• Contenus gratuits
  • Notre offre
Menu
  • Ressources
    • Toutes les ressources
  • Infos
    • Toutes les infos
  • Essentiels
    • Tous les essentiels
  • Analyses
    • Toutes les analyses
  • Data
    • Data
  • Newsletters
  • Profil
    • Je teste 15 jours
    • Je me connecte
  • Profil
    • Mon profil
    • Je me déconnecte
CLOSE

Accueil > Services bancaires > Open banking > Le Banking-as-a-Service est-il un modèle risqué ?

Le Banking-as-a-Service est-il un modèle risqué ?

Depuis quelques années, plusieurs plateformes de Banking-as-a-Service (BaaS) ont été sanctionnées par des régulateurs européens en raison de manquements aux dispositifs de lutte contre la fraude. En Allemagne, Solaris reste soumis à des restrictions imposées par la BaFin, l’autorité fédérale de supervision financière. Quels sont les modèles d’organisation et de délégation des BaaS ? Certains sont-ils plus risqués que d’autres ? Le marché parvient-il à maturité dans sa gestion des risques ?

Par Aude Fredouelle. Publié le 20 novembre 2024 à 21h19 - Mis à jour le 08 janvier 2025 à 14h45
  • Ressources

Le Banking-as-a-Service est-il un modèle risqué ? Les sanctions prises par des régulateurs à l’encontre de la plupart des plateformes européennes d’envergure (voir encadré) peuvent le laisser penser. Le segment est en tout cas dans le viseur de l’Autorité de contrôle prudentiel et de résolution (ACPR). Lors d’une réunion de place sur la lutte contre le blanchiment d’argent et le financement du terrorisme (LCB-FT) en juillet 2024, l’ACPR a ainsi présenté un “point d’attention sur le Banking-as-a-Service”, soulignant les principaux risques associés et décrivant ses attentes à l’encontre des plateformes : un KYC complet des clients finaux, un contrôle interne et une surveillance des distributeurs, le traitement rapide des alertes… “C’est en effet un modèle relativement risqué, confirme Jean-Christophe Cabotte, directeur adjoint de la lutte contre le blanchiment et le financement du terrorisme (LCB-FT) de l’autorité de régulation, dans une interview accordée à mind Fintech. D’abord, par la multiplicité des intervenants et le risque de dilution de la responsabilité et parce que c’est un secteur en pleine innovation, très concurrentiel, et qui mise beaucoup sur l’UX, ce qui pousse à favoriser des onboardings plus rapides et à accepter davantage de profils risqués.” 

Nicolas Benady, CEO de la plateforme Swan, qui traite désormais plus d’un milliard de paiements par mois, le reconnaît : “la gestion des risques est un sujet majeur pour n’importe quel établissement financier, mais encore plus pour les plateformes de Banking-as-a-Service qui disposent de canaux de distribution indirects”. Chez l’Allemand Solaris (ex-Solarisbank), Jean-François Guillaumin, directeur général France, assure que le risque est avant tout “lié à la nouveauté du modèle et à des croissances rapides”. 

Le scandale de Wirecard et la chute de Synapse, emblèmes du risque sur le secteur

Deux chutes retentissantes d’acteurs du secteur ont alimenté les inquiétudes des régulateurs concernant le segment du BaaS. D’abord, le scandale de Wirecard en 2020, une entreprise détenant une licence bancaire complète auprès de la BaFin, qui fournissait des services de paiement à environ 300 000 clients. La révélation d’une fraude massive a mis en lumière des failles majeures dans la gouvernance de l’entreprise et a remis en question le rôle du régulateur allemand. Cet événement a fortement terni l’image du secteur fintech, poussant la BaFin à renforcer ses contrôles, comme l’illustrent les restrictions imposées par la suite à Solaris et N26 en Allemagne.

Outre-Atlantique, l’effondrement de Synapse a soulevé d’autres préoccupations – cette fois non pas sur la gestion LCB-FT mais sur la dépendance des clients envers leur plateforme de BaaS. La société, qui permettait à des clients d’intégrer des services bancaires, avait levé plus de 50 millions de dollars pour se financer. Mais, mise en difficulté en 2023, elle se place sous le chapitre 7 de la loi sur les faillites en avril 2024, laissant ainsi ses clients en difficulté. Plusieurs fintech ont été contraintes de suspendre leurs comptes et cartes, et les fonds de leurs clients sont restés bloqués. En Europe, des événements similaires ont eu lieu en 2023 avec PayrNet, filiale de Railsr, lorsque le régulateur a suspendu l’intégration de nouveaux clients finaux avant de révoquer sa licence. Cette situation a forcé certains acteurs, comme LinkCy, en France, à migrer vers d’autres prestataires tels que Paynovate. Ces incidents soulignent la dépendance des clients vis-à-vis de leur plateforme de BaaS.

Un autre élément ajoute de la complexité. Hormis Okali, les plateformes de BaaS englobent à la fois l’agrément et le core banking system. “Nous nous retrouvons parfois en concurrence avec des entités qui ne sont pas régulées, sur le core banking system par exemple, avance André Gardella, CEO de Treezor (groupe Société Générale). Ainsi, si Treezor gère l’émission de cartes pour une entité déjà régulée, et sous la licence de celle-ci, alors nous pouvons être en concurrence directe avec des SSII. Treezor aura alors des obligations que ses concurrents n’ont pas. Cela ajoute de la complexité mais cela contribue également à lutter plus efficacement contre la fraude ou le blanchiment.”

Alison Alonso, directrice générale d’Okali, tempère. “Ce qui était risqué il y a dix ou quinze ans, c’était le secteur fintech au sens large, car il s’agissait de nouveaux cas d’usage et de nouvelles clientèles. Aujourd’hui, les plateformes de BaaS permettent justement de “dérisquer” en aidant des fintech à se lancer. Grâce à leur expérience, les BaaS identifient les zones de risque et les accompagnent, leur évitant de tomber dans les écueils des fintech fraîchement créées.” Même argument chez Xpollens, la plateforme du groupe BPCE : “une entité qui se lancerait seule découvrirait tout de zéro, comme j’ai pu l’expérimenter chez Nickel où nous nous sommes lancés sans BaaS et avec un core banking system que nous avons redéveloppé, note Jacques-Olivier Schatz, CEO. Nous avions eu un contrôle ACPR à nos débuts, qui avait duré relativement longtemps puisque nous avions dû changer nos systèmes à la demande du régulateur, ce qui nous avait permis de beaucoup apprendre. Aujourd’hui, un BaaS permet à son distributeur de ne pas faire ces erreurs sur la gestion du risque et la lutte contre la fraude.”

De nombreuses plateformes BaaS sanctionnées par les régulateurs européens

  • En juin 2023, Railsr se voit révoquer l’agrément d’établissement de monnaie électronique (EME) de sa filiale lituanienne PayrNet par la banque centrale pour cause de “violations sérieuses, multiples et systématiques” de la réglementation, après plusieurs mois d’enquête et un gel des onboardings. 
  • En octobre 2023, la FCA demande à Modulr de cesser d’onboarder de nouveaux clients.
  • En décembre 2023, l’ACPR sanctionne la Société financière du porte-monnaie électronique interbancaire (dont l’activité distincte de BaaS a été revendue début 2022 au Crédit Agricole et renommée Okali). Elle lui inflige un blâme et une sanction pécuniaire de 100 000 euros pour des manquements datant de 2020 : ouverture de comptes de paiement sans enregistrement effectif de l’agent et un dispositif défaillant de contrôle interne dédié à cet agent (absence de contrôle sur les ordres de virements et de contrôle du traitement des alertes LCB-FT). 
  • En avril 2024, l’ACPR prononce un blâme et une sanction pécuniaire d’un million d’euros à l’encontre de Treezor, acteur historique du Banking-as-a-Service en France. En cause : des défaillances passées dans son dispositif d’évaluation des risques et de suivi des opérations, suite à un contrôle en 2021.
  • En Allemagne, Solaris est de son côté sous le viseur de la BaFin depuis 2022, qui lui a imposé une amende de 6,5 millions d’euros en février 2024 et a menacé en juillet de réitérer. En cause, notamment, ses manquements en matière de LCB-FT. La réprimande s’accompagne d’une prolongation du mandat du “représentant spécial nommé par la BaFin dans une décision du 16 décembre 2022 [qui] continuera de surveiller la mise en œuvre des mesures ordonnées”.

En France, le modèle des agents domine

Le segment des plateformes de BaaS recouvre en fait des stratégies de gestion du risque extrêmement différentes. En France, un modèle domine le marché : celui des agents prestataires de services de paiement, qui fournissent des services de paiement sous la responsabilité de l’établissement agréé (de crédit, de paiement ou de monnaie électronique). Pour pouvoir exercer ces activités, “les agents doivent justifier de conditions d’honorabilité et de compétence” auprès des acteurs agréés, qui les mandatent et les enregistrent auprès de l’ACPR. 

“Lors de la première demande d’enregistrement d’un ou plusieurs agents effectuée par un établissement assujetti, une description du dispositif de contrôle interne mis en œuvre doit être fournie, afin de permettre à l’ACPR de s’assurer que les agents se conforment notamment aux exigences en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme”, précise l’Autorité. Dans ces dossiers, “on décrit le dispositif de contrôle interne, les outils, la cartographie des risques…” détaille André Gardella.“Ce modèle responsabilise l’agent”, ajoute-t-il. Celui-ci se voit en effet attribuer des responsabilités qui s’ajoutent à celles de l’entité régulée. Jacques-Olivier Schatz, CEO d’Xpollens, ajoute : “Le dossier détaille aussi la typologie de clients du distributeur, la volumétrie, les produits, et l’ensemble de nos systèmes de fonctionnement et de lutte contre la fraude”. Ce processus d’approbation du dossier peut prendre “plusieurs mois”, selon André Gardella.

Le modèle permet donc de déléguer une partie des contrôles aux agents et l’ACPR peut vérifier directement le respect de la réglementation chez les distributeurs.Toutefois, en pratique, le niveau de délégation varie considérablement d’un acteur à l’autre. Certains, comme Xpollens et Solaris, gardent la main sur la plupart des composantes de la gestion du risque, notamment la connaissance client et l’analyse des données pour détecter des comportements risqués. “L’agent se contente de collecter les éléments dont nous avons besoin pour connaître le client et nous conservons tout le reste du processus de KYC et de la lutte AML”, expose ainsi Jean-François Guillaumin, de Solaris.

Même stratégie chez Xpollens : “nous disposons de systèmes de surveillance des transactions et de dispositifs d’entrée en relation et nous imposons les étapes du KYC au client, raconte le CEO. Le traitement de l’information est réalisé chez nous ou nos partenaires (par exemple Netheos pour la vérification d’identité) et nous en sommes responsables. Parfois, c’est antinomique avec les intérêts des agents qui souhaitent onboarder le plus de clients possible, donc cela nécessite une bonne communication en début de relation. Nous expliquons que nos procédures et outils permettent de protéger les agents et leurs actifs”.

Remédiation réglementaire chez Treezor

Chez Treezor, “en fonction du cas d’usage, l’intensité LCB-FT est différente, souligne André Gardella. Elle est par exemple moins forte pour les cartes “cadeaux “tickets restaurant” ou des cartes cadeaux, que pour des comptes de paiement liés à des offres de type néobanque.” Et même si Treezor gère la fraude en premier lieu grâce à ses outils, “l’agent, qui est aux premières loges de la relation avec l’utilisateur final et maîtrise son industrie, est en capacité de remonter des alertes LCB-FT ou fraudes pertinentes, parce qu’il connaît le comportement “normal” de ses clients. Le dispositif d’agent est robuste car il addition des lignes de défense complémentaires : Treezor intègre le dispositif de contrôle de l’agent (basé sur une forte connaissance métier) dans son propre dispositif de contrôle interne (davantage soutenu par des outils statistiques)”. Treezor délègue “en fonction de l’analyse de la maturité et des moyens de l’agent et de son segment”. Lors de l’onboarding, par exemple, l’agent effectue souvent un premier filtre, puis Treezor peut refuser des clients en second passage. Un pôle de “customer oversight” supervise les agents et s’assure qu’ils réalisent bien le projet déposé à l’ACPR et remontent les alertes.

Solaris, Treezor et Xpollens prenant en charge les contrôles de premier et second niveau (LOD1 et LOD2), leurs agents ont besoin de peu de ressources dédiées en interne. “Nous demandons simplement à avoir un interlocuteur pour faire le relais, car le distributeur a besoin de comprendre nos actions – dans le cas d’une clôture de compte par exemple – pour gérer la relation avec le client final”, explique par exemple le CEO d’Xpollens.

Okali délègue tous les contrôles de niveau 1

Alors que la plupart des autres BaaS valident les dossiers d’entrée en relation des clients finaux et gèrent la surveillance des opérations (qui peut générer le blocage d’un flux ou d’un compte), ne déléguant donc que le front au client, la stratégie est toute autre chez Okali (ex-SFPMEI). “Tous les contrôles de niveau 1 sont externalisés auprès de l’agent, dévoile Alison Alonso. Nous le laissons valider les dossiers KYC, intégrer les alertes, paramétrer les outils, proposer des scénarios de KYC… Et nous supervisons et vérifions a posteriori”. Pour y parvenir, Okali a formé une équipe conformité baptisée “business partner”, qui “accompagne l’agent pour construire un dispositif robuste, par exemple en le conseillant sur le paramétrage des alertes ou les pièces acceptées lors de l’entrée en relation”. Une seconde équipe de contrôle permanent s’assure ensuite de sa bonne mise en place. “Notre positionnement est de donner la souveraineté aux fintech en les laissant garder la main sur l’expérience client. Nos agents ont besoin d’agilité et veulent savoir quand et pourquoi un client est bloqué, afin de s’assurer que ce n’est pas un client légitime.” Un positionnement qui se reflète aussi dans le fait de ne fournir que la partie réglementaire, et pas le core banking system (les clients d’Okali sélectionnant le partenaire de leur choix). Et qui se traduit aussi dans la cible : “des fintech déçues de leur ancien BaaS, qui ne veulent plus de l’aspect boîte noire”, glisse Alison Alonso, et souvent, donc, “des scale up”. 

Comment La Fabrique by CA veut donner un nouveau souffle à Okali (ex-SFPMEI)

Okali conserve cependant la relation avec le régulateur (reporting), le cantonnement, les déclarations de soupçons auprès de Tracfin, et les contrôles de niveau 2 (plan de contrôle permanent régulier). “Il nous est arrivé d’interdire les entrées en relation [comme chez Kard récemment, Ndlr] mais c’est assez rare”, assure la directrice générale. 

Ce positionnement implique une mise en place plus longue – 8 à 10 mois en moyenne – ainsi que davantage de ressources en interne chez les agents. “Dès le départ, nous demandons à ce que nos agents recrutent un responsable de la conformité, qui sera notre point de contact principal, signale Alison Alonso. Ensuite, le dispositif LCB-FT nécessite une équipe dédiée chez l’agent – ou de faire appel à un BPO (business process outsourcing). Notre équipe de contrôle permanent n’a pas vocation à grandir en même temps que les bases utilisateurs de nos agents, eux ont vocation à étoffer la leur pour traiter les alertes.” 

Puisque les contrôles sont délégués, les réquisitions judiciaires le sont aussi (droits de communication, saisies…) : “leur nombre est lié à la qualité de la base clients, donc cela pousse aussi les agents à améliorer leur lutte contre la fraude”, assure la CEO. Ce n’est pas le cas chez les autres plateformes de BaaS, comme l’illustre par exemple Jacques-Olivier Schatz, d’Xpollens. “Nous les gérons pour nos agents, ce qui nous permet d’ailleurs d’industrialiser leur traitement.”

Si certains estiment que laisser trop de latitude à l’agent peut accroître le risque, la directrice générale d’Okali s’inscrit en faux : “nous sommes persuadés que nos agents ont une vision bien plus intégrée que nous de leurs clients, par exemple quand ils proposent d’autres services via d’autres partenaires. Ils peuvent aussi mieux identifier des comportements atypiques, comme un client utilisant le même téléphone pour ouvrir plusieurs comptes. La conformité passe avant tout par l’analyse des données, et eux seuls ont une vision globale auquel le BaaS n’a pas accès.” Un argument modéré par André Gardella : “une banque n’a pas non plus la vision globale de son client puisque les PME, par exemple, sont multibancarisées.”

Swan : modèle IOBSP

La plupart des acteurs majeurs du Banking-as-a-Service en France suivent ce modèle d’agent. Ce n’est pourtant pas le cas de Swan, qui a opté pour une autre stratégie. La plateforme créée en 2019 fait de ses clients des intermédiaires en opérations de banque et en service de paiement (IOBSP), enregistrés à l’Orias. Dans ce cas de figure, pas besoin de prouver auprès de l’ACPR la conformité des distributeurs en termes de lutte anti-blanchiment – de quoi, pour certains concurrents, en faire un modèle plus risqué.

“Nos distributeurs doivent tout de même avoir quelques connaissances, assure Nicolas Benady. Mais notre objectif est de simplifier les process au maximum afin qu’ils aient à s’y connaître le moins possible. Tout ce que nous leur demandons, c’est un chef de projet à qui nous pouvons montrer, par exemple, ce que le distributeur peut écrire sur son site, ses applications et outils de promotion, et comment organiser le support. Nous conservons en interne absolument tout ce qui est risqué : le KYC, l’authentification forte… La plateforme a été construite pour déléguer le moins possible.” Swan prend donc seul la décision d’accepter ou non un nouveau client. “Nous sommes stricts donc cela peut créer des tensions dans la relation commerciale, mais tout établissement financier doit de toute façon gérer cette tension entre gestion du risque et appétit commercial.”

Le client final étant en relation avec un intermédiaire, “cela ajoute un peu de complexité”, admet Nicolas Benady. “Dans le modèle de BaaS, établir des modèles est potentiellement plus compliqué, donc nous demandons plus d’informations ou de modèles aux partenaires.” Pour autant, le parcours d’onboarding n’est pas forcément impacté, “car en général les distributeurs connaissent bien les clients eux-mêmes”.

Lorsque la plateforme fait appel à des spécialistes (pour l’authentification forte, la vérification de documents…), Swan contractualise donc en direct avec les briques technologiques, tandis qu’Okali conseille certains partenaires à ses agents, qui contractualisent en direct. Parmi eux, ComplyAdvantage pour la détection de la fraude (aussi utilisé par Swan) ou Amplitude pour collecter des données comportementales par exemple, avec qui la société a signé un contrat cadre.

Refuser les segments risqués ?

“Comme notre activité est par essence plus risquée avec ce modèle intermédié, nous n’acceptons que des distributeurs dont l’activité est peu risquée, reconnaît Nicolas Benady. Nous excluons le gambling, la crypto, ou même des activités comme les néobanques pour personnes fragiles.” Si très peu de BaaS acceptent la crypto (d’où le positionnement de Fiat Republic sur le créneau), d’autres sont moins stricts que Swan. C’est le cas d’Okali : “puisque nous construisons le cadre de lutte contre la fraude avec nos clients, nous pouvons adapter les parcours à des sociétés ayant des besoins particuliers”, motive ainsi Alison Alonso. La fintech Welcome Account passe ainsi par Okali pour proposer des comptes à destination des immigrés, souvent mal bancarisés. Les partenaires ont imaginé un KYC différent, couplant les documents d’identité internationaux au sponsoring de l’employeur pour diminuer le risque. 

De son côté, Xpollens travaille avec la FDJ, qui propose une application de gestion de budget baptisée Nirio. “La clientèle est en effet similaire à celle visée par Nickel, plus fragile et risquée que la moyenne, déclare le CEO. Les outils de suivi et monitoring sont adaptés et nous bénéficions en tant que filiale du groupe BPCE d’un certain nombre d’outils d’analyse des flux, de scénarios de financement du terrorisme, etc. Nous faisons aussi appel à des solutions de marché très performantes, par exemple pour l’authentification forte.” La plateforme est aussi utilisée par la néobanque pour les profils fragiles Bling.

Bling renaît de ses cendres et lance sa néobanque

Quel modèle privilégie le régulateur ?

Quel modèle remporte les préférences de l’ACPR ? Selon Jean-François Guillaumin, le régulateur a fait part à Solaris de sa préférence pour le modèle d’agent lors de son arrivée en France. “Nous avions initialement pensé à un modèle léger d’intermédiation en opération de banque mais l’ACPR a exprimé préférence pour le modèle d’agent, qui lui donne plus de visibilité et un meilleur contrôle.”

Selon le directeur adjoint LCB-FT de l’ACPR, “l’ACPR n’a pas de préférences en termes de modèles tant que les dispositifs LCB-FT sont robustes et couvrent bien l’ensemble de la chaine de paiement. Certaines situations peuvent militer plutôt pour un modèle que pour un autre, mais sans obligation. La logique est tout de même de limiter la fragmentation du BaaS, et d’éviter que  le modèle d’agent soit utilisé de manière très déléguée et que cela devienne du simple prêt de licence ou d’agrément. L’ACPR ne pousse pas un modèle plutôt qu’un autre. Ce que nous demandons, c’est que chaque maillon de la chaîne soit conscient de ses responsabilités, que le client final soit bien connu et que les opérations soient surveillées.”

Solaris met le cap sur les corporates

Solaris (ex-Solarisbank), lancée en France mi-2021, ne dispose plus d’aucun agent sur le territoire. La néobanque verte Helios a quitté la plateforme pour Okali et le core banking system de Skaleet. Vivid a décroché sa propre licence d’établissement de monnaie électronique via l’acquisition de l’application de paiement luxembourgeoise Joompay et s’est donc affranchie de la plateforme de BaaS dans l’Hexagone. Enfin, l’ex-néobanque à impact canB a fermé son compte bancaire, comme le révélait mind Fintech en janvier 2024. En parallèle, aucun nouveau client n’a été signé, dans un contexte compliqué pour la fintech. “Le marché français n’a pas pu être prioriser par le siège en Allemagne pendant deux années de restructuration”, raconte Jean-François Guillaumin. 

Épinglée par la BaFin, Solaris a d’abord dû engager des travaux de mise en conformité. Elle n’en a d’ailleurs pas encore fini avec le régulateur allemand, qui a prolongé en juillet le mandat de son représentant spécial. La société a aussi réorienté sa stratégie commerciale. “Le marché de la fintech étant bien moins financé, moins de projets ont été lancés en 2023, avance le dirigeant. Nous avons réorienté notre stratégie commerciale vers les gros corporates plutôt que sur les fintech early stage.” 

Solaris a notamment mobilisé d’importantes ressources sur un contrat de reprise du programme de 1,2 million de cartes de crédit de l’ADAC (Allgemeiner Deutscher Automobil-Club), principale association automobile allemande. Pour mener à bien le projet, le conglomérat nippon SBI Group, un spin-off de SoftBank, a accepté de piloter en mars 2024, aux côtés d’autres investisseurs historiques, une injection de 96 millions d’euros (deuxième tour de Série F) et une garantie financière pouvant atteindre 100 millions d’euros.

Désormais, “nous misons sur les corporates, par exemple pour des programmes de cartes cobrandés ou bien l’intégration de produits de paiement et crédit dans les parcours, détaille Jean-François Guillaumin. L’objectif est de s’appuyer sur une marque forte et une grande base de clientèle – cette taille critique étant nécessaire pour atteindre la rentabilité.” Parmi les cibles, les secteurs de la mode et de l’automobile. Si les fintech BtoC ne seront plus adressées par Solaris, le segment des services de gestion pour les entreprises fait encore partie de ses cibles. La société s’est séparée fin 2024 d’un tiers de ses effectifs (dont une grande partie concernant Contis, entité rachetée au Royaume-Uni en 2021 mais dont Solaris s’est finalement séparée d’une grande partie des actifs).Objectif : “parvenir à la rentabilité grâce à une structure plus efficace et légère”, décrit Jean-François Guillaumin. Selon Finance Fwd, Solaris a besoin de lever 100 à 150 millions d’euros d’ici début décembre de toute urgence. Dans le cas où le tour de table n’aboutirait pas, la société serait en quête d’un potentiel acquéreur. SBI, Deutsche Bank et BNP Paribas se seraient montrés intéressés. Six collaborateurs demeurent sur le marché français, où les efforts commerciaux reprennent, assure le dirigeant.

Établissement de crédit, un atout pour la gestion du risque ?

Si le spécialiste du paiement néerlandais Adyen est avant tout positionné sur les services de paiement pour les commerçants, l’acteur se développe aussi de plus en plus sur la fourniture de produits bancaires à des acteurs non régulés (finance embarquée). Et lorsque la société présente son activité de finance embarquée, Adyen bâtit une grande partie de son discours commercial sur son agrément d’établissement de crédit – parmi les acteurs présents en France, Adyen et Solaris le possèdent. Selon la société, passer par des “agrégateurs” (des “prestataires BaaS qui coopèrent avec des banques”, comme Treezor, Swan ou Xpollens) complique la gestion des risques : “les agrégateurs ne sont pas des décisionnaires à part entière et doivent respecter les exigences fixées par les banques, lesquelles peuvent varier d’une institution à l’autre, par exemple en termes de seuils de risques et de documents à fournir pour les PME. Cette incohérence peut limiter les prestations proposées par votre plateforme et réduire le nombre d’utilisateurs éligibles aux services financiers.” 

Des arguments balayés par le reste de la place. “En tant qu’EME, nous n’avons pas de comptes à rendre à nos partenaires bancaires sur l’onboarding des clients finaux et notre définition du risque, assure Nicolas Benady. La banque [BNP Paribas, Ndlr] contrôle les transactions qu’on leur envoie et a un filet de sécurité en cas de transaction qui lui semble risquée (fraudeur connu, montant très élevé…) mais ce n’est absolument pas un problème opérationnel.” Chez Solaris, Jean-François Guillaumin reconnaît aussi que “le statut d’établissement de crédit permet de proposer une offre de produits plus étoffée, avec le crédit dans certains pays, mais n’a pas d’impact sur la gestion du risque”. 

Un secteur mature ?

Tandis que Solaris est encore aux prises avec la BaFin, les plateformes françaises de BaaS se veulent rassurantes sur la gestion du risque dans le secteur, malgré les anciennes sanctions des régulateurs. Chez Treezor, une remédiation réglementaire a eu lieu après le contrôle de l’ACPR sur place en 2021, ayant mis en lumière des manquements “très sérieux” ayant “gravement” affecté son dispositif de LCB-FT. “Nous avons investi dans un nouvel outil de surveillance des transactions dernière génération développé par SAS, qui se base sur du machine learning et que nous alimentons en scénarios additionnels autour du financement du terrorisme et du blanchiment d’argent. Un outil de profilage de la clientèle (agents et clients finaux), déjà appliqué dans le réseau SG à plus de 10 millions de contreparties, a également été mis en place. Enfin, nous avons renforcé très significativement notre pôle conformité, sécurité financière et risque opérationnel”, détaillait André Gardella auprès de mind Fintech en avril 2024. Selon lui, “Treezor est désormais parmi les meilleurs élèves de la place en matière de LCB-FT, et le sujet sera très probablement l’un des discriminants concurrentiels les plus importants dans les années à venir”. 

“Le marché est aujourd’hui mature, assure Alison Alonso, d’Okali. Par ailleurs, plusieurs plateformes appartiennent à des banques et sont donc régulées comme telles : en plus du contrôle de l’ACPR, nous pouvons être inspectés par l’inspection générale du groupe Crédit Agricole”. Même chose pour Treezor, avec un contrôle périodique de Société Générale, et Xpollens, qui sera contrôlé par l’inspection générale du groupe BPCE en 2025. L’ACPR a aussi inspecté cette dernière en 2022 et émis des recommandations, indique le CEO.

La nouvelle autorité européenne de lutte contre le blanchiment va-t-elle changer la donne ?

Une nouvelle autorité européenne de lutte contre le blanchiment d’argent va voir le jour. L’Anti-money laundering authority (AMLA) sera dotée de pouvoirs de surveillance et d’enquête et a vocation à contribuer à une plus grande homogénéité du cadre européen. L’AMLA sera opérationnelle en janvier 2024 et commencera en 2028 une surveillance directe de 40 entités, qui seront sélectionnées en 2027. Il s’agira d’acteurs paneuropéens présentant des risques plutôt élevés et les plateformes de BaaS pourraient donc être de bons candidats à la supervision. L’AMLA devrait être bien plus intrusive que les régulateurs nationaux, qui ont plus d’entités à superviser – 1 700, dans le cas de l’ACPR. Elle pourra aussi donner des guidelines aux régulateurs nationaux pour davantage d’harmonisation.

Aude Fredouelle
  • banking-as-a-service
  • finance embarquée
  • gestion du risque
  • KYC
  • lutte anti-blanchiment
  • open banking
  • régulation

Besoin d’informations complémentaires ?

Contactez Mind Research

le service d’études à la demande de mind

Découvrez nos contenus gratuitement et sans engagement pendant 15 jours J'en profite
  • Le groupe mind
  • Notre histoire
  • Notre équipe
  • Nos clients
  • Nos services
  • mind Media
  • mind Fintech
  • mind Health
  • mind Rh
  • mind Retail
  • mind Research
  • Les clubs
  • mind et vous
  • Présentation
  • Nous contacter
  • Vous abonner
  • A savoir
  • Mentions légales
  • CGU
  • CGV
  • CGV publicité
  • Politique des cookies
Tous droits réservés - Frontline MEDIA 2025