Le risque opérationnel, l’enjeu réglementaire phare pour les néo-banques

Journal du net – 26 septembre 2019 :

Depuis une dizaine d’années, avec l’essor de la digitalisation et notamment celle des services financiers, nous assistons à la naissance de nouveaux acteurs sur le marché bancaire français et européen : les néo-banques. Ces établissements, proposant des services financiers de type dépôts et moyens de paiement, ont, pour la plupart, reçu une licence bancaire dans l’Union Européenne. A l’instar des deux plus connues au niveau européen, N26 et Revolut, elles ne proposent que très marginalement des services de crédit, tout du moins sur le marché français, et n’effectuent pas d’opérations de marché, à l’inverse des banques traditionnelles.

Ainsi, dans le cadre de la réglementation bâloise, qui vise à couvrir, par un niveau minimum de fonds propres, les risques auxquels les banques sont exposées, et du fait de leurs activités spécifiques ces établissements ne sont pas, ou peu, soumis aux risques de crédit et de marché. Cependant, leur exposition au risque opérationnel pourrait représenter un enjeu majeur. Dans la réglementation bâloise, ce risque opérationnel se définit par un risque de perte liée à une défaillance des procédures, du personnel ou des systèmes internes. Concrètement, cela prend donc en compte les risques fraudes, de dysfonctionnement des systèmes et des processus ou encore de dommages corporels. Sur ces problématiques-là, les néo-banques sont bel et bien exposées, et peut-être plus encore que les banques traditionnelles. Sans un cadre adapté et des investissements correctement positionnés, ce qui fait la force des néo-banques aujourd’hui pourrait bien devenir une faiblesse.

La vulnérabilité du modèle « Tout en ligne »

Les néo-banques s’appuient sur un modèle entièrement digital. Dans le cas de N26, Revolut, et de nombreuses autres néo-banques, c’est même une utilisation quasi exclusivement sur mobile qui est proposée aux consommateurs. Or, dans un monde où le piratage informatique est toujours plus fréquent et efficace, cela les rend d’autant plus vulnérables. Elles sont, de ce fait, contraintes à une réactivité et à une veille maximale sur les potentielles failles de sécurité et nouveautés dans ce domaine, sachant qu’il s’agit souvent de structures de taille moyenne avec des effectifs moins importants que les banques traditionnelles. Ainsi, N26, par exemple, a été l’objet de critiques quant à sa sécurité informatique qui présentait de nombreuses failles. Cela s’est illustré lorsqu’un expert en sécurité, Vincent Haupert, a pu pirater en 5 minutes un compte N26 via l’application en exploitant la faille du « Man in the middle », qui aurait permis de modifier à distance le destinataire des virements. Depuis, la banque en ligne a heureusement mis à jour ses programmes et renforcer sa sécurité informatique, mais de nouvelles voies de piratage apparaissent tous les jours. A ce titre, les fonctionnalités mobiles sont particulièrement vulnérables car moins protégées, que ce soit au niveau informatique ou physique, avec le vol ou la perte d’appareil mobile par exemple.
Bien sûr, tous ces risques ne sont pas spécifiques aux néo-banques et existent aussi pour les banques traditionnelles, mais la surutilisation et la dépendance aux moyens digitaux les y rendent encore plus sensibles.

Une organisation et un SI plus flexibles mais moins normés

S’agissant souvent de Fintech créées lors des dix dernières années, les néo-banques s’appuient souvent sur un modèle d’organisation interne plus flexible, mettant en avant la facilité et la rapidité avec lesquelles il est possible de souscrire aux différents services (ouverture de compte, moyens de paiement). Ainsi, pour reprendre l’exemple de N26, la néo-banque se targue de proposer une procédure d’inscription en moins de dix minutes. Or, si cette flexibilité présente des avantages évidents, notamment en termes de marketing, elle met aussi en lumière un fonctionnement moins normé que dans les banques traditionnelles. Cela signifie donc moins d’exigence documentaire, mais aussi, probablement, moins de contrôles de données et donc un risque opérationnel accru quant à la fiabilité de ces dernières.
Cela entraîne également un risque plus important de fraude, notamment puisque toutes les démarches, qui ne sont par ailleurs pas nombreuses, se font en ligne. Si les risques financiers directs liés à de telles fraudes sont en partie limitées, puisque les services proposés par les néo-banques ne comprennent pas, dans la majorité des cas, d’autorisation de découvert, ces fraudes pourraient présenter une nouvelle faille dans la lutte anti-blanchiment et antiterroriste (LAB/LAT).

Une réglementation commune ou spécifique ?

Ainsi, les néo-banques dont la grande force réside dans leur service mobile, rapide et flexible, se voient par leur nature-même particulièrement vulnérables à certains risques opérationnels. Cela étant, n’étant pas soumises (ou presque) aux risques de crédit et de marché, est-ce que cette vulnérabilité justifierait la mise en place d’une exigence en fonds propres ? De plus, les méthodes de calcul qui permettent de calculer le risque opérationnel sont pour la plupart basées sur le PNB, alors que ces banques ont en moyenne une rentabilité relativement faible. Cela risque donc d’entraîner une rupture entre la réalité du risque et sa mesure.
Rappelons que l’exigence en fonds propres, requise par les normes bâloises, est un premier rempart pour protéger de manière globale la stabilité financière. Si le modèle des néo-banques diverge de celui des banques traditionnelles la question se pose malgré tout de savoir s’il n’est pas de nature à venir à l’avenir perturber cette stabilité. Car si, aujourd’hui ces banques ont encore un catalogue de services assez limité, n’oublions pas qu’elles se développent également très vite. Ainsi, il ne paraîtrait pas absurde de mettre en place une réglementation, tout du moins au niveau européen, d’encadrement des risques spécifiques au marché des néo-banques, notamment en ce qui concerne une éventuelle exigence de couverture en fonds propres ou même encore de reportings. Si, d’un point de vue de la stabilité financière, un cadre adapté à ces nouveaux acteurs semble nécessaire, on peut s’interroger sur la viabilité de ces structures, dont la rentabilité n’est aujourd’hui pas toujours au rendez-vous, et qui se verraient alors contraintes comme les banques traditionnelles sur leurs niveaux de fonds propres. Les régulateurs ont un important travail de réflexion à mener pour encadrer les risques générés par ces acteurs sans pour autant mettre en danger leur viabilité.

Par Julien Auzillon, consultant Square

Répondre

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.

%d blogueurs aiment cette page :