L'IA : Bouclier avancé des Compliance Officers contre la criminalité financière
Introduction
“À terme, un dispositif LCB-FT ne saurait être vraiment pertinent (c’est-à-dire discriminant) sans recours à l’IA.”
Ce sont les mots de conclusion de la présentation réalisée par Matthias Laporte, expert au sein du Département Contrôle Général de la Banque de France, tenus lors d’une conférence de l’ACPR le 25 novembre 2021.
La lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB-FT) entre dans une ère où l'intelligence artificielle (IA) devient essentielle. L'Autorité de Contrôle Prudentiel et de Résolution (ACPR) le souligne clairement, affirmant que l'IA est inévitable pour garantir une lutte efficace contre ces pratiques illicites.
Explorez avec nous comment la technologie transforme la manière dont les régulateurs et les établissements financiers abordent la LCB-FT.
Contexte et Définition
Complexité x Volume
La complexité des transactions financières, combinée à une masse de données en croissance exponentielle, rend les méthodes traditionnelles de surveillance et de détection de moins en moins performantes et robustes pour ne pas dire obsolètes et inefficaces. C'est dans ce contexte que l'intelligence artificielle (IA) émerge comme un outil incontournable, capable de transformer radicalement les pratiques en place.
Les criminels financiers utilisent des méthodes toujours plus sophistiquées mixant les techniques traditionnelles (multiplication des opérations, recours à des sociétés écrans, à des “fourmis japonaises”, etc.) avec des produits et services classique (paiements, investissement dans des œuvres d’art par exemple) ou de dernière génération (mélange de crypto-monnaies, ETF, etc.). Ces stratégies, renforcées par l'accès à des technologies avancées, rendent la tâche de détection extrêmement difficile pour les AML Officers.
Face à ces adversaires bien équipés, qui tirent parti de la technologie pour brouiller leurs traces, l'IA offre des capacités d'analyse et de détection qui vont bien au-delà de ce que les méthodes conventionnelles peuvent atteindre, permettant ainsi de révéler des schémas complexes et dissimulés de blanchiment et de financement du terrorisme.
Clarification des concepts d'IA et applicabilité en matière LCB-FT
Il est important de bien comprendre les différences entre Intelligence Artificielle et IA Générative avant de rentrer dans l’approche établie par l’ACPR.
Pour ce faire, nous avons demandé (et pour cette partie uniquement) à ChatGPT (un outil de GenIA) de nous aider.
L'Intelligence Artificielle (IA) est un domaine de l'informatique qui vise à créer des systèmes informatiques capables d'exécuter des tâches qui, traditionnellement, nécessitent l'intelligence humaine. Cela inclut des capacités telles que la compréhension du langage naturel, la résolution de problèmes complexes, la reconnaissance de motifs, la prise de décision, et bien d'autres. L'IA peut être mise en œuvre à travers différentes approches, dont le Machine Learning, le traitement du langage naturel, la vision par ordinateur, etc.
Le Machine Learning (ML), ou apprentissage automatique en français, est une sous-discipline de l'intelligence artificielle (IA) qui se concentre sur le développement de modèles et d'algorithmes permettant aux systèmes informatiques d'apprendre à partir de données. Plutôt que d'être explicitement programmés pour effectuer une tâche, ces systèmes sont capables d'améliorer leurs performances au fil du temps grâce à l'expérience et à l'exposition à des données. Le Machine Learning est classiquement divisé en trois catégories principales : : l'apprentissage supervisé, l'apprentissage non supervisé et l'apprentissage par renforcement.
La Generative AI (GenAI), ou Intelligence Artificielle Générative, est une sous-catégorie spécifique de l'IA qui se concentre sur la création de données nouvelles et originales. Elle utilise des modèles capables de générer des éléments tels que des images, du texte, de la musique, et plus encore, qui ne sont pas directement tirés des données d'entraînement, mais qui sont plutôt créés par le modèle lui-même. Les réseaux génératifs, tels que les GANs (Generative Adversarial Networks), constituent un exemple de technologie de Generative AI, et ils sont souvent utilisés dans des domaines tels que la création d'art numérique, la synthèse de médias, et même la création de contenus réalistes.
Balance Bénéfice Risque
De l’automatisation à une évolution de rupture
Une première étape dans le recours à l’IA pourrait, par exemple, se limiter à l'automatisation des processus LCB-FT de bout en bout. Cela permettrait non seulement une analyse exhaustive des données, mais aussi une adaptation rapide aux changements réglementaires, rendant la veille réglementaire plus efficace et moins chronophage.
Mais pour ceux qui sont plus aguerris ou plus “innovation friendly”, l’utilisation de technologies avancées en IA telles l’usage combiné du Machine Learning et du Deep Learning permettrait à l'IA, en quasi pleine autonomie, de s'adapter et d'améliorer constamment les scénarios de détection en apprenant des analyses précédentes, offrant ainsi une réponse dynamique face à l'évolution des méthodes de blanchiment.
Défis éthiques
Il semble que le recours à l’IA soit inévitable… ne serait-ce que par l’engouement du grand public pour ChatGPT et ses équivalents. Toutefois, il n’en reste pas moins que l’IA comporte des risques non négligeables, qu’il s’agisse de protection des droits et libertés fondamentaux (dont la protection des données personnelles) ou encore des opportunités offertes à des criminels pour toujours mieux renforcer leurs capacités d’escroquerie.
Cette technologie – en particulier l’IA Générative - n’en est qu’à ses débuts. De grands acteurs de la tech ont dû faire machine arrière dans leur approche tout IA. D’ailleurs, de nombreuses voix s’élèvent contre les risques inhérents à cette technologie. C’est le cas par exemple d’Amazon qui a dû abandonner une IA utilisée dans le cadre de ses recrutements (celle-ci discriminant les profils féminins) ou encore Microsoft qui a perdu le contrôle de son chatbot sur Twitter devenu raciste en 24h en 2016.
Ces deux derniers exemples illustrent l’importance de l’absence de biais (notamment dans les systèmes de Machine Learning) dans les systèmes d’intelligence artificielle. Les entreprises doivent donc adopter des systèmes de détection, de prévention et d’atténuation des biais potentiels. Autre point essentiel d’un tel système : la qualité des données utilisées et leur complétude associés à un contrôle robuste seraient les seuls garants de la performance du système.
Cas d’usage : LUCIA
Si les professionnels assujettis ne doutent pas de l’apport de l’IA dans leur objectif de sécurité financière, il en va de même pour les régulateurs qui reconnaissent de plus en plus que le recours à l'IA est une évolution technologique nécessaire pour détecter et prévenir efficacement le blanchiment d'argent et le financement du terrorisme. L'adoption de technologies comme LUCIA (Logiciel à l’Usage du Contrôle assisté par l’Intelligence Artificielle), qui marque un pas significatif vers l'intégration de l'IA dans les processus réglementaires, en est un exemple récent.
Développé conjointement par l’ACPR et la Banque de France entre 2018 et 2022, LUCIA a fait grand bruit (et effrayé une bonne partie du marché) lors de la publication de la sanction à l’encontre de CRAM Languedoc1, permettant de démontrer que notre plus sévère superviseur dispose désormais d’un outil surpuissant fondé sur l’IA se composant2 :
- De data-mining, qui sert à enrichir les données relatives aux opérations et celles en matière de connaissance client ;
- De machine learning, permettant de mettre en évidence des signaux faibles de risque chez les clients ou dans leurs opérations ;
- De visualisations graphiques, enfin, pour que tous ces savoirs et données soient visibles et compréhensibles pour les contrôleurs.
Outre le recours à un outil mêlant plusieurs technologies de pointe, c’est aussi (et surtout ?) sa capacité à ingérer, absorber et analyser l’ensemble des données (et non plus un échantillon) qui fait trembler les professionnels assujettis.
Loin de réserver cet usage pour elle seule, l’ACPR encourage de plus en plus l’utilisation de l’IA chez les assujettis. Elle publie d’ailleurs régulièrement sur le sujet, notamment dans son rapport consacré aux outils de Transaction Monitoring (TMS)3, précisant que l’utilisation de l’IA pour l’analyse et la détection des opérations constitue une bonne pratique.
L’ACPR n’est pas la seule autorité en Europe qui se penche sur son usage :
- Son homologue britannique, la FCA, dit déjà l’utiliser dans le cadre de la LCB-FT : “One example of our use of synthetic data is in our money laundering detection efforts. We take real-world money laundering cases and create synthetic datasets for innovators to use in their AI anti-money laundering (AML) identification tools”4.
- Et à la FINMA, en Suisse, d’ajouter qu’“en raison de son importance croissante dans de nombreux domaines de la vie, la FINMA considère l’utilisation de l’intelligence artificielle (IA) comme une tendance”5.
Expertise réglementaire
L’IA Act : une approche par les risques… des deux côtés
Il n’en fallait pas beaucoup plus pour que l’Europe se saisisse du dossier et décide de légiférer en la matière afin de permettre l’encadrement du recours à l’IA. Pour celles et ceux qui maîtrisent le sujet de la LCB-FT, ils sauront se retrouver dans l’approche retenue par l’IA Act6, à savoir une approche par les risques.
Pour rappel, l’IA Act, vise principalement à :
- sécuriser le recours à l’IA d’un point de vue des droits fondamentaux,
- assurer la sécurité juridique pour faciliter l’investissement et l’innovation dans l’IA,
- améliorer la gouvernance et l’application effective de la législation existante sur les droits fondamentaux et les exigences de sécurité applicables aux systèmes d’IA.
Le projet de règles harmonisées concernant l’intelligence artificielle7 qui a cours dans les institutions de l’UE, prévoit de considérer que les intelligences artificielles utilisées par les autorités répressives seront des IA “à hauts risques”, qui impliqueraient de prendre plus de précautions, notamment quant à la qualité des données, à la documentation, ou encore à la transparence de leur fonctionnement.
Une exception à néanmoins été pensée, pour les “cellules de renseignement financier effectuant des tâches administratives d'analyse d'informations dans le cadre de la législation de l'Union relative à la lutte contre le blanchiment des capitaux”, qui “ne devraient pas être considérés comme des systèmes d'IA à haut risque utilisés par les autorités répressives dans le cadre d'activités de prévention, de détection, d'enquête et de poursuite relatives à des infractions pénales”8.
Le décryptage de notre équipe Compliance
L’IA Act permet de classer les applications d'IA selon leur niveau de risque de "minimum" à "inacceptable" en précisant un cadre réglementaire différencié selon le niveau de risque considéré. Ainsi, pour un risque minimum (par exemple, le recours à un chatbot), la seule véritable contrainte résulte dans la transparence : l’utilisateur devant être prévenu qu’il interagit non pas avec un humain mais un robot, lui laissant alors le choix de poursuivre ou non cette interaction9.
En revanche, pour toutes les IA présentant un niveau de risque élevé (telles que celles permettant une identification biométrique), le fournisseur est astreint de mettre en place un certain nombre d’éléments permettant la maîtrise d’un dérapage de l’utilisation de l’IA considérée (traçabilité intégrale des logs, mesures de cybersécurité, gestion des incidents, etc.)
Enfin, certaines IA sont jugées comme présentant un risque “inacceptable”. Cela concerne toutes les IA dont l’utilisation est vue comme contraire aux valeurs de l’Union Européenne, par exemple en violant les droits fondamentaux (techniques subliminales, exploitation des personnes vulnérables, notation sociale, etc.). Pour celles-ci, l’interdiction d’utilisation (et a fortiori de commercialisation) est purement et simplement interdite.
Grâce à cette classification et à l’utilisation qu’ils seraient amenés à faire de l’usage d’une IA dans le cadre LCB-FT, les professionnels assujettis sont en mesure d’évaluer et d’implémenter des solutions d’IA de manière responsable, en tenant compte des implications éthiques et de la protection des données.
De manière opérationnelle
Un calendrier de mise en œuvre par l’ACPR
Pour les établissements financiers, lors de la même conférence, l’ACPR a évoqué un calendrier potentiel de mise en œuvre de l’IA :
- A court-terme, pour la réalisation des contrôles LCB-FT de second niveau (elle servirait à apprécier la pertinence des dispositifs de classification de la clientèle et des risques, ex post). L’ACPR a aussi pensé à la mobiliser pour le traitement des alertes, où l’IA pourrait opérer un pré-tri des opérations ou fournir des graphes utiles au traitement efficace de l’alerte.
- A moyen-terme, afin de revisiter la segmentation de la clientèle et la définition des critères d’alerte (il s’agirait alors d’ajuster le dispositif grâce à l’analyse des données de connaissance client et de fonctionnement des comptes) ;
- A long-terme, elle pourrait servir à la surveillance des opérations et au suivi des risques en temps réel, de manière intégrée (c’est-à-dire, à augmenter la pertinence des alertes, ou encore à caractériser des circuits de blanchiment organisés). Elle pourrait aussi, très bien, être utilisée pour détecter des typologies de blanchiment nouvelles.
Les éléments à prendre en compte
Il est important lors de la sélection d’un outil de bien comprendre ce que cet outil peut ou ne peut pas faire dans le cadre du dispositif LCB-FT. Les caractéristiques mentionnées ci-dessous ne sont pas exhaustives. Il est important de bien comprendre leurs spécificités ainsi que leurs cas d’usage :
- Système expert : Intègre des connaissances et des règles spécifiques pour évaluer les transactions ou les comportements clients ; s’il est fondé sur les dispositions des textes applicables, alors il permet de garantir une conformité sans faille.
- Machine Learning : Apprentissage supervisé pour identifier les transactions suspectes basées sur des caractéristiques historiques et des schémas connus de blanchiment d'argent. Cette technologie permet donc de s’appuyer sur le profil et le comportement transactionnel de chaque client pour assurer une supervision non pas globale mais individualisée.
- Data mining : Exploration de grandes bases de données pour identifier des patterns, des corrélations ou des anomalies qui pourraient indiquer des activités de blanchiment d'argent. Les techniques de clustering par exemple permettent de regrouper des clients et/ou des transactions selon des comportements similaires permettant d’identifier des groupes de comptes qui participent à des activités suspectes coordonnées.
- Traitement du Langage Naturel : Analyse des données textuelles pour extraire des informations pertinentes à partir de rapports financiers, de communications électroniques et de publications sur les réseaux sociaux. Ces deux dernières sources sont particulièrement utiles pour détecter, par exemple, des signaux faibles de radicalisation des terroristes en devenir.
- Analyse des réseaux : Étudie les relations et les connexions entre les entités pour identifier les réseaux de transactions suspectes et les schémas de relations potentiellement impliqués dans le blanchiment d'argent. Le fait de cartographier des réseaux de transactions entre comptes et juridictions (par exemple) permet de révéler des structures complexes mises en place pour l’étape de dissimulation du blanchiment à grande échelle (étape 2 sur 3)
- IA générative : Création de simulations de stratégies de blanchiment d'argent pour tester l'efficacité des systèmes de détection. Des modèles d'IA générative peuvent être utilisés pour générer de nouvelles instances de transactions de blanchiment d'argent qui n'ont pas encore été observées dans le monde réel. Ces données synthétiques peuvent ensuite servir à entraîner des modèles de machine learning, améliorant ainsi leur capacité à identifier des stratégies de blanchiment innovantes et à s'adapter aux techniques – en constante évolution - des criminels.
AML Factory et IA
Chez AML Factory, nos IA appartiennent à l’une ou l’autre de ces familles selon les cas d’usage. Nos services ayant vocation à toujours accompagner nos clients dans leurs dispositifs de prévention, de maîtrise et de contrôle des risques LCB-FT, nos objectifs sont toujours les mêmes, quelle que soit la technologie utilisée :
- aider nos clients à être (et rester) conformes aux obligations qui leur sont applicables,
- protéger nos clients contre le risque de sanction et de réputation,
- mettre la technologie au service de la lutte contre la criminalité financière.
A titre d’exemple, notre algorithme Profiler, qui permet d’évaluer les profils de risque des clients et de garantir la conformité des dossiers KYC, fonctionne selon un système expert et est constitué d’un arbre de décision. Le modèle de profilage est construit, pour chacun de nos clients, selon ses règles internes (i.e. sa classification des risques). Il est approvisionné des données relatives aux clients finaux (à l’entrée en relation mais aussi tout au long de la relation d’affaires) et, en croisant ces deux sources, Profiler établit et met à jour un score pour leur client, son niveau de risque, les mesures de vigilance à lui appliquer, les documents et informations à collecter, etc.
Des centaines de nœuds, comme autant de conditions et d’exclusion, liés à leur classification, sont à l'œuvre lors de l’analyse. L’algorithme construit, ainsi, un mécanisme complexe que l’humain ne pourrait reproduire seul en quelques millisecondes.
Ajoutez à cela que l’arbre est dynamique, dépendant de la classification, s’adaptant aux changements de règles, de pondérations, de référentiels (tels que la liste des pays à risque), procédant à une remédiation quotidienne de l’ensemble du portefeuille client, vous disposez ainsi d’un outil rendant votre dispositif plus robuste, plus évolutif, bref, plus conforme.
Plutôt qu’une supervision humaine sur une IA qui apprendrait toute seule et opérerait des choix impossibles à expliquer, AML Factory a opté pour une IA maîtrisée, sans boîte noire ni incompréhension. C’est le choix de l’intelligence, de l’expertise, de la simplicité, sans l’embarras des scores inexpliqués ou aléatoires, au service de la maîtrise des risques et de la conformité de l’entreprise.
Tout cela a été habilement pensé et développé par notre TechLead, Thibaud Salsa.
Conclusion
L'intégration de l'intelligence artificielle dans la lutte contre le blanchiment d'argent et le financement du terrorisme est plus qu'une évolution ; c'est une révolution nécessaire.
En permettant une analyse complète des données, une veille réglementaire automatisée, et une détection précise des activités suspectes, l'IA offre aux équipes compliance les outils pour lutter efficacement contre la criminalité financière.
L'analogie de la recherche d'une aiguille dans une botte de foin illustre parfaitement le défi auquel ces professionnels sont confrontés quotidiennement. L'IA, avec sa capacité à analyser de vastes ensembles de données et à identifier des patterns complexes, agit comme un détecteur de métaux hautement sophistiqué, mettant en évidence les zones nécessitant une attention particulière.
Alors que l'adoption de l'IA continue de croître, il est impératif que les institutions financières, soutenues par des cadres réglementaires adaptés, exploitent pleinement son potentiel pour sécuriser le système financier mondial contre les menaces de blanchiment et de terrorisme.
Ressource
1 Décision ACPR - Caisse régionale de Crédit Agricole mutuel du Languedoc, procédure n°2021-05, du 1 décembre 2022. https://acpr.banque-france.fr/sites/default/files/media/2022/12/07/20221207_decision_crcam_languedoc.pdf
2 Présentation de l’ACPR, Conférence au Palais Brongniart du 25 novembre 2021. https://acpr.banque-france.fr/sites/default/files/media/2022/11/15/20211126_presentations_des_intervenants_de_la_matinee.pdf
3 Dispositifs automatisés de surveillance des opérations en matière de LCB-FT, publication du 26 avril 2023.
4 https://www.fca.org.uk/news/speeches/ai-flipping-coin-financial-services
5 https://www.finma.ch/fr/news/2023/11/20231109-mm-finma-risikomonitor-2023/
6 IA Act adopté en 1ère lecture par le Parlement le 14 juin 2023 https://www.europarl.europa.eu/doceo/document/TA-9-2023-0236_FR.html
7 Proposition de règlement du Parlement européen et du Conseil établissant des règles harmonisées concernant l'intelligence artificielle (législation sur l'intelligence artificielle) et modifiant certains actescertains actes législatifs de l'Union
8 Proposition de règlement du Parlement européen et du Conseil établissant des règles harmonisées concernant l'intelligence artificielle (législation sur l'intelligence artificielle) et modifiant certains actes législatifs de l'Union, considérant 38.
9 Les fournisseurs sont tout de même invités à appliquer les mesures de prévention applicables aux IA à risque élevé