Vérification adéquate des clients

La vérification du client peut être simplifiée ou renforcée lorsque des exigences subjectives ou objectives particulières sont satisfaites. En effet, pour graduer l’étendue de l’enquête, les parties obligées doivent prendre en compte certains facteurs.

Lutte contre le blanchiment d’argent: Qui sont les destinataires des obligations ?

Les destinataires des obligations anti-blanchiment sont tenus de prendre des mesures renforcées et d’effectuer des contrôles rigoureux lorsque certains signaux sont présents. La législation anti-blanchiment d’argent touche un large éventail de destinataires. Il s’agit notamment de:

– intermédiaires bancaires et financiers

– des professionnels (comptables, consultants en matière de travail);

– les notaires et les avocats;

– les auditeurs légaux et les sociétés d’audit;

– agents immobiliers

– médiateurs civils;

– les fournisseurs de services de jeux.

Les accomplissements demandés à ces sujets, dont l’intensité varie en fonction des différentes situations, se traduisent par l’identification et la vérification de l’identité du client au moment de la mission et ensuite par le contrôle de son comportement pendant l’exécution de la relation. Le système de lutte contre le blanchiment d’argent, en fait, en résumé est basé sur:

A. en identifiant le client et en vérifiant son identité sur la base de documents;

B. obtenir des informations sur l’objet et la nature prévue de la relation continue; et une relation continue;

C. le suivi pendant la durée de la relation et le signalement des transactions suspectes. les transactions suspectes.

D. la traçabilité des contrôles et des évaluations; la zone géographique de résidence/siège social du client ou de la contrepartie;

F. le comportement cohérent de la structure de l’entreprise;

G. Démonstration aux autorités du fait que les mesures identifiées sont G. la démonstration aux autorités que les mesures identifiées sont effectivement proportionnelles au niveau de risque identifié.

Point A. Identification du client: Si nous avons affaire à une personne physique, il est nécessaire de l’identifier à l’aide d’un document d’identité. Nous devons conserver une copie de ce document et la source de cette documentation doit être: « fiable et indépendante ».

Il doit y avoir une identité numérique de niveau maximum du client ou un certificat pour la génération de la signature numérique.

Vérification adéquate des clients: les mesures

La vérification des clients peut être simplifiée ou renforcée si des exigences subjectives ou objectives particulières sont satisfaites. En effet, pour graduer l’étendue de l’enquête, les parties obligées doivent prendre en considération certains facteurs. En relation avec le sujet:

la nature juridique du client;

l’activité principale exercée;

la zone géographique de résidence.

Par rapport à l’opération effectuée:

le type d’opération;

la manière dont la transaction est effectuée;

la zone géographique de destination du produit ou du service.

Comme il est facile de le déduire, la vérification renforcée des clients est effectuée en présence d’un risque élevé de blanchiment d’argent. Dans ces hypothèses, les intermédiaires bancaires (et en général tous les professionnels obligés) doivent tenir compte de divers facteurs de risque, y compris ceux de nature géographique.

Signature électronique (FE)

L’art 3 n. 10 du règlement européen eIDAS définit la signature électronique comme « une donnée sous forme électronique, jointe ou associée logiquement à d’autres données électroniques et utilisée par le signataire pour signer ».

Par conséquent, l’article définit la signature électronique comme un outil d’abonnement exclusif et non plus comme un moyen d’identification et d’authentification, comme cela était supposé avant la réforme de la CAD.

La signature électronique est donc la forme de signature la plus faible dans le domaine informatique, car elle ne prévoit pas de mécanismes d’authentification du signataire ni d’intégrité des données signées. C’est pourquoi il est défini comme « simple ».

Exemple

La numérisation d’une signature papier est l’exemple le plus significatif de signature électronique.

Signature électronique avancée (FEA)

L’art. 3 n. 11 du règlement européen eIDAS définit une signature électronique avancée comme une signature qui répond à toutes les exigences énoncées à l’art. 26, « Exigences pour une signature électronique avancée »:

Il est capable d’identifier le signataire;

est créé à partir de données permettant la création d’une signature électronique que le signataire peut, avec un haut niveau de sécurité, utiliser sous son contrôle exclusif;

elle est liée aux données souscrites de manière à permettre l’identification de toute modification ultérieure de ces données.

En résumant ces points, la signature électronique avancée peut être définie comme une signature électronique qui:

permet l’identification du signataire;

garantit un lien unique avec le signataire;

est créé par l’utilisation de données sur lesquelles le signataire conserve un contrôle exclusif;

est lié à ces données afin que le signataire puisse détecter toute modification ultérieure.

Exemple:

La signature graphométrique sur tablette est un bon exemple de signature électronique avancée.

Signature électronique qualifiée (FEQ)

L’art 3 n°12 du règlement européen eIDAS définit la signature électronique qualifiée:

« une signature électronique avancée créée par un dispositif de création de signature électronique qualifié et basée sur un certificat qualifié pour les signatures électroniques ».

En plus des informations prévues par le règlement européen eIDAS, la DAC à l’art. 28 prévoit que le certificat de signature électronique qualifié peut inclure le code fiscal ou un code d’identification unique similaire, les qualifications spécifiques du titulaire de la signature électronique (appartenance à des ordres ou collèges professionnels, statut d’agent public, inscription à un registre ou possession d’autres qualifications professionnelles et pouvoirs de représentation), les limites d’utilisation du certificat, les limites de la valeur des actes unilatéraux et des contrats pour lesquels le certificat peut être utilisé, un pseudonyme.

En résumant ces points, la signature électronique qualifiée peut être définie comme une signature électronique qui:

représente une attestation électronique qui lie les données d’une signature électronique à une personne physique;

elle nécessite l’utilisation d’un dispositif spécial contenant des données et des certificats capables d’identifier de manière unique le signataire 

Exemple

Un exemple de signature électronique qualifiée est une carte avec une puce qui contient certaines données personnelles et le code fiscal, comme la Tessera Sanitaria.

Signature numérique (FD)

L’art. 1 alinéa 1 lettre s des DAC définit la signature numérique:

« un type particulier de signature qualifiée basée sur un système de clés cryptographiques, l’une publique et l’autre privée, corrélées entre elles, qui permet au titulaire de la signature électronique par le biais de la clé privée et à un tiers par le biais de la clé publique, respectivement, de rendre manifeste et de vérifier la provenance et l’intégrité d’un document informatique ou d’un ensemble de documents informatiques ».

Pour chaque utilisateur, les deux clés sont générées par un algorithme spécial avec la garantie que la clé privée est la seule à pouvoir déchiffrer correctement les messages chiffrés avec la clé publique associée et vice versa. Le scénario dans lequel un expéditeur veut envoyer un message à un destinataire en mode sécurisé est le suivant: l’expéditeur utilise la clé publique du destinataire pour chiffrer le message à envoyer, puis envoie le message chiffré au destinataire; le destinataire reçoit le message chiffré et utilise sa propre clé privée pour obtenir le message « en clair ». D’autres indications sur la signature numérique sont contenues dans l’art. 24 des DAC et en particulier le paragraphe 2 établit que:

« L’apposition de la signature numérique intègre et remplace l’apposition de sceaux, poinçons, timbres, marques et signes de toute nature à toutes fins prévues par la réglementation en vigueur. »

En résumant ces points, la signature numérique peut être définie comme une signature électronique qui: est l’équivalent électronique de la signature manuscrite sur papier, car elle est associée au document électronique sur lequel elle est apposée; elle en atteste l’intégrité, l’authenticité et la non-répudiation; nécessite l’utilisation d’un dispositif de signature spécial qui se présente sous la forme d’une carte à puce à insérer dans un lecteur spécial, ou d’une clé USB accompagnée d’un logiciel de signature délivré par une autorité de certification.

Exemple

Un exemple de signature numérique est la carte nationale de services (CNS) de la Chambre de commerce.

Valeur probante du document signé avec une signature électronique « simple » (signature électronique) ou « forte » (signature électronique avancée, qualifiée ou numérique).

A compter du 12/01/2018, la valeur juridique du document informatique signé avec une signature électronique  » simple  » ou  » forte  » est régie par le nouveau paragraphe 1-bis de l’art. 20 des DAC,  » Validité et efficacité probante des documents informatiques « , qui remplace l’art. 21. 

Voici le texte:  » Le document électronique satisfait à l’exigence de forme écrite et a l’efficacité prévue à l’article 2702 du Code civil lorsqu’il est apposé d’une signature numérique, d’un autre type de signature électronique qualifiée ou d’une signature électronique avancée ou, dans tous les cas, est formé, après identification informatique de son auteur, par un processus ayant les exigences fixées par AgID en vertu de l’article 71 de manière à assurer la sécurité, l’intégrité et l’immodifiabilité du document et, clairement et sans ambiguïté, sa traçabilité à l’auteur. Dans tous les autres cas, l’aptitude du document électronique à satisfaire à l’exigence de la forme écrite et sa valeur probante sont librement appréciables en justice, au regard des caractéristiques de sécurité, d’intégrité et d’immodifiabilité. La date et l’heure de formation du document électronique sont opposables aux tiers si elles sont apposées conformément aux lignes directrices. »

En résumé, on distingue la valeur juridique des signatures simples et fortes:

SIGNATURE ÉLECTRONIQUE (signature « simple ») ou DOCUMENT D’INFORMATION SANS SIGNATURE: la valeur probante de la signature électronique est laissée à l’appréciation du juge. Même si elle ne fournit pas certains éléments garantissant l’authentification du signataire et l’intégrité des données signées, la signature électronique est donc admissible comme preuve dans les procédures judiciaires et peut entraîner certains effets juridiques. 

SIGNATURE ÉLECTRONIQUE AVANCÉE, QUALIFIÉE OU NUMÉRIQUE

(signatures « fortes »): la valeur probante des Signatures Electroniques fortes est garantie par le fait que le document électronique ainsi signé satisfait à l’exigence de la forme écrite et a l’efficacité prévue par l’art. 2702 du CC, c’est-à-dire celle de faire la preuve complète, jusqu’à une poursuite pour faux, de la provenance des déclarations par la personne qui l’a signé.

En matière de procédure civile, la modification de l’article 21 comporte une nouveauté clamante. En fait, elle introduit une véritable distorsion des concepts d' »écrit » et de « preuve écrite », qui sont pertinents dans l’application des règles du code de procédure civile qui sont réceptives à de tels concepts.

Dès lors, avec la reformulation de l’art. 21 DAC et l’introduction connexe du principe de non-discrimination à l’art. 46 eIDAS, tout document informatique (par exemple un enregistrement vocal) satisfait à l’exigence de la forme écrite, à condition qu’il soit associé à une signature électronique. 

Téléchargez ici le tableau récapitulant la valeur juridique des différents types de signatures en fonction des documents sur lesquels elles sont apposées (mise à jour de la législation du règlement UE n° 910/2014 et des modifications de la DAC).

On peut éviter de subir ces attaques en évitant de transmettre des données d’entrée aux API des systèmes de fichiers. Par conséquent, l’application valide l’entrée de l’utilisateur d’une manière complètement différente que par le passé, en employant une méthodologie qui exige l’entrée non pas sur la base de l’utilisateur et du mot de passe, mais uniquement par l’accréditation biométrique. 

My-ID ( https://bit.ly/My-ID_la_chiave_sei_tu ) pourrait être une réponse à ce type d’attaque.

Le système implique l’utilisation d’une reconnaissance biométrique multifactorielle (un SSO) dans laquelle l’utilisation d’un mot de passe, d’un pin, d’un jeton n’est pas requise (https://bit.ly/My-ID_passwordless): la formule d’accès au système implique la reconnaissance de plusieurs facteurs biométriques (https://bit.ly/My-IDCheckIdentity).

My-ID est donc une méthode innovante d’accès aux systèmes qui ne nécessite pas de saisie d’informations (https://bit.ly/My-ID_Biometric_Login), une plateforme applicable aux systèmes informatiques pour éviter l’usurpation d’identité.

PARTAGEZ

Share on linkedin
Share on whatsapp
Share on facebook
Share on twitter
Share on email