Bankenaufsicht Deep Dive
Trois communications de surveillance FINMA étalées en éventail et un clipboard d'inspection posés sur un bureau sombre à Berne

Conférence de presse annuelle FINMA 2026 : qui ne lit que le communiqué passe à côté de l'agenda de contrôle

La conférence de presse annuelle de la FINMA du 21 avril 2026 agrège les communications de surveillance 05/2025, 01/2026 et 02/2026 en un axe d'audit pour l'exercice de surveillance en cours. Ce qui, dans la partie financière, ressemble à un bilan rétrospectif est en réalité le guide pour le prochain contrôle sur place.

Dr. iur. Servatius von Tatzenberg

Le 21 avril 2026, la FINMA s’est présentée devant les micros pour sa conférence de presse annuelle. Le rapport d’activité 2025 se lit en partie comme une réassurance sur la résilience acquise. Pour le service juridique d’un établissement surveillé, il est autre chose : l’ordre du jour du prochain contrôle sur place.

Trois axes se dégagent du document comme objets de contrôle immédiats, et non comme intentions programmatiques : la résilience opérationnelle selon la communication de surveillance 05/2025, la fraude numérique selon la communication 02/2026 et la séparation des actifs cryptographiques selon la communication 01/2026. Qui considère le 21 avril comme un simple rendez-vous de communication oublie que chacune de ces trois communications de surveillance fixe une échéance, une obligation contrôlable et un parcours d’audit déjà rodé.

Résilience opérationnelle : le 1er janvier n’est pas «passé»

La communication de surveillance 05/2025 du 10 novembre 2025 fixe au 1er janvier 2026 la mise en œuvre du dispositif de résilience issu de la circulaire FINMA 2023/1 «Risques opérationnels et résilience – banques». Quatre composantes : identifier les fonctions critiques, définir les seuils de tolérance aux interruptions, tester l’efficacité du dispositif et intégrer les tiers. La FINMA traite ces quatre exigences comme contraignantes au plan prudentiel ; elles sont directement vérifiables lors du prochain contrôle sur place.

La FINMA a mesuré l’état d’avancement avant l’échéance de manière explicite. Selon la communication 05/2025, son enquête a couvert 267 banques, négociants en valeurs mobilières, groupes financiers et infrastructures de marché, avec une date de référence au 31 décembre 2024. Le nombre moyen de fonctions critiques identifiées était de 3,5. Dans les catégories de surveillance 1 à 3, 85 % des établissements n’avaient encore conduit aucun test. Seuls 12 à 15 % disposaient d’un cadre cohérent intégrant BCM, ICT, gestion des tiers et organisation de crise.

Les 113 contrôles bancaires de 2025, dont 42 pour UBS seule, n’étaient pas une répartition aléatoire. La FINMA relève que les prestataires de services et partenaires d’externalisation ont eux-mêmes été ciblés dans près de la moitié des cyberattaques signalées en 2025 — avec des répercussions directes sur les établissements surveillés — et qu’elle a réagi par des contrôles sur place ciblés auprès de ces tiers. Qui n’a mis en place le périmètre d’externalisation selon la circulaire 2023/1 que formellement, sans l’avoir testé, sera mis à l’épreuve lors du prochain contrôle là où le moniteur de risques 2025 avait déjà relevé des lacunes en novembre 2025.

La communication de surveillance 05/2025 ne formule pas d’«attentes» : elle dresse la liste des constats qu’une inspection établit en cas de mise en œuvre insuffisante — dépendances non documentées vis-à-vis du prestataire ICT, absence d’exercices de simulation sous une durée de stress réaliste, fonctions critiques sans seuil de tolérance exprimé en heures. Cette chaîne de constats a été systématiquement appliquée lors des 42 contrôles UBS de 2025 ; elle devrait atteindre le programme de surveillance en cours des catégories 2 et 3 dès que la série de contrôles UBS sera achevée.

Une loupe survolant le carnet ouvert d'un inspecteur FINMA avec trois constats manuscrits — fonctions critiques non définies, exercice de simulation absent, contrat tiers sans obligation de reporting — à côté d'un ordinateur portant le sceau de la FINMA

La fraude est un risque opérationnel, non un préalable au GwG

La communication de surveillance 02/2026 du 9 avril 2026 situe la fraude numérique sur le plan opérationnel : art. 12 BankV, et non art. 9 GwG — un glissement que nous avons analysé le 19 mai. L’art. 9 GwG oblige à signaler tout soupçon de blanchiment d’argent — réactivement, en lien avec la relation clientèle. L’art. 12 BankV exige que l’établissement limite activement les risques opérationnels par des contrôles internes adéquats ; la fraude numérique y constitue un type de risque autonome, et non un acte préalable au sens du GwG. Qui n’évalue les indicateurs de fraude que dans le cadre du processus GwG ne dispose ni du monitoring opérationnel requis ni des rapports prévus au comité d’audit.

Conservation de cryptoactifs : c’est la clé qui compte, pas la comptabilisation

La communication de surveillance 01/2026 fonde la séparation des actifs cryptographiques sur un constat opérationnel : qui détient la clé privée, qui contrôle effectivement le portefeuille. Le lien avec la conférence de presse annuelle ne réside pas dans les statistiques, mais dans l’octroi d’autorisation à la première infrastructure de négociation DLT de l’exercice. La FINMA signale ainsi que même un dispositif technique nouveau ne modifie en rien l’ancrage de droit civil existant. Concrètement, une créance client ne peut pas être séparée en cas d’ouverture de la faillite de l’établissement selon l’art. 37d BankG si le prestataire contrôle la clé privée — même si la comptabilité opère la séparation. La pratique exige une architecture technique qui maintient de façon démontrable ce pouvoir de disposition au sein de l’établissement : configurations multi-signatures ou contrats de conservation qui vont au-delà de simples SLA commerciaux.

Trois mesures pour les prochains jours

Premièrement : vérifier l’inventaire interne des fonctions critiques en regard de la circulaire 2023/1, et non de la pratique BCM établie en interne. L’enquête de la FINMA montre clairement que les deux divergent. Deuxièmement : revoir les contrats d’externalisation sous l’angle des obligations de reporting vérifiables vis-à-vis du tiers, en gardant à l’esprit la question que la FINMA posera : que sait l’établissement lui-même sur l’état de son prestataire ? Troisièmement : extraire le dossier fraude numérique du processus GwG et l’intégrer en parallèle dans le rapport sur les risques opérationnels à destination du comité d’audit.

Ce qui reste ouvert

Il reste à déterminer comment le message du Bundesrat sur la révision de la BankG du 22 avril 2026, qui redéfinit la responsabilité individuelle de la haute direction, interagit avec le régime de résilience opérationnelle. La FINMA évoque dans sa conférence de presse annuelle un renforcement de ses compétences ; les débats parlementaires décideront si cela débouche sur un régime de responsabilité individuelle contraignant des cadres dirigeants ou sur une extension de la surveillance organisationnelle existante. Le prochain point de clarification parlementaire devrait être le débat d’entrée en matière du Conseil des États.

La FINMA a clôturé au total 55 procédures d’enforcement en 2025. Dans la grande majorité de ces cas, les conditions légales d’une communication publique des issues de procédure selon l’art. 22 FINMAG n’étaient pas réunies — l’agenda de contrôle est actif, mais largement silencieux vers l’extérieur. Qui documente activement l’état de mise en œuvre de son établissement est mieux placé que celui qui attend le prochain signal public.

Qui lit les trois échéances — 1er janvier 2026 (circulaire 2023/1), communication 02/2026 du 9 avril, communication 01/2026 — comme un programme de contrôle a une longueur d’avance sur l’inspection. Qui les classe comme communication en a une de retard.