FINMA 02/2026 : La prévention de la fraude relève de l'art. 12 BankV, non de l'art. 9 GwG
La communication de surveillance FINMA 02/2026 du 9 avril 2026 rattache la fraude numérique à la gestion des risques opérationnels au titre de l'art. 12 BankV et du FINMA-RS 2023/1 — et non à l'obligation de communiquer au sens de l'art. 9 GwG. Qui se présentera au prochain cycle de révision avec les statistiques de déclarations MROS répond à la mauvaise question.
Dr. iur. Servatius von Tatzenberg
La communication de surveillance FINMA 02/2026 du 9 avril 2026 déplace le diagnostic. Phishing, Authorised Push Payments, Account Takeover, CEO Fraud : ce que les banques traitaient jusqu’ici comme un problème de blanchiment d’argent en aval, l’autorité le rattache désormais à la gestion des risques opérationnels au titre de l’art. 12 BankV et de la circulaire entièrement révisée FINMA-RS 2023/1 «Risques opérationnels et résilience — Banques». Qui se présentera au prochain cycle de révision avec les statistiques de communications de soupçon au sens de l’art. 9 GwG répond à la mauvaise question.
La communication s’appuie sur une enquête menée fin 2025 auprès de 19 banques relevant de différentes catégories de surveillance. Huit des établissements interrogés ne disposaient d’aucune politique propre en matière de fraude numérique, soit 42 % de l’échantillon. Sept ne disposaient pas de plan de réponse aux incidents standardisé, trois n’avaient pas de comité de pilotage, et environ un quart n’avaient aucun processus pour anticiper les nouveaux schémas de fraude. Ce sont là des résultats issus d’un échantillon de surveillance ordinaire.
L’art. 12 BankV oblige les banques à ancrer la gestion des risques et la séparation des fonctions dans un règlement d’organisation, et à recenser, limiter et surveiller les risques opérationnels. Lorsque la communication de surveillance 02/2026 exige une «gestion des risques adéquate» contre les risques de fraude numérique, elle s’appuie sur cette disposition — et non sur l’art. 9 GwG, qui ne s’applique que lorsqu’un soupçon existe déjà. La communication vise expressément les banques et les personnes au sens de l’art. 1b BankG. Les titulaires d’autorisation fintech et les prestataires de services de paiement relevant de cette catégorie d’autorisation sont donc également concernés. Le FINMA-RS 2023/1, en vigueur depuis le 1er janvier 2024, a étendu le catalogue d’obligations aux risques ICT, aux données critiques et à la résilience opérationnelle, et la communication rattache désormais expressément le phishing, l’Account Takeover et le CEO Fraud à ces vecteurs.
Jusqu’ici, un établissement pouvait se contenter de répondre «nous avons effectué la communication». L’art. 9 al. 1 GwG impose à l’intermédiaire financier de communiquer au MROS lorsqu’il a des soupçons fondés de blanchiment d’argent ou d’une infraction préalable. Cette obligation ne s’applique qu’une fois le préjudice déjà passé dans le système. La communication de surveillance exige désormais que la banque intervienne plus tôt — lors de l’entrée en relation numérique avec un client, face au schéma d’un Account Takeover, devant un document d’identité manipulé. L’autorité ne demande plus «avez-vous communiqué», mais «pourquoi n’avez-vous pas détecté».
L’enquête en fournit la justification empirique. Le taux de conversion des suspicions de fraude internes en communications formelles au MROS variait d’un établissement à l’autre dans un rapport de un à dix — de 12 à 78 %. La plupart des établissements appliquaient des seuils de transaction fixes compris entre CHF 100 000 et 200 000 pour les clients de détail à classification de risque faible ou normale, plutôt que des outils de surveillance fondés sur des scénarios. La FINMA a constaté que les informations KYC étaient généralement tenues à minima et déconnectées du suivi des transactions dans les établissements interrogés. Cette dispersion témoigne d’une pratique arbitraire, et l’arbitraire ne satisfait pas aux exigences de l’art. 12 BankV.
Un constat particulier illustre ce déplacement. La FINMA décrit des cas dans lesquels l’entrée en relation a été effectuée avec des documents d’identité valides par une personne légitime, avant que l’accès ne soit ensuite transféré à des tiers — sans que la FINMA considère pour autant les comptes ouverts en ligne comme globalement plus exposés à la fraude que ceux ouverts en personne. Ce schéma contourne le filtre KYC classique, car ce filtre agit précisément au moment d’une identification formellement correcte. Les vidéos manipulées et les pièces d’identité générées par intelligence artificielle rendent la forensique a posteriori coûteuse et déplacent le point de détection en amont. La circulaire 2023/1 avait traité de tels vecteurs sous la rubrique «risques ICT» ; la communication de surveillance les explicite désormais comme un risque de fraude relevant de l’art. 12 BankV.

La FINMA précise également la voie d’escalade : restrictions temporaires des services dans lesquels les cas de fraude se concentrent. Ce n’est pas une compétence nouvelle — l’art. 31 FINMAG permet le rétablissement de l’ordre réglementaire depuis la création de l’autorité. Ce qui est nouveau, c’est le point d’ancrage : la communication rattache expressément cet outil à une défaillance organisationnelle au sens de l’art. 12 BankV. Qui exploite l’entrée en relation numérique sans dispositif anti-fraude risque, selon les constatations, la suspension temporaire de l’onboarding numérique (cf. communication de surveillance, section Mesures).
Trois mesures sont opérationnalisables en l’espace d’une semaine. Premièrement, parcourir l’inventaire des risques au titre de l’art. 12 BankV pour vérifier si la fraude numérique y figure comme catégorie distincte ou si elle est regroupée sous «risque opérationnel, divers». Deuxièmement, documenter le taux de conversion MROS par canal et par agence : si la dispersion est notable, l’établissement fonctionne sans méthode de détection uniforme. Troisièmement, confronter le processus d’onboarding au schéma décrit dans les constatations de la FINMA et ancrer dans le règlement d’organisation une étape de vérification en deux temps après l’ouverture formelle du compte.
L’art. 12 BankV et le FINMA-RS 2023/1 forment le cadre. La communication de surveillance 02/2026 précise la manière dont la FINMA l’applique aux risques de fraude numérique : comme un risque opérationnel majeur devant être maîtrisé avant la survenance du dommage. La résistance de cette lecture à une mesure de surveillance concrète sera révélée par le cycle de révision 2026 — les premiers audits internes postérieurs au 9 avril sont le matériau sur lequel la FINMA calibrera ses attentes. D’ici là, la question est simple : le règlement d’organisation contient-il la phrase «la fraude numérique est un risque opérationnel au sens de l’art. 12 BankV», ou cette mention fait-elle encore défaut ?