En finance, la confiance est primordiale, mais que se passe-t-il lorsque même nos yeux et nos oreilles nous font défaut ? Des cas récents montrent qu’il ne s’agit plus d’une préoccupation théorique. La technologie Deepfake, alimentée par des réseaux neuronaux formés sur des ensembles de données massifs, peut analyser l’audio, la vidéo et les images pour produire des imitations et des modifications très réalistes, créant ainsi de faux médias de plus en plus convaincants. Les fraudeurs pourraient alors s’en servir pour commettre des délits. Par exemple, lors d’un incident, une société multinationale a perdu 25 millions de dollars après que des fraudeurs ont utilisé la technologie vidéo deepfake pour se faire passer pour son directeur financier lors d’un appel vidéo en direct. Dans un autre cas, un dirigeant britannique du secteur de l’énergie a transféré des fonds après avoir « parlé » à quelqu’un qu’il pensait être son PDG, pour découvrir plus tard que la voix était synthétique. De tels scénarios sont désormais de plus en plus courants. Dans un article récent, j’ai co-écrit avec le Dr Michal Lavi, « Voir, c’est croire ? Deepfakes sur les marchés financiers », Nous examinons ce phénomène émergent et suggérons qu’une stratégie d’application plus préventive soit nécessaire pour résoudre ce problème.
Notre article soutient que même si une grande attention a été accordée aux deepfakes sur les réseaux sociaux, où ils menacent les élections, la réputation et la démocratie, un danger tout aussi grave réside dans les escroqueries deepfakes étroitement ciblées dans le secteur financier. Ces escroqueries manipulent l’identité numérique en temps réel, déformant non pas le passé mais le présent, et leur impact cumulé peut menacer la confiance systémique dans les marchés financiers eux-mêmes.
Les marchés financiers dépendent de l’intégrité de l’information. Les traders, les institutions et les régulateurs partent du principe que les signaux du marché et les communications vérifiées sont authentiques. Les deepfakes sapent cette prémisse. Les implications sont profondes : un faux « dirigeant » peut ordonner des transferts de fonds, une fausse « annonce du PDG » peut faire évoluer les cours des actions, et une « vidéo judiciaire » falsifiée peut influencer les résultats judiciaires. Dans chaque cas, la technologie s’attaque à la confiance, fondement du système financier. Cela constitue une menace importante pour la stabilité et la résilience de nos marchés.
Actuel La réglementation devrait, entre autres, interdire le KYC à distance uniquement pour les activités à haut risque
La plupart des réponses juridiques aux deepfakes se concentrent sur les deepfakes diffusés : de fausses vidéos largement partagées sur les réseaux sociaux. Des lois telles que le « NO FAKES Act », le « Take It Down Act » et le Digital Services Act (DSA) de l’UE mettent l’accent sur l’étiquetage, la divulgation et la suppression des contenus manipulés. Ces mesures luttent contre la désinformation du public, mais elles ne parviennent pas à lutter contre les escroqueries ciblées contre les deepfakes qui usurpent l’identité de vraies personnes à des fins financières. L’application des règles visant les plateformes ou les créateurs manque donc le but, car les auteurs sont souvent anonymes, transfrontaliers et intentionnellement non conformes, hors de portée des règles d’étiquetage ou des procédures de retrait.
Cette asymétrie révèle une faiblesse plus profonde du modèle d’application de la loi de l’UE. Alors que le DSA réglemente les plateformes et que la prochaine loi sur l’IA réglemente les développeurs, l’exposition du secteur financier provient de l’utilisation de deepfakes au sein des organisations réglementées elles-mêmes. L’application des règles doit donc s’orienter vers l’intérieur : du discours policier au renforcement de la vérification au sein des entreprises. Dans notre article, nous soulignons le fait que pour les deepfakes diffusés, les plateformes comme les réseaux sociaux agissent comme des régulateurs naturels. Mais sur les marchés financiers, les banques et les prestataires de paiement deviennent les gardiens de l’identité. Cela déplace l’attention de l’application ex post vers les garanties ex ante, exigeant que les protections technologiques, procédurales et culturelles soient intégrées directement dans les institutions financières.
Nous proposons que les institutions financières adoptent une vérification multifactorielle en temps réel qui combine des contrôles biométriques, comportementaux et basés sur les appareils. La loi devrait également interdire le KYC à distance uniquement pour les activités à haut risque, telles que l’ouverture de comptes ou l’émission de cartes de crédit, et exiger plutôt le retour aux procédures de vérification en personne et en face à face. Les régulateurs tels que la BCE et l’ESMA devraient fixer des normes minimales pour une authentification résistante aux deepfakes, tandis que les superviseurs nationaux se coordonnent par le biais d’un « groupe de travail sur l’IA dans les services financiers » pour harmoniser les pratiques. Ces étapes peuvent sembler strictes, mais à l’ère de l’usurpation d’identité basée sur l’IA, la vérification en face à face est devenue une garantie nécessaire.
Le cadre de l’UE ne répond pas suffisamment à ce problème à l’heure actuelle
L’UE dispose déjà de cadres solides de gouvernance des données et de l’IA, tels que le RGPD, la loi sur l’IA et la loi sur les services numériques, mais aucun ne traite de manière adéquate les escroqueries deepfake ciblant les institutions financières.
En vertu du RGPD, de telles usurpations d’identité violent clairement les principes de protection des données, mais l’application est réactive et dépend de l’identification des contrevenants, une tâche presque impossible lorsque les escrocs agissent de manière anonyme au-delà des frontières. L’AI Act adopte une approche basée sur les risques mais se concentre sur les fournisseurs, et non sur les utilisateurs qui utilisent des outils légitimes à des fins frauduleuses.
Nous proposons que l’UE classe les escroqueries à l’identité activées par les deepfakes comme des utilisations « à haut risque » en vertu de la loi sur l’IA, déclenchant une surveillance obligatoire pour les institutions utilisant la vérification d’identité basée sur l’IA. La Banque centrale européenne, par le biais de son mécanisme de surveillance unique, pourrait imposer davantage de normes de vérification aux grandes institutions, un peu comme le fait le DSA pour les « très grandes plateformes en ligne ». Cela alignerait la gouvernance des deepfakes sur la logique d’application plus large de l’UE : s’attaquer aux vulnérabilités systémiques, et pas seulement aux infractions isolées.
Cependant, la technologie ne peut à elle seule résoudre un problème qui est également humain. Les institutions financières reposent sur la confiance. Confiance entre clients et conseillers, ainsi qu’entre employés et gestionnaires. Les escroqueries Deepfake exploitent précisément ces relations sociales. Ainsi, la culture organisationnelle et la formation sont aussi essentielles que n’importe quel outil d’IA. Nous proposons que les banques et les entreprises adoptent des normes internes de « scepticisme numérique ». Les employés doivent être formés à ne pas se fier aveuglément aux apparences et à vérifier les demandes inhabituelles, même lorsqu’elles semblent provenir de visages ou de voix familiers. Des simulations régulières, des campagnes de sensibilisation et des protocoles de reporting devraient faire partie de la culture de conformité, tout comme les procédures de lutte contre le blanchiment d’argent (AML) aujourd’hui.
Un appel pour une nouvelle application
En fin de compte, les escroqueries basées sur les deepfakes remettent en question les fondements mêmes de l’application des lois dans l’UE. Les sanctions ex post traditionnelles, la responsabilité civile ou les ordonnances de suppression de contenu ne peuvent pas suivre le rythme de la tromperie en temps réel alimentée par l’IA générative. Ce qu’il faut, c’est une application par l’architecture : intégrer la vérification, la traçabilité et le scepticisme directement dans le code numérique et organisationnel des institutions financières.
Cela appelle une stratégie européenne coordonnée qui lie la loi sur l’IA, le DSA et la surveillance financière sous un objectif commun : préserver la confiance dans les marchés financiers. La Commission européenne, la BCE et les régulateurs nationaux devraient élaborer conjointement des normes d’authentification et de détection des deepfakes, les intégrant à la réglementation prudentielle.
Le défi pour l’UE de faire appliquer la loi n’est pas simplement de punir la tromperie après qu’elle se soit produite, mais aussi d’empêcher l’érosion de la confiance avant qu’elle ne se propage.
Le Dr Hadar Yoana Jabotinsky est la fondatrice et directrice du Centre Hadar Jabotinsky pour la recherche interdisciplinaire sur les marchés financiers, les crises et la technologie (HJC). Elle est une éminente spécialiste du droit et de l’économie dont les travaux portent sur la réglementation des marchés financiers, la gouvernance des technologies émergentes et le droit de l’environnement. Les recherches du Dr Jabotinsky ont eu un impact significatif sur le monde réel, sur les approches réglementaires et ont influencé les décideurs politiques du monde entier. Elle est également consultante en réglementation juridique auprès d’entreprises, de gouvernements et d’organisations internationales, et est professeure adjointe dans plusieurs universités et collèges.
