputation, des lacunes dans les dispositifs de surveillance pouvant entraîner des sanctions réglementaires et porter atteinte à l’image des établissements.
Pour améliorer l’efficacité de ces dispositifs, il s’avère donc nécessaire de développer des modèles d’alertes plus sophistiqués, intégrant davantage d’informations de connaissance client et utilisant des techniques d’analyse plus avancées, de personnaliser les scenarii d’alertes en les adaptant aux spécificités de chaque établissement et de ses clients, d’intégrer des analyses comportementales et de mieux exploiter les données externes par l’utilisation des informations disponibles dans les bases de données publiques et les rapports d’analyse.
En conclusion, si les dispositifs de surveillance automatisée sont un outil précieux dans la lutte contre le blanchiment de capitaux, leur efficacité peut être considérablement améliorée en les rendant plus intelligents et en les adaptant aux évolutions des méthodes de blanchiment.
L’IA : UN NOUVEL ELAN POUR LES OUTILS DE CONFORMITE
Les systèmes d’IA offrent des avantages pour les processus de filtrage et les seuils de surveillance des transactions, fondés sur le risque : la logique floue, intégrée aux systèmes d’IA, offre une plus grande souplesse dans l’analyse des informations médiatiques négatives, permettant de réduire les faux positifs et d’améliorer la pertinence des résultats. Concernant la surveillance des transactions, l’IA peut définir de manière dynamique des seuils d’alerte LCB-FT. Ces seuils sont ajustés en fonction des données de risque spécifiques à chaque client et les outils d’apprentissage automatique décident si une alerte doit être générée en fonction du contexte de la transaction et du profil du client. Face à l’avènement de l’IA générative, les métiers de la finance sont appelés à évoluer. Les compliance officers pourront tirer parti de ces outils pour aller au-delà du simple contrôle a posteriori et instaurer une véritable collaboration afin d’optimiser la détection des risques de blanchiment d’argent et de financement du terrorisme.
Le Groupe d’Action Financière (GAFI) met en avant le potentiel de l’intelligence artificielle et de l’apprentissage automatique dans la lutte contre le blanchiment d’argent et le financement du terrorisme. Le GAFI a préconisé le déploiement d’outils de conformité LCB-FT s’appuyant sur l’IA dans une publication de 2021[2] consacrée aux opportunités et défis liés aux nouvelles technologies pour la LCB-FT. Le document définit l’IA comme l’utilisation de « techniques informatiques de pointe » pour « réaliser des tâches qui exigent généralement l’intelligence humaine, notamment la reconnaissance de caractéristiques ou la formulation de prévisions et de recommandations ou la prise de décisions. »
Il a notamment mis en exergue les atouts de l’IA dans la LCB-FT en termes :
- D’automatisation et accélération des processus : l’IA permet de traiter de grandes quantités de données rapidement et de manière plus précise, réduisant ainsi la charge de travail des équipes de conformité
- D’amélioration de la détection des fraudes : les algorithmes d’apprentissage automatique sont capables d’identifier des anomalies et des comportements suspects que les humains pourraient manquer, notamment en détectant des schémas complexes dans les données.
- De personnalisation des contrôles : l’IA permet d’adapter les contrôles de conformité à chaque client en fonction de son profil de risque spécifique.
- De réduction des faux positifs : les techniques de logique floue, par exemple, permettent de diminuer le nombre de fausses alertes, améliorant ainsi l’efficacité des investigations.
Ainsi, les applications de l’intelligence artificielle en matière de LCB-FT sont importantes : elle permet d’améliorer les traitements d’identification et de vérification des clients, en automatisant les processus de vérification de l’identité et de la situation financière des clients. Les algorithmes d’apprentissage automatique peuvent également détecter des transactions suspectes en temps réel en analysant un grand nombre de données. Enfin, elle peut aider à suivre les évolutions réglementaires et à mettre à jour les systèmes de conformité en conséquence.
Si le GAFI encourage les institutions financières à adopter des solutions d’IA pour renforcer leurs dispositifs de LCB-FT, il souligne également l’importance de maintenir un contrôle humain, l’IA doit être utilisée comme un outil complémentaire et non comme un substitut à l’expertise humaine, et de s’assurer de la qualité des données utilisées pour entraîner les modèles d’IA et vérifier régulièrement leur performance.
L’IA : UN OUTIL POUR LES SUPERVISEURS OU UN SUJET DE SUPERVISION ?
Dans une optique d’amélioration de l’efficacité des missions de contrôle des dispositifs de LCB-FT, l’ACPR et la Banque de France ont développé l’outil Suptech LUCIA (Logiciel à l’Usage du Contrôle assisté par l’Intelligence Artificielle).
UN OUTIL AU SERVICE DE L’ACPR
LUCIA est un logiciel innovant qui révolutionne la manière dont les contrôleurs évaluent la conformité des établissements financiers aux réglementations LCB-FT. En exploitant les dernières avancées en matière de data mining et d’apprentissage automatique, LUCIA est capable d’analyser de vastes volumes de données d’opérations financières et de détecter des anomalies subtiles qui pourraient échapper à une analyse manuelle.
Grâce à une approche méthodologique rigoureuse et à l’utilisation de sources d’information externes, LUCIA permet de construire des cartographies des risques personnalisées pour chaque établissement. Ces cartographies visualisent de manière intuitive les liens entre les clients, les transactions et les entités liées, facilitant ainsi l’identification des schémas suspects.
En outre, LUCIA offre aux contrôleurs une grande flexibilité dans leur analyse. Ils peuvent définir leurs propres scénarii de recherche et affiner leurs investigations en fonction des spécificités de chaque établissement.
Les principaux avantages de LUCIA sont les suivants :
- Gain d’efficacité : automatisation des tâches répétitives et identification rapide des zones à risque.
- Amélioration de la qualité des contrôles : détection de défauts déclaratifs plus précise et plus rapide.
- Approche par les risques : concentration sur les dossiers les plus pertinents.
- Indépendance : l’outil n’est pas dépendant des systèmes de l’établissement contrôlé.
- Flexibilité : l’outil s’adapte à différents types d’établissements et de risques.
En conclusion, LUCIA est une solution de pointe qui contribue à renforcer la lutte contre le blanchiment d’argent et le financement du terrorisme. En permettant aux contrôleurs de l’ACPR d’analyser les données de manière plus approfondie et plus efficace, LUCIA contribue à un système financier plus sûr et plus transparent.
L’IA offre donc de nombreuses opportunités pour améliorer l’efficacité et la précision des systèmes de LCB-FT. Cependant, son déploiement doit être réalisé de manière responsable et en tenant compte des risques associés et son déploiement est sous la vigilance des régulateurs.
L’IA SOUS LA SURVEILLANCE DES SUPERVISEURS
En 2020, l’Autorité de Contrôle Prudentiel et de Résolution (ACPR) a publié un document important sur la gouvernance de l’intelligence artificielle au sein des établissements financiers[3]. Ce document met en avant plusieurs points clés pour une intégration réussie et sécurisée de l’IA :
- Processus métier solide : l’IA doit être intégrée dans des processus métier existants et apporter une réelle valeur ajoutée.
- Transparence et explicabilité : les modèles d’IA doivent être suffisamment compréhensibles pour permettre aux employés et aux clients d’en saisir les mécanismes et les limites.
- Interaction humaine : l’IA ne doit pas remplacer l’humain mais l’assister. Les employés doivent être formés pour travailler en collaboration avec les outils d’IA.
- Sécurité renforcée : l’intégration de l’IA introduit de nouveaux risques de sécurité. Les établissements financiers doivent mettre en place des mesures de protection adéquates.
- Validation et audit continus : les modèles d’IA doivent être régulièrement évalués et audités pour garantir leur performance et leur conformité aux réglementations.
L’ACPR encourage ainsi les établissements financiers à adopter une approche responsable de l’IA, en mettant l’accent sur la transparence, la sécurité et la maîtrise des risques. Le superviseur français souligne l’importance d’une approche équilibrée de l’IA, où la technologie est au service de l’humain et où les risques sont maîtrisés. Les établissements financiers doivent ainsi mettre en place une gouvernance solide pour garantir une utilisation responsable et efficace de l’IA.
Les régulateurs financiers du monde entier reconnaissent le potentiel de l’intelligence artificielle pour renforcer la lutte contre le blanchiment d’argent (LCB) et le financement du terrorisme (FT). Cependant, ils soulignent également la nécessité d’une adoption responsable et encadrée de ces technologies.
Pour exemples de recommandations spécifiques, au Royaume-Uni, la Financial Conduct Authority (FCA) suggère d’évaluer régulièrement les performances des systèmes d’IA en matière de conformité, de s’assurer que les avantages de l’IA sont proportionnels aux risques et de mesurer l’impact de l’IA sur les consommateurs.
En Allemagne, dans un rapport de 2022[4], la BaFin a insisté sur les exigences de supervision pour les algorithmes de conformité LCB basés sur l’IA, ainsi que sur l’importance de l’explicabilité des modèles d’apprentissage automatique et plaide pour une harmonisation des exigences de supervision au niveau européen.
Aux États-Unis, le FINCEN encourage les établissements financiers à adopter des approches innovantes basées sur l’IA et souligne l’importance de la gestion des risques liés à la sécurité et à la conformité.
En conclusion, si l’IA offre des opportunités considérables pour renforcer la lutte contre le blanchiment d’argent et le financement du terrorisme, les régulateurs du secteur financier restent vigilants quant à son utilisation et le respect des droits et libertés des consommateurs. Son développement et son déploiement doivent être accompagnés d’un cadre réglementaire solide pour garantir une utilisation responsable et efficace de ces technologies. L’avènement des modèles d’IA générative s’est ainsi invité dans les travaux parlementaires de l’IA Act.
L’IA ET LA REGLEMENTATION EUROPEENNE
Le règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle, premier acte législatif sur l’IA, est paru au Journal officiel de l’Union Européenne (JOUE) du 12 juillet 2024.
UNE DEFINITION EUROPEENNE DE L’IA
Le règlement offre une définition précise et opérationnelle du système d’IA, en tenant compte de l’évolution rapide des technologies et en s’inspirant des travaux des organisations internationales. Cette définition permet d’assurer une sécurité juridique accrue et de faciliter la convergence réglementaire à l’échelle mondiale.
L’inférence, qui consiste à tirer des conclusions à partir de données ou de faits connus, est une caractéristique fondamentale des systèmes d’IA. Le règlement la définit comme « le processus consistant à générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions, qui peuvent influencer l’environnement physique ou virtuel, et la capacité des systèmes d’IA à inférer des modèles ou des algorithmes, ou les deux, à partir d’entrées ou de données ».
Les systèmes d’IA utilisent principalement deux types d’approches pour effectuer des inférences : l’apprentissage automatique, qui permet aux machines d’apprendre à partir de données, et les approches fondées sur la logique, qui utilisent des règles et des connaissances préétablies pour résoudre des problèmes.
Contrairement à un simple traitement de données, l’inférence confère aux systèmes d’IA la capacité d’apprendre, de raisonner et de construire des modèles complexes.
Les systèmes d’IA possèdent des capacités leur permettant d’agir de manière indépendante, en prenant des décisions et en exécutant des tâches sans la nécessité d’une supervision humaine.
Le règlement sur l’IA définit aussi :
- Un système d’identification biométrique à distance comme « un système d’IA destiné à identifier des personnes physiques sans leur participation active, généralement à distance, en comparant les données biométriques d’une personne avec celles qui figurent dans une base de données » ;
- Un système d’identification biométrique à distance en temps réel comme « un système d’identification biométrique à distance dans lequel l’acquisition des données biométriques, la comparaison et l’identification se déroulent sans décalage temporel important et qui comprend non seulement l’identification instantanée, mais aussi avec un léger décalage afin d’éviter tout contournement des règles ».
La nouvelle règlementation européenne classe les différents types d’IA, en fonction de leur degré de risque : risque minimal, risque limité, risque élevé et risque inacceptable. Une approche à deux niveaux est adoptée pour réguler l’IA générative : des règles minimales pour tous, et des exigences renforcées pour les systèmes jugés à risque.
LES LIMITES IMPOSEES : LA GARANTIE DU RESPECT DES DROITS FONDAMENTAUX
Ce règlement vise à instaurer un cadre de confiance pour l’IA, en garantissant la sécurité, la transparence et l’éthique des systèmes, tout en renforçant la compétitivité de l’industrie européenne de l’IA.
Plus spécifiquement, le règlement établit :
- Des règles harmonisées concernant la mise sur le marché, la mise en service et l’utilisation de systèmes d’IA dans l’UE ;
- L’interdiction de certaines pratiques ;
- Des exigences spécifiques applicables aux systèmes d’IA à haut risque ;
- Des règles harmonisées en matière de transparence applicables :
- aux systèmes d’IA destinés à interagir avec des personnes,
- aux systèmes de reconnaissance des émotions et de catégorisation biométrique,
- aux systèmes d’IA générative utilisés pour générer ou manipuler des images ou des contenus audio ou vidéo ;
- Des mesures visant à soutenir l’innovation, particulièrement pour les petites et moyennes entreprises (PME).
Cette approche doit évaluer les bénéfices sociétaux et environnementaux de l’IA tout en identifiant et en atténuant les risques associés. Elle s’inscrit dans le respect des valeurs fondamentales de l’Union Européenne (Charte des droits fondamentaux) et est en adéquation avec les normes élevées de protection des données et des consommateurs, d’égalité entre les femmes et les hommes et de non-discrimination, complétant la législation existante en matière de non-discrimination en introduisant des mesures spécifiques pour prévenir les biais algorithmiques.
Publié au Journal officiel le 12 juillet 2024, le Règlement sur l’IA (RIA, ou IA Act en anglais) est entré en vigueur vingt jours après, soit le 1er août 2024. L’entrée en application se fera ensuite de façon échelonnée :
- 2 février 2025 (6 mois après l’entrée en vigueur) : interdictions relatives aux systèmes d’IA présentant des risques inacceptables.
- 2 août 2025 (12 mois après l’entrée en vigueur) : application des règles pour les modèles d’IA à usage général et nomination des autorités compétentes au niveau des États membres.
- 2 août 2026 (24 mois après l’entrée en vigueur) : toutes les dispositions du règlement sur l’IA deviennent applicables, en particulier l’application des règles relatives aux systèmes d’IA à haut risque de l’annexe III, et mise en œuvre par les autorités des États membres d’au moins un bac à sable réglementaire.
- 2 août 2027 (36 mois après l’entrée en vigueur) : application des règles relatives aux systèmes d’IA à haut risque de l’annexe I (jouets, équipements radio, dispositifs médicaux de diagnostic in vitro, sécurité de l’aviation civile, véhicules agricoles, etc.).
Par ailleurs, l’entrée en application s’appuiera sur des « normes harmonisées » au niveau européen qui doivent définir précisément les exigences applicables aux systèmes d’IA concernés.
CONCLUSION
Le règlement cherche à concilier les bénéfices de l’IA avec la nécessité de protéger les droits fondamentaux, la sécurité et la vie privée. L’entrée en vigueur échelonnée permet aux acteurs de s’adapter progressivement aux nouvelles exigences. Le recours à des normes harmonisées permet d’adapter le règlement aux évolutions technologiques rapides.
En résumé, ce règlement positionne l’Europe comme un leader mondial dans la régulation de l’IA, en offrant un modèle de gouvernance équilibré et adapté aux enjeux du 21ème siècle. En instaurant un cadre clair et harmonisé, il vise à promouvoir une IA éthique, sûre et transparente, tout en soutenant l’innovation et la compétitivité de l’industrie européenne.
[1] Rapport sur la revue des dispositifs automatisés de surveillance des opérations en matière de LCB-FT publié en avril 2023, dans le cadre de la Commission consultative de lutte contre le blanchiment de capitaux et le financement du terrorisme (CCLCB-FT), placée sous l’égide du Collège de supervision de l’Autorité de contrôle prudentiel et de résolution (ACPR), avec la participation de 36 établissements de la place.
[2] Opportunities and challenges of new technologies for aml/cft, 2021 FATF/OECD
[3] Gouvernance des algorithmes d’intelligence artificielle dans le secteur financier – Document de réflexion – Juin 2020.
[4] Machine Learning in Risk Models
© Article rédigé par votre équipe VNCA