Lucia, l’apprentissage automatique au service de la LCB-FT

La lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT) repose sur le principe fondamental d’obligation de vigilance, qui se décline en deux piliers : la connaissance actualisée de la clientèle et la surveillance des opérations. Cette dernière joue en effet un rôle crucial dans les dispositifs de LCB-FT des établissements supervisés. Ainsi, chaque opération est un « signal » porteur d’informations (date, nature d’opération, désignation de la contrepartie, numéro de compte, motif de l’opération...), qu’il convient de mettre en regard du contexte de la relation d’affaires et d’analyser. La finalité de cette étude est de caractériser les indicateurs d’un éventuel soupçon de blanchiment de capitaux ou de financement du terrorisme (BC-FT) pour transmettre, le cas échéant, une déclaration de soupçon à la cellule de renseignement financier (Tracfin).

La condition pour que ce dispositif de surveillance des opérations atteigne son objectif d’exercer une vigilance constante est qu’il s’articule pleinement avec celui visant à assurer la connaissance actualisée de la clientèle.

Dans le cadre de la Commission consultative de lutte contre le blanchiment de capitaux et le financement du terrorisme (CCLCB-FT), placée sous l’égide du Collège de supervision de l’Autorité de contrôle prudentiel et de résolution (ACPR), un rapport sur la revue des dispositifs automatisés de surveillance des opérations en matière de LCB-FT a été publié en avril 2023¹, avec la participation de 36 établissements de la place.

L’utilisation de dispositifs de surveillance automatisée est généralisée (tous les participants ont indiqué recourir à un ou plusieurs outils de surveillance automatisée, une majorité de participants, y compris parmi les grands groupes, utilisent des solutions de marché avec, dans certains cas, des outils internes développés en complément). Les établissements ont souligné le double défi que représentait l’intégration de ces outils, d’abord technique, car elle nécessite de mener un lourd travail d’adaptation des données générées par le système d’information de l’établissement aux cahiers des charges des solutions retenues, et ensuite méthodologique, dans le cadre des travaux d’adaptation des scenarii fournis par défaut par l’éditeur aux risques liés à l’activité réelle de l’établissement.

Aussi, on observe que les dispositifs de surveillance « classiques » reposent en général sur des systèmes d’alertes automatisées qui n’exploitent que partiellement les informations de connaissance client, comme notamment leur situation financière. Celles-ci sont principalement utilisées à des fins d’évaluation du profil de risque des relations d’affaires, pour moduler le cas échéant le niveau de vigilance exercée. Ainsi, les dispositifs de surveillance automatisée s’appuient trop souvent sur de simples modèles d’alerte (définition de seuils statiques sur une ou plusieurs typologies d’opérations et pour une période d’observation donnée), à défaut de véritables scenarii de détection définis selon des typologies de blanchiment identifiées par exemple dans les rapports d’analyse de Tracfin.

Plus généralement, ces approches « classiques » ne permettent pas toujours d’identifier efficacement les comportements atypiques (faible prévalence de scenarii dédiés à l’incohérence entre les informations de connaissance clients et le comportement du compte, ou encore à la comparaison vis-à-vis de groupes de pairs), et ne couvrent pas toujours efficacement toutes les typologies de risques de BC-FT.

Cela se traduit parfois par des modèles d’alertes peu discriminants : le taux de transformation des alertes en examen renforcé se situe globalement entre 1 % et 8 %, tandis que près d’un examen renforcé sur trois donne lieu à une déclaration de soupçon. Dans le même temps, les missions de contrôle sur place diligentées par l’ACPR constatent régulièrement des défauts déclaratifs pour lesquels les systèmes de surveillance automatisée des établissements n’avaient généré aucune alerte.

Dans un rapport publié en 2021 (« Opportunities and Challenges of New Technologies for AML/CFT »), le Groupe d’action financière (GAFI) a rappelé que l’intelligence artificielle (IA), et plus précisément l’apprentissage automatique, présente un potentiel substantiel pour améliorer les performances des dispositifs de LCB-FT.

Si l’usage de l’intelligence artificielle est encore peu répandu, plusieurs organismes de taille significative ont acquis ou développent actuellement des solutions reposant sur ce type de technologie. Les cas d’usage remontés par les participants concernent (i) la priorisation/optimisation du flux d’alertes y compris via des fonctionnalités de réplication des décisions, (ii) l’identification de nouvelles typologies de BC-FT, et (iii) l’analyse de graphes favorisant le traitement d’une alerte. Ainsi, l’usage le plus fréquent de l’IA reste la priorisation des alertes au moyen d’algorithmes prédictifs (dits « supervisés »). Par exemple, un système élimine les alertes présentant une faible probabilité d’escalade en examen renforcé, estimée à partir de données dites d’apprentissage correspondant à des décisions historiques de clôture des alertes ou d’escalade prises par des analystes sur un jeu d’alertes. Il convient toutefois de noter que de tels outils, particulièrement utiles pour prioriser le traitement d’alertes, ne peuvent pas dispenser les établissements de véritables analyses transactionnelles appuyées sur des typologies de blanchiment, de financement du terrorisme ou de fraudes, telles que celles publiées par Tracfin en France.

Afin d’améliorer l’efficacité et l’efficience des missions de contrôle sur place des dispositifs de LCB-FT, l’ACPR et la Banque de France ont développé l’outil Suptech LUCIA (Logiciel à l’Usage du Contrôle assisté par l’Intelligence Artificielle).

Outre la revue du corps procédural, de la documentation technique des outils, ainsi que d’un échantillon de dossiers de connaissance client, la revue des opérations constitue une part essentielle des investigations réalisées dans le cadre des missions de contrôle sur place. Elle met ainsi en évidence des défauts déclaratifs matérialisant les lacunes identifiées dans le dispositif de LCB-FT de l’établissement contrôlé. S’appuyant sur un socle open source Python, la solution met en œuvre des algorithmes de data mining² pour extraire des signaux faibles à partir des données d’opérations et de connaissance client collectées dans le cadre des investigations et selon les critères de risque paramétrés par l’utilisateur lors de la phase dite « d’ingestion ». Elle restitue l’information dans un module de visualisation, sous la forme d’une cartographie intelligente des risques, en groupant automatiquement les clients par profils types de risque (cf. carte de Kohonen³), couplée à des fonctionnalités de recherche qui permettent à l’utilisateur de définir ses propres scenarii à la volée. Sur cette base, l’utilisateur peut sélectionner des dossiers à investiguer selon une approche par les risques. Il accède à l’ensemble des données de connaissance client ainsi qu’au relevé des opérations enrichi lors de l’ingestion des données de l’établissement directement dans l’interface de l’outil. L’analyse de l’environnement économique du client est facilitée grâce au recours à des modèles de graphes relationnels (mise en évidence des liens entre clients, entre clients et mandataires/bénéficiaires effectifs, contreparties communes des clients).

L’approche mise en œuvre s’appuie sur un parti pris méthodologique fondamental : n’exploiter que les données remises par l’établissement et des sources d’information accessibles et publiques (rapports Tracfin, appels à vigilance, open data, presse ...). Ces dernières vont permettre l’enrichissement des données granulaires (bases clients et opérations) remises par l’établissement. La sélection de sources d’information pertinentes est une composante essentielle du travail des équipes de contrôle sur place en amont de chaque mission. Ceci permet de configurer l’outil pour décliner une approche par les risques adaptée au modèle d’affaires et au portefeuille de l’établissement, en s’appuyant sur les typologies de BC-FT mises en évidence dans les rapports d’analyse de Tracfin. C’est également durant ces travaux préparatoires que la demande de données est affinée pour être transmise à l’établissement afin qu’il réalise les extractions nécessaires dans son système d’information. Au début de la phase d’investigation, un contrôle de la qualité des données, essentielle à l’efficacité de la démarche, est réalisé (contrôles d’intégrité, de complétion et de cohérence).

Depuis sa première utilisation en situation de contrôle sur place, l’outil a démontré son efficacité pour identifier des cas de défauts déclaratifs, notamment face à des jeux de données volumineux⁴, et a donc été généralisé au sein des enquêtes. Il fait l’objet d’évolutions régulières pour s’adapter au large périmètre de supervision de l’ACPR en matière de LCB-FT, par exemple en ce qui concerne les prestataires de services sur actifs numériques.

En somme, LUCIA n’est pas un outil conçu pour faire de la surveillance des opérations en temps réel, mais apporte des vrais bénéfices pour apprécier l’efficacité des dispositifs LCB-FT des établissements dans le cadre d’une revue rétrospective des opérations. En permettant la déclinaison d’une approche par les risques, sans dépendre du dispositif de l’établissement contrôlé, qui peut lui-même pâtir de défaillances que la mission a pour objet d’identifier, et en facilitant l’accès à l’information pour les contrôleurs, LUCIA leur donne la possibilité de se concentrer sur des travaux à plus forte valeur ajoutée.

Pour être réellement efficace, cette approche suppose une réflexion méthodologique en amont pour ajuster l’outil et les facteurs de risques à retenir au cas par cas, et la mobilisation d’une expertise forte en matière de LCB-FT pour sélectionner et analyser des dossiers pertinents. L’ACPR, convaincue du potentiel de l’IA dans ce domaine, a régulièrement communiqué sur l’utilisation et le fonctionnement de l’outil auprès de la Place (cf. dernier forum Fintech ACPR-AMF) pour partager son expérience et inciter les établissements supervisés à développer leurs propres technologies dans un objectif collectif de renforcement du dispositif national de LCB-FT.