Indicateurs de risque liés aux crypto-actifs utilisés par les institutions financières

Introduction

Le Joint Chiefs of Global Tax Enforcement (J5) aimerait attirer votre attention sur les indicateurs de risque liés aux crypto-actifs qui peuvent indiquer du blanchiment d’argent, de la cybercriminalité, de l’évasion fiscale et d’autres activités illicites.

Le J5, un partenariat de collaboration entre les autorités fiscales et les organismes d’application de la loi de cinq pays, a cerné plusieurs indicateurs de risque que les institutions financières devraient connaître. Les indicateurs de risque jouent un rôle essentiel pour améliorer la capacité des institutions financières à détecter et à signaler le blanchiment d’argent et les activités illicites concernant des crypto-actifs. Pour contrer ces risques, la détermination en temps opportun permet aux institutions d’intervenir et de rendre compte aux autorités pertinentes, ce qui contribue à l’intégrité globale du système financier et garantit l’observation des règlements de lutte contre le recyclage des produits de la criminalité (LRPC).

Pour détecter des signes de blanchiment d’argent et d’évasion fiscale, il est nécessaire de collecter, d’analyser et de déclarer les données financières. En diffusant les indicateurs de risque aux institutions financières, des organismes d’application de la loi peuvent transmettre des renseignements précieux au secteur financier et aux organismes d’établissement de rapports. Cet échange améliore la capacité des entités déclarantes à détecter et à signaler les activités suspectes nécessaires pour perturber les flux financiers illicites. Bien que les indicateurs de risque puissent varier et qu’ils ne soient pas tous abordés, on observe couramment les détails de la présente note d’information. 

Déterminer la superposition des crypto-actifs (crypto asset layering)

Les indicateurs de risque suivants concernent des opérations qui visent à dissimuler l’origine illicite des fonds, ce qui présente un risque majeur pour le secteur financier. Tout au long de leur relation avec leurs clients, les institutions financières devraient accorder la priorité à la détection de la superposition de crypto-actifs (crypto asset layering). Il s’agit de la phase du blanchiment d’argent au cours de laquelle les opérations sont intentionnellement complexes pour dissimuler l’origine illicite des fonds. Par exemple, des volumes anormalement élevés avec des mouvements rapides de fonds entre les portefeuilles numériques, surtout dans plusieurs administrations, peuvent signaler une superposition potentielle. Pour contrer ces risques, on invite les institutions financières à consulter les indicateurs de risque et les comportements suivants liés aux techniques de blanchiment d’argent en évolution.

• Des mouvements rapides de fonds entre les comptes détenus dans le cadre d’échanges de cryptomonnaies sans justification opérationnelle apparente.
• Un client envoie ou reçoit des volumes incohérents et plus importants que prévu à partir d’adresses de portefeuilles privés.
• La conversion de différents crypto-actifs en exploitant la vaste gamme d’actifs numériques pour compliquer le repérage des fonds.
• Le client envoie ou reçoit des volumes élevés à partir de plateformes pair à pair, ce qui permet un transfert direct entre les parties, mais contourne les institutions financières traditionnelles.
• Le client utilise des mixeurs de crypto (crypto mixers) pour l’envoi et la réception de crypto-actifs.
• Le client envoie ou reçoit des crypto-actifs à partir de plateformes de jeu.
• Une partie disproportionnée de l’activité du compte du client comprend l’achat et la vente de la cryptomonnaie anonyme ou le maintien d’un vaste portefeuille de la cryptomonnaie anonyme. Ces crypto-actifs sont conçus pour améliorer la protection des renseignements personnels et sont couramment utilisés pour dissimuler les détails des opérations et l’identité des parties concernées.
• Le client envoie ou reçoit de la cryptomonnaie à partir de marchés sur l’internet clandestin, de magasins frauduleux ou de plateformes d’échanges à risque élevé.
• Le volume et la fréquence des transferts entre différents types de crypto-actifs sont élevés.
• Le client effectue des opérations qui utilisent des montants arrondis au dollar près ou des montants structurés pour éviter les exigences de déclaration bancaire.
• Les opérations en cryptomonnaie du client passent par plusieurs adresses intermédiaires en très peu de temps avant d’être ajoutées au portefeuille du client, ou juste après avoir été retirées.
• Le client transfère une grande quantité de bitcoins en échange de la cryptomonnaie anonyme. 

Indicateurs de risque géographiques

Les unités de renseignements financiers doivent faire preuve de vigilance lorsqu’il s’agit de traiter des opérations de cryptomonnaie liées à des administrations connues pour leurs cadres réglementaires faibles, leurs contrôles inadéquats de LRPC ou leurs niveaux accrus de corruption. Les indicateurs de risque géographiques suivants peuvent indiquer qu’il existe un risque d’envoi et de réception entre des échanges à risque élevé qui manquent de mesures de vérification de l’identité des clients, de diligence raisonnable en matière d’opérations et de mesures d’observation juridiques ou réglementaires. Ces échanges peuvent aussi se produire dans des administrations étrangères ayant des antécédents de paradis fiscaux et de secret bancaire, ou dans des pays étrangers connus pour la corruption publique.

• Des opérations concernant des plateformes d’échange situées dans des administrations à risque élevé, désignées comme étant non coopératives aux fins de LRPC.
• Un changement des adresses IP, ce qui entraîne également un changement de fournisseurs de services téléphoniques. Cela pourrait indiquer une dissimulation de l’identité au moyen de la technologie.
• Des comptes de clients accessibles en utilisant des adresses IP provenant d’administrations à risque élevé. L’utilisation conjointe d’un compte ou l’ouverture de session à partir d’appareils faisant l’objet d’un suivi des adresses IP dans les administrations à risque élevé peut indiquer que le compte fait partie d’un plus grand réseau de comptes.
• Des adresses cryptographiques qui correspondent aux adresses figurant sur les listes de surveillance reconnues, comme la liste de l’Office of Foreign Assets Control ou les renseignements sur l’application de la loi. 

Contreparties à haut risque

Les contreparties des clients, les bénéficiaires et les expéditeurs des opérations peuvent servir d’indicateurs de risque importants en ce qui concerne le blanchiment d’argent potentiel et les activités illicites dans le domaine des crypto-actifs. Les contreparties inhabituelles, surtout s’il s’agit d’entités à risque élevé ayant des structures de propriété obscures, peuvent justifier un examen plus approfondi. De plus, les opérations où les renseignements sur le bénéficiaire et l’expéditeur sont masqués ou comportent plusieurs couches d’intermédiaires peuvent indiquer des tentatives de dissimulation de la véritable source ou de la destination des fonds. Les institutions financières et les plateformes d’échange de cryptomonnaies doivent surveiller de près les opérations de leurs clients et les parties avec lesquelles ils interagissent dans le domaine de la cryptomonnaie.

• Les crypto-actifs du client proviennent d’un courtier du marché hors cote qui annonce ses services comme étant anonymes ou axés sur la protection des renseignements personnels.
• L’envoi et la réception directs d’échanges de cryptomonnaies à risque élevé qui sont exploités dans des administrations ayant un cadre réglementaire et de la LRPC inadéquats.
• Les fonds ou les cryptomonnaies qui sont ajoutés ou retirés des adresses cryptographiques ou des portefeuilles avec des liens d’exposition directs et indirects vers des sources suspectes connues, y compris les marchés sur l’internet clandestin, les services de mixage, les sites de jeu douteux, les activités illégales (par exemple, les rançongiciels) ou les rapports de vol.
• Les interactions avec des institutions financières ou des personnes assujetties à des sanctions ou situées dans des États sanctionnés. 

Indicateurs de risque liés à l’intégration des nouveaux clients

En ayant de solides pratiques de connaissance du client, les plateformes d’échange de cryptomonnaies peuvent cerner les risques associés aux opérations de cryptomonnaie et garantir l’observation des mesures réglementaires visant à renforcer l’intégrité du système financier. En recueillant des renseignements sur les clients et en tenant à jour un profil complet sur ces derniers, les institutions financières et les plateformes d’échange de cryptomonnaies peuvent vérifier la source des crypto-actifs et l’historique des opérations en vue de mieux comprendre l’exposition et les activités en matière de cryptomonnaie de leurs clients.

• Le client tente de fournir le moins de renseignements possible sur son identité, y compris des renseignements d’identification incomplets ou insuffisants.
• La propriété effective de l’entreprise est difficile à établir.
• Le client est difficile à joindre; il répond seulement par courriel ou clavardage sur le Web à des heures inhabituelles.
• Le niveau ou le volume des activités opérationnelles ne concorde pas avec le profil financier apparent du client, son profil habituel d’activités, ses renseignements professionnels ou ses renseignements d’entreprise déclarés.
• Les clients qui s’inscrivent à la plateforme d’échange dans un court laps de temps en utilisant une adresse partagée, un appareil mobile, un numéro de téléphone, des adresses IP et d’autres indicateurs d’identité communs.
• Le client utilise un fournisseur de services de courriel axé sur l’anonymat.
• L’adresse cryptographique d’un client s’affiche sur les forums publics liés aux activités illégales.
• Le client effectue des opérations avec des adresses cryptographiques qui sont liées à des enquêtes publiques.
• Le client a accès à plusieurs comptes utilisés pour acheter de la cryptomonnaie. Il est également possible d’accéder à la configuration du compte en tant que représentant autorisé ou si le client effectue les opérations lui-même.
• Le client fournit une adresse courriel anonyme obtenue au moyen d’un service de courriel chiffré.
• Plusieurs changements apportés aux coordonnées d’un compte qui pourraient indiquer une prise de contrôle du compte d’un client.
• Le compte configuré où le client a accès à plusieurs comptes bancaires ou aux comptes d’autres personnes peut indiquer une activité de mule financière.
• L’adresse courriel du client utilisée dans l’opération est liée aux publicités pour la vente de crypto-actifs sur les plateformes d’échange pair à pair. Ces publicités peuvent suggérer que le client achète et vend des crypto-actifs à l’échelle commerciale par l’intermédiaire d’une entreprise en tant qu’entreprise de services monétaires non enregistrée.
• Un numéro de compte dans un pays autre que celui de la citoyenneté ou de l’adresse résidentielle du client. Cela pourrait indiquer que le client cache qui est le véritable propriétaire du compte.
• Le client ne veut pas ou n’est pas en mesure de fournir des renseignements à l’appui sur la source des crypto-actifs ou sur la raison pour laquelle il détient de la cryptomonnaie anonyme. 

Indicateurs de risque liés aux rançongiciels et aux cybercriminels

Les plateformes d’échange de cryptomonnaies ont un rôle important à jouer pour détecter et signaler les flux financiers liés aux rançongiciels et mettre fin aux paiements de rançongiciels, car il s’agit d’un point clé où les criminels interagissent avec le système financier légitime. Les cybercriminels utilisent de nombreuses méthodes pour tenter de dissimuler l’origine et la destination des paiements de rançongiciels avant que la monnaie numérique arrive au portefeuille final ou au compte bancaire sous leur contrôle. Les cybercriminels utiliseront des méthodes sophistiquées pour tenter de masquer leur flux de fonds. Ces indicateurs de risque ont pour but d’aider les institutions financières à repérer les acteurs malveillants potentiels ou les comptes associés aux organisations qui utilisent des rançongiciels et participent à la cybercriminalité.

• Le client utilise la cryptomonnaie anonyme de façon inhabituelle et élevée. La cryptomonnaie anonyme est une monnaie numérique qui offre un anonymat accru en masquant le montant, la destination et l’origine des opérations.
• Les opérations du client présentent des saut de chaîne (chain-hopping). Il s’agit de l’endroit où une monnaie numérique est échangée contre une autre. La monnaie numérique est déplacée d’une chaîne de blocs à une autre, d’où le terme « changement de chaîne ».
• Le compte et le client effectuent des opérations avec un mixeur. Les cybercriminels acheminent les paiements de rançongiciels au moyen d’adresses, d’échanges et de mixeurs de monnaie numérique intermédiaires. Les mixeurs augmentent l’anonymat en mélangeant la monnaie numérique du client aux opérations des autres avant de la réacheminer vers le client.
• L’utilisation de comptes de mule financière. Un compte de mule financière est créé à l’aide d’une identité volée ou fausse, ou d’un compte légitime détenu par une autre partie qui est complice de son utilisation.
• Un client a peu ou pas d’activités liées à la monnaie numérique à la suite d’un transfert initial important de monnaie numérique.
• Le compte de monnaie numérique du client est lié à plusieurs comptes bancaires dans plusieurs institutions différentes, ou il est financé par ces derniers.
• Un client nouvellement intégré veut faire un important achat immédiat de monnaie numérique, suivi d’un retrait immédiat à une adresse de monnaie numérique externe.

Mot de la fin

Le J5 a énuméré ces indicateurs de risque essentiels de blanchiment d’argent, de non-respect des sanctions, de cybercriminalité, d’évasion fiscale et d’autres activités illicites dans le domaine des crypto-actifs. Les institutions financières utilisent ces indicateurs pour détecter de façon proactive les crimes financiers et y répondre.

Observer l’un de ces indicateurs ne suggère pas une activité illégale en soi. Toutefois, si vous voyez une combinaison d’indicateurs ou si vous observez une autre activité qui soulève des soupçons, veuillez inclure le terme « J5-Cyber » dans les rapports financiers.

À mesure que le paysage financier continue d’évoluer, le partenariat entre les pays du J5 pour élaborer et communiquer ces indicateurs souligne l’engagement collectif visant à atténuer les risques associés aux crypto-actifs liés à la cybercriminalité, au blanchiment d’argent et à l’évasion fiscale.

Veuillez agréer l’expression de nos sentiments distingués.

 [Joint Chiefs of Global Tax Enforcement]

Personne-ressource – J5Cyber@ci.irs.gov ou jmlit.mailbox@hmrc.gov.uk