Lutte contre la fraude financière : décryptage de la PPL et des observations de l’AMAFI (réf. AMAFI / 25-83)

Contexte et enjeux pour les acteurs de marché

La proposition de loi (PPL) relative à la lutte contre la fraude financière, examinée fin 2025, s’inscrit dans un contexte d’intensification des menaces (arnaques aux faux conseillers, démarchage illicite en ligne, escroqueries crypto-actifs, usurpations d’IBAN et chaînes de paiement, fraudes à l’investissement non régulé) et d’attentes accrues des autorités françaises et européennes en matière de protection des investisseurs et d’intégrité des marchés. L’AMAFI (Association française des marchés financiers) a publié la note de position et d’observations AMAFI / 25-83, apportant un retour d’expérience des PSI et des établissements de marché sur la portée opérationnelle des mesures proposées.

Pour les compliance officers, cette PPL et les observations de place posent trois objectifs clefs : (1) renforcer l’arsenal de prévention (contrôles ex-ante, filtrage et blocage), (2) accélérer les mécanismes de détection/coopération (partage d’informations, réponses rapides aux réquisitions, circuits CNIL compatibles), (3) sécuriser les procédures de sanction et de communication (équilibre entre effectivité, sécurité juridique et proportionnalité).

Points structurants de la PPL et lignes d’attention opérationnelles

1) Encadrement renforcé de la commercialisation et du démarchage

La PPL vise à combler les failles du démarchage abusif, en ciblant notamment : la publicité financière illicite (y compris en ligne et via influenceurs), les scripts d’appels agressifs, les dispositifs de « lead generation » opaques, et la vente à distance de produits risqués à des clients de détail. Les observations de l’AMAFI insistent sur la nécessité d’une articulation étroite avec le droit existant (MIFID II/MIFID, PSAN/MiCA, règles AMF sur la publicité et le conseil) pour éviter les doublons, divergences d’interprétation et conflits de normes entre l’AMF, la DGCCRF et l’ARCOM.

Pour les établissements : cartographier les canaux d’acquisition, renforcer le contrôle de conformité des scripts, des parcours digitaux et des messages marketing, mettre en place des dispositifs de revue continue des partenariats d’apporteurs d’affaires et d’affiliation, et sécuriser les flux d’acceptation client (KYC, adéquation, enregistrements). Un dispositif « negative list » client/prospect, alimenté par les alertes AMF, peut limiter les ré-engagements indus.

2) Lutte contre les escroqueries numériques et crypto-actifs

La PPL ambitionne d’accélérer le retrait et le blocage de contenus frauduleux (sites miroirs, clones, faux PSAN, usurpations d’identité), avec des procédures rapides d’injonction et des obligations de coopération renforcées pour les hébergeurs, FAI et plateformes sociales. Les observations AMAFI invitent à garantir la proportionnalité des mesures de blocage et l’interopérabilité avec MiCA, DSA et la boîte à outils AML/CFT, afin de préserver la sécurité juridique des acteurs régulés tout en asséchant l’économie des arnaques.

Côté conformité : développer les capacités d’OSINT et de threat intelligence marketing (veille des « brand abuses », détection de clones), outiller la preuve (horodatage, captures certifiées), formaliser des playbooks de déréférencement/contact ARCOM, et prévoir des clauses contractuelles d’urgence avec les partenaires technologiques pour des retraits en H+24/H+48.

3) Partage d’informations et coopération interinstitutionnelle

La PPL encourage des passerelles d’échange entre autorités (AMF, ACPR, TRACFIN, parquet) et acteurs privés, notamment pour les signaux faibles et les typologies émergentes. L’AMAFI souligne l’importance d’un cadre CNIL-compatible, prévoyant minimisation, traçabilité, délais de conservation, et garanties de sécurité. Les PSI doivent adapter leurs politiques de secret professionnel et de confidentialité, et clarifier les bases légales de traitement pour chaque scénario d’échange (intérêt légitime, obligation légale, mission d’intérêt public).

Recommandations : cartographier les flux d’échange, rédiger des PIA ciblées, intégrer des registres d’accès et un contrôle d’habilitations fin, et former le front/middle aux « gatekeeping duties » pour accélérer la constitution de dossiers probants et exploitables par l’autorité judiciaire.

4) Renforcement des pouvoirs d’enquête et de sanction

La PPL tend à étendre l’éventail des mesures conservatoires et à accélérer les procédures, tout en améliorant la publicité des sanctions significatives afin de maximiser l’effet dissuasif. L’AMAFI appelle à préserver les droits de la défense, la qualité probatoire, la proportionnalité et l’articulation avec les corpus existants (Livre V du COMOFI, Règlement Abus de Marché, doctrine AMF). Pour les acteurs : revoir les référentiels d’investigation interne (collecte de preuves numériques, conservation, accès), aligner les seuils de gravité avec les barèmes de sanctions, et calibrer la communication post-sanction pour éviter tout manquement secondaire (misleading statements).

5) Prévention du paiement frauduleux et sécurisation des chaînes de paiement

Les dispositions envisagées ciblent la fraude au virement, l’usurpation d’IBAN, et les détournements de parcours de paiement. Elles appellent une coopération renforcée entre banques de détail, prestataires de paiement et établissements de marché. Côté conformité et risques : déployer la « confirmation of payee », les contrôles IBAN/BIC, le monitoring temps réel des anomalies, le blocage en cascade (step-up checks), et documenter les exceptions. L’AMAFI insiste sur la nécessité d’un cadre de responsabilité clair pour éviter les effets d’éviction sur l’innovation paiement.

Impacts pour la conformité : feuille de route priorisée

La mise en œuvre opérationnelle exige un pilotage transverse réunissant Compliance, Juridique, Risques Opérationnels, Sécurité Financière (LCB-FT), IT et Marketing/Distribution. Les chantiers prioritaires : gouvernance et sponsoring, mise à jour des cartographies de risques, adaptations documentaires (politiques publicitaires, contrats d’affiliation, clauses de takedown, registres CNIL), renforcement des contrôles de premier et second niveaux, et renforcement des dispositifs d’escalade en temps contraint.

Quelques pistes pour l’intégration opérationnelle dans votre dispositif :

• Mettre à jour la cartographie des risques « fraude financière » et les PCA associés (démarchage, publicité, paiements, crypto) avec indicateurs d’alerte mesurables.
• Établir un playbook « takedown » inter-fonctions (juridique, IT, com) pour retrait de contenus frauduleux en H+24/H+48, incluant modèles de réquisitions et d’archivage probatoire.
• Renforcer le contrôle des canaux d’acquisition (influence, affiliation, leads) : due diligence tiers, monitoring continu, droits d’audit, clauses de suspension immédiate.
• Formaliser un cadre CNIL pour le partage d’informations avec les autorités : bases légales, PIA, minimisation, sécurité et journalisation des accès.
• Déployer des contrôles paiement « confirmation of payee », filtrage IBAN et revues ex-post, avec seuils d’escalade et responsabilités définies.