Le risque opérationnel, l’enjeu réglementaire des néobanques

Ces banques 100% mobiles doivent aussi faire face au risque de perte liée à une défaillance des procédures, du personnel ou des systèmes internes.

Depuis une dizaine d’années, nous assistons à la naissance des néobanques. Ces établissements proposant des services financiers de type dépôts et moyens de paiement, ont pour la plupart, reçu une licence bancaire dans l’Union européenne. 

A l’instar des deux plus connues au niveau européen, N26 et Revolut, les néobanques ne proposent que très marginalement des services de crédit, tout du moins sur le marché français, et n’effectuent pas d’opérations de marché, à l’inverse des banques traditionnelles.

Ainsi, dans le cadre de la réglementation bâloise, qui vise à couvrir, par un niveau minimum de fonds propres, les risques auxquels les banques sont exposées, et du fait de leurs activités spécifiques ces établissements ne sont pas, ou peu, soumis aux risques de crédit et de marché. Cependant, leur exposition au risque opérationnel pourrait représenter un enjeu majeur. Dans la réglementation bâloise, ce risque opérationnel se définit par un risque de perte liée à une défaillance des procédures, du personnel ou des systèmes internes. Concrètement, cela prend donc en compte les risques fraudes, de dysfonctionnement des systèmes et des processus ou encore de dommages corporels. Sur ces problématiques-là, les néobanques sont bel et bien exposées, et peut-être plus encore que les banques traditionnelles. Sans un cadre adapté et des investissements correctement positionnés, ce qui fait la force des néobanques aujourd’hui pourrait bien devenir une faiblesse.

La vulnérabilité du modèle "tout en ligne" 

Les néobanques s’appuient sur un modèle entièrement digital. Dans le cas de N26, Revolut, et de nombreuses autres néobanques, c’est même une utilisation quasi exclusivement sur mobile qui est proposée aux consommateurs. Or, dans un monde où le piratage informatique est toujours plus fréquent et efficace, cela les rend d’autant plus vulnérables. Elles sont, de ce fait, contraintes à une réactivité et à une veille maximale sur les potentielles failles de sécurité et nouveautés dans ce domaine, sachant qu’il s’agit souvent de structures de taille moyenne avec des effectifs moins importants que les banques traditionnelles. Ainsi, N26, par exemple, a été l’objet de critiques quant à sa sécurité informatique qui présentait de nombreuses failles. Cela s’est illustré lorsqu’un expert en sécurité, Vincent Haupert, a pu pirater en 5 minutes un compte N26 via l’application en exploitant la faille du "Man in the middle", qui aurait permis de modifier à distance le destinataire des virements. Depuis, la banque en ligne a heureusement mis à jour ses programmes et renforcer sa sécurité informatique, mais de nouvelles voies de piratage apparaissent tous les jours. A ce titre, les fonctionnalités mobiles sont particulièrement vulnérables car moins protégées, que ce soit au niveau informatique ou physique, avec le vol ou la perte d’appareil mobile par exemple.

Bien sûr, tous ces risques ne sont pas spécifiques aux néobanques et existent aussi pour les banques traditionnelles, mais la surutilisation et la dépendance aux moyens digitaux les y rendent encore plus sensibles. 

Une organisation et un SI plus flexibles mais moins normés

S’agissant souvent de fintech créées lors des dix dernières années, les néobanques s’appuient souvent sur un modèle d’organisation interne plus flexible, mettant en avant la facilité et la rapidité avec lesquelles il est possible de souscrire aux différents services (ouverture de compte, moyens de paiement). Ainsi, pour reprendre l’exemple de N26, la néobanque se targue de proposer une procédure d’inscription en moins de dix minutes. Or, si cette flexibilité présente des avantages évidents, notamment en termes de marketing, elle met aussi en lumière un fonctionnement moins normé que dans les banques traditionnelles. Cela signifie donc moins d’exigence documentaire, mais aussi, probablement, moins de contrôles de données et donc un risque opérationnel accru quant à la fiabilité de ces dernières. 

Cela entraîne également un risque plus important de fraude, notamment puisque toutes les démarches, qui ne sont par ailleurs pas nombreuses, se font en ligne. Si les risques financiers directs liés à de telles fraudes sont en partie limitées, puisque les services proposés par les néobanques ne comprennent pas, dans la majorité des cas, d’autorisation de découvert, ces fraudes pourraient présenter une nouvelle faille dans la lutte anti-blanchiment et antiterroriste (LAB/LAT).

Une réglementation commune ou spécifique ?  

Ainsi, les néobanques dont la grande force réside dans leur service mobile, rapide et flexible, se voient par leur nature-même particulièrement vulnérables à certains risques opérationnels. Cela étant, n’étant pas soumises (ou presque) aux risques de crédit et de marché, est-ce que cette vulnérabilité justifierait la mise en place d’une exigence en fonds propres ? De plus, les méthodes de calcul qui permettent de calculer le risque opérationnel sont pour la plupart basées sur le PNB, alors que ces banques ont en moyenne une rentabilité relativement faible. Cela risque donc d’entraîner une rupture entre la réalité du risque et sa mesure. 

Rappelons que l’exigence en fonds propres, requise par les normes bâloises, est un premier rempart pour protéger de manière globale la stabilité financière. Si le modèle des néobanques diverge de celui des banques traditionnelles la question se pose malgré tout de savoir s’il n’est pas de nature à venir à l’avenir perturber cette stabilité. Car si, aujourd’hui ces banques ont encore un catalogue de services assez limité, n’oublions pas qu’elles se développent également très vite. Ainsi, il ne paraîtrait pas absurde de mettre en place une réglementation, tout du moins au niveau européen, d’encadrement des risques spécifiques au marché des néobanques, notamment en ce qui concerne une éventuelle exigence de couverture en fonds propres ou même encore de reportings. Si, d’un point de vue de la stabilité financière, un cadre adapté à ces nouveaux acteurs semble nécessaire, on peut s’interroger sur la viabilité de ces structures, dont la rentabilité n’est aujourd’hui pas toujours au rendez-vous, et qui se verraient alors contraintes comme les banques traditionnelles sur leurs niveaux de fonds propres. Les régulateurs ont un important travail de réflexion à mener pour encadrer les risques générés par ces acteurs sans pour autant mettre en danger leur viabilité.