Communication Finma sur la gestion des risques de fraude numérique

Les Expert(e)s > juridique > Vaïk Müller, Avocat, associé, Responsable Banque & Finance, CMS Genève

Le 9 avril 2026, la FINMA a publié la communication 02/2026 sur les risques de fraude numérique pour les banques et les établissements dits « fintech » (art. 1b LB). Cette communication est consécutive au constat fait par la FINMA d’une augmentation continue, depuis fin 2022, des cas de fraudes numériques affectant les banques.

Compte tenu de la tendance actuelle qui favorise le recours aux outils d’intelligence artificielle et à l’automatisation de l’administration des comptes ainsi qu’à la gestion des paiements, la FINMA considère que les établissements sont tenus de mettre en place un cadre adapté pour se conformer non seulement aux exigences organisationnelles prévues par la loi sur les banques et son ordonnance (art. 1a, 1b, 3 al. 2 let. a et 3c LB cum art. 12 al. 2 et 14e OB), mais également à la Circulaire FINMA 2023/1 concernant les risques et la résilience opérationnels applicable aux banques, groupes et conglomérats financiers, établissements fintech et maisons de titres.

Au demeurant, même si la communication se concentre sur les établissements précités, les attentes exprimées et ses conclusions devraient être prises en compte par l’ensemble des intermédiaires financiers, en particulier ceux actifs dans l’écosystème blockchain/crypto au regard non seulement des règles actuelles, mais également des évolutions réglementaires futures.

Notion de fraude numérique

Eu égard à la multiplicité des formes que peuvent revêtir les fraudes numériques, la FINMA considère qu’il est difficile d’en proposer une définition exhaustive et universellement admise. En pratique, cette notion se prête davantage à une approche fonctionnelle qu’à une délimitation conceptuelle rigide.

Les fraudes numériques se caractérisent, de manière générale, par l’exploitation de technologies numériques, de systèmes d’information ou de moyens de communication électroniques à des fins de tromperie susceptibles d’entraîner un préjudice patrimonial. Dans ce cadre, la FINMA liste un certain nombre d’exemples typiques relevant de cette approche fonctionnelle, tels que l’usurpation ou le détournement d’identité ainsi que les stratagèmes par lesquels des acteurs mal intentionnés induisent des tiers à ouvrir des comptes bancaires en ligne destinés à des usages frauduleux ou encore le vol d’identifiants ou l’ouverture de comptes au moyen de documents d’identité falsifiés.

Si le phénomène n’est pas nouveau, celui-ci ayant, par exemple, fait l’objet d’un examen en 2020 par le Groupe interdépartemental de coordination sur la lutte contre le blanchiment d’argent et le financement du terrorisme dans son rapport sur l’escroquerie et hameçonnage en vue de l’utilisation frauduleuse d’un ordinateur en tant qu’infractions préalables au blanchiment d’argent, la communication 02/2026 de la FINMA souligne les évolutions technologiques et s’attache à examiner les attentes du régulateur sous l’angle du droit de la surveillance, en particulier des risques opérationnels.

Gestion opérationnelle des risques

La FINMA a relevé que de nombreux  établissements ne disposaient pas de structures de gouvernance clairement établies en lien avec la gestion des risques de fraude numérique. Si la majorité des établissements interrogés par la FINMA disposent de ressources humaines affectées à cette tâche, les délimitations des tâches et des responsabilités ne sont souvent pas suffisamment formalisées, en particulier dans des directives dédiées. Les risques de fraude sont traités de manière éparse sans harmonisation particulière entre les différentes procédures/directives. De plus, seule environ la moitié des établissements interrogés inclut régulièrement, dans les rapports à la direction, des indicateurs relatifs aux cas de fraude numérique.

L’enquête de la FINMA souligne également que la majorité des établissements n’a pas défini de délais d’intervention pour le signalement des fraudes numériques. Enfin, le traitement des fraudes ne fait généralement pas l’objet d’un canal de signalement propre et la formation des collaborateurs tend à rester générale sans tenir compte des rôles spécifiques de chacun, voire des segments de clientèle particulièrement exposés.

« L’enquête de la Finma souligne également que la majorité des établissements n’a pas défini de délais d’intervention pourle signalement des fraudes numériques. »

S’agissant de l’ouverture des comptes en ligne, la FINMA relève que l’adoption de mécanismes de sécurité additionnels revêt une importance particulière, compte tenu des risques accrus associés à ce mode d’ouverture. Dans ce contexte, la FINMA s’attend ainsi à l’usage de moyens techniques devant permettre d’identifier les hypertrucages (deepfakes) ainsi que les vidéos manipulées.

Outre la gouvernance, la FINMA insiste dans sa communication sur la nécessité de déployer, à l’échelle de l’établissement, un dispositif de détection à la fois proactif, rapide et systématique (horizon scanning), afin d’anticiper et de lutter efficacement contre les risques de fraude numérique. À juste titre, l’Autorité de surveillance note qu’une identification ou une réaction tardives sont autant de risques d’une aggravation des pertes et de compromission d’un blocage efficace d’opérations de blanchiment d’argent.

Lutte contre le blanchiment d’argent

L’enquête de la FINMA a mis en évidence une utilisation limitée des données – généralement succinctes – issues des procédures know your customer (KYC), lesquelles sont principalement mobilisées pour des vérifications ponctuelles de plausibilité plutôt que pour le monitoring des transactions.

Les seuils d’identification des transactions à risque accru pour les clients privés présentant un risque faible ou normal sont souvent fixés à des niveaux élevés allant de 100 000 à 200 000 francs, traduisant une faible sophistication des dispositifs de contrôle reposant sur des seuils fixes plutôt que sur des scénarios analytiques. L’utilisation d’un seuil rigide et élevé, en particulier pour des transactions retails, est à même de favoriser les cas de fraude numérique et de money muling, lesquels impliquent fréquemment un phishing en temps réel ou une escroquerie en ligne permettant aux fraudeurs de faire transiter les fonds via des comptes tiers, souvent en exploitant des individus manipulés.

Conclusion

Cette communication et les attentes exprimées par la FINMA sont un signal clair envoyé aux établissements bancaires, fintech et, par extension, aux maisons de titres. Ces derniers devraient s’atteler à mettre en place un cadre adapté tant au niveau formel que technique afin de lutter contre la fraude numérique. Les néobanques et autres établissements proposant l’ouverture de compte en ligne sont, au premier chef, concernés. D’éventuels manquements pourraient non seulement être traités par la FINMA comme une violation des exigences organisationnelles, mais également donner lieu, dans le pire des cas (worst case scenario), à des procédures d’enforcement pour non-respect des obligations en matière de prévention du blanchiment d’argent.