Le GAFI publie son guide des actifs virtuels
Le GAFI vient de publier un guide des actifs virtuels et des distributeurs d’actifs virtuels. Cette démarche illustre la prise en compte par les institutions de ces services et de leur poids croissant dans l’économie. Par la publication de cette note, le GAFI met à jour sa recommandation n°15, relative aux nouvelles technologies.
Dans le guide, le GAFI approfondit ce qu'il avait déjà abordé dans une note dédiée en 2015, et tente de clarifier les applications en matière de LCB-FT par rapport aux Virtual Assets, dont il étend la définition. Par "Virtual Asset" (VA), le GAFI désigne toute représentation digitale d'une valeur qui peut être échangée, transférée ou utilisée comme moyen de paiement ou d'investissement. Cela correspond à ce que l'on entend par crypto-actif (pour la Banque de France) ou crypto-monnaie (dans le langage commun). Cela ne couvre toutefois pas que les crypto-actifs utilisant le blockchain sans autorité centrale, comme le bitcoin: le GAFI entend également inclure les Initial Coin Offering (ICO), jetons numériques échangeables mais émis par une entité à des fins de financement. Au-delà des crypto-actifs, le GAFI exclue certains actifs numériques, tels que les Non Fungible Token (NFT). En outre des VA, le guide du GAFI s’intéresse aux plateformes d’échanges des VA, les Virtual Asset Service Providers (VASP).
GAFI oblige, ce guide s'adresse surtout aux états et institutions qui doivent appliquer des réponses en termes de réglementation. Par extension, cela peut également intéresser les sociétés en lien avec ces questions ou les acteurs financiers traditionnels: d'une part pour mieux appréhender les risques associés à ces activités, d'autre part pour éventuellement anticiper les évolutions réglementaires à venir. Le GAFI note en particulier que si certains états ont déjà déployé un dispositif de supervision des VA et VASP, ce n'est pas le cas partout.
Des risques LCB-FT… comme pour tout produit financier
D'une manière générale, cette note thématique rappelle que les recommandations du GAFI ne préjugent pas des risques portés intrinsèquement par un secteur en particulier, mais recommande aux états de réaliser des évaluations au cas par cas, selon les pays et les spécificités de chaque activités. Le GAFI plaide donc pour un recensement, par les pays, des VASPs et d'une évaluation par les autorités des risques associés. Concernant le recensement, la France s’est attelée à ce type démarche à la suite de la loi PACTE qui a créé les PSAN, qui doivent être enregistrés auprès de l’AMF.
D'une manière générale, le guide encourage les états à considérer les VA et VASP comme entrant dans le périmètre des recommandations du GAFI, selon une approche par les risques ("RBA"). Les principaux risques LCB-FT associés aux VA portent sur l'anonymat des transactions permis par ces instruments - et de manière subsidiaire leur utilisation effective dans le financement d'activités criminelles. Un risque est également porté par principe dans l'exécution des transactions: si l'on peut exiger d'une plateforme d'échange de collecter des informations sur le client et sur l'opération, il est plus difficile d'assujettir directement aux réglementations LCB-FT les échanges peer-to-peer - typiquement les mécanismes de blockchain des crypto-actifs. L'absence d'implication d'une entité quelconque dans ces échanges rend impossible l'application de contrôles LCB-FT.
Certains risques spécifiques aux actifs virtuels sont également mentionnés, en particulier ceux associés à l’usage de ransomware - logiciels et attaques informatiques visant à escroquer des victimes - qui utilisent des crypto-actifs pour garantir l’anonymat de leurs bénéficiaires.
Au-delà de l'analyse de risque nécessaire, le GAFI plaide aussi pour la coordination nationale entre les différents acteurs institutionnels et privés, mais aussi la coopération internationale, rendue obligatoire par le caractère transfrontalier des activités d’échanges et de transferts de VA.
Pour le reste, les obligations relatives à la connaissance de la clientèle, à la vigilance client (CDD & EDD) à la surveillance des opérations, à la collecte de documents et d’informations (dont potentiellement l’adresse IP du client), à l’identification des PPE, ou encore à l’analyse des opérations (y compris l’analyse de la blockchain), doivent s’appliquer aux VASP, au même titre que pour les autres acteurs financiers.