idensity check is dead

La manière dont les entreprises vérifient l’identité de leurs clients est sur le point de changer en profondeur. Ce que cela implique, et pourquoi c’est, en réalité, une bonne nouvelle.

Points clés à retenir

  • Les vérifications KYC ponctuelles constituent un échec conceptuel : elles sont incapables de détecter les fraudes survenant après l’entrée en relation. 
  • eIDAS 2.0, le règlement AML et la PSD3 convergent vers une même réponse : une assurance d’identité continue, pilotée par les événements. 
  • L’échéance de 2027 pour l’acceptation du portefeuille EUDI et la mise en place de la supervision par l’AMLA est plus proche qu’il n’y paraît.
  • La réponse ne réside pas dans un contrôle d’identité, mais dans une relation d’identité durable. 

Imaginez la scène. Un client ouvre un compte bancaire. Il télécharge son document d’identité, prend un selfie, cligne des yeux sur commande. Le contrôle automatisé s’exécute. Feu vert. Compte créé. Case conformité cochée. Affaire classée.  

Vraiment ?

Six mois plus tard, la carte SIM de ce même client a été détournée. Sa messagerie est compromise. L’appareil avec lequel il a ouvert son compte a été cloné et se connecte désormais depuis une adresse IP située à trois pays de distance. Le fraudeur à l’origine de l’attaque sait tout cela. Il est dans le compte, déplace des fonds, ajoute des bénéficiaires, agit vite. La vérification KYC réalisée six mois plus tôt, elle, n’en sait rien. Elle ne pouvait pas le savoir. Elle n’a jamais été conçue pour ça.

Les limites du contrôle KYC ponctuel ne relèvent pas d’un échec technologique : elles relèvent d’un échec conceptuel. C’est précisément ce que l’architecture réglementaire européenne en cours d’élaboration entend corriger.

eIDAS 2.0, AMLR et PSD3 : trois règlements, une seule direction

Ce qui est frappant dans le moment réglementaire actuel en Europe, ce n’est pas le volume des changements, c’est leur cohérence. eIDAS 2.0, le Règlement AML (AMLR) et la révision de la deuxième directive sur les services de paiement (PSD3) sont rédigés et mis en œuvre simultanément.

“Ce que nous observons n’est pas une succession de trois mises à jour réglementaires distinctes. C’est une réécriture coordonnée et globale de la manière dont la confiance est établie et maintenue dans l’économie numérique européenne. La question que posent les régulateurs, et à laquelle les entreprises doivent désormais répondre, est la suivante : ‘Savez-vous, en ce moment précis, que votre client est bien celui qu’il prétend être ?'”

Liudmyla Rabchynska, Directrice des Affaires réglementaires et gouvernementales mondiales chez IDnow

L’Autorité de lutte contre le blanchiment (AMLA) est tenue de soumettre ses projets de normes techniques réglementaires sur la vigilance à l’égard de la clientèle en juillet 2026. Le portefeuille européen d’identité numérique (EUDI Wallet), que chaque État membre de l’UE doit émettre d’ici fin 2026, devra être accepté par les entreprises réglementées au titre d’eIDAS 2.0 d’ici 2027. La PSD3 aligne les exigences d’authentification forte du client sur ces deux textes. Pour les entreprises dont l’architecture de conformité repose sur un contrôle KYC ponctuel, cela représente une refonte majeure.

Fraude en hausse : ce que les chiffres révèlent

Les services financiers ont une échéance concrète, et il reste beaucoup à accomplir. Il est toutefois essentiel de souligner que ces changements ne sont pas imposés aux entreprises contre leurs intérêts. Ils sont portés, en partie, parce que l’ancien modèle était déjà en train de les desservir.

L’ampleur du problème n’a rien d’abstrait. Selon le rapport conjoint BCE/ABE sur la fraude aux paiements, les transactions frauduleuses dans l’Espace économique européen ont atteint 4,3 milliards d’euros en 2022, un chiffre déjà en hausse, avec 2 milliards d’euros enregistrés au seul premier semestre 2023. En 2024, les virements frauduleux avaient encore progressé de 16 % en glissement annuel, pour atteindre 2,2 milliards d’euros, auxquels s’ajoutaient 1,3 milliard d’euros de fraude à la carte, selon le rapport 2025 de l’ABE et de la BCE sur la fraude aux paiements.

Tel est le coût d’un modèle qui n’a jamais été conçu pour faire face à la fraude moderne. La fraude à l’identité synthétique, par exemple, figure parmi les menaces à la croissance la plus rapide : selon l’analyse d’Experian portant sur les demandes de crédit au Royaume-Uni, elle représente désormais près d’un tiers de l’ensemble des cas de fraude à l’identité. Le rapport mondial sur la fraude 2023 de TransUnion la désigne comme la forme de fraude numérique connaissant la progression la plus rapide au niveau mondial. Les attaques par prise de contrôle de compte, qui exploitent l’écart entre un contrôle KYC ponctuel et toute authentification ultérieure, constituent une menace tout aussi préoccupante, en escalade rapide.

“Les entreprises que je rencontre, et qui ont une longueur d’avance sur ce sujet, ne considèrent pas eIDAS 2.0 comme une obligation de conformité. Elles y voient le moment où elles disposent enfin d’une infrastructure à la hauteur de la sophistication des menaces auxquelles elles font face. Le moment réglementaire et le moment commercial ne font qu’un.” Jonas Mendes, Directeur Produit de la Trust Platform d’IDnow.

Construire une relation d’identité durable avant l’échéance 2027

Les entreprises qui appréhendent cette évolution réglementaire comme une opportunité de construire une relation véritablement plus résiliente avec leurs clients seront conformes d’ici 2027 et, surtout, en seront renforcées.

Avec la Trust Platform d’IDnow, les entreprises bénéficient d’une relation continue avec leurs clients : une relation capable de déclencher une nouvelle vérification d’identité dès qu’un changement intervient, d’appliquer différentes méthodes de vérification selon les niveaux de risque, et d’intégrer le portefeuille EUDI à son arrivée, sans nécessiter de projet d’intégration distinct.

“L’objectif, c’est que lorsqu’une réglementation évolue, qu’une nouvelle méthode de vérification devient disponible ou qu’une nouvelle typologie de fraude émerge, la Trust Platform d’IDnow absorbe ce changement. Le client n’a pas à reconstruire quoi que ce soit. Il n’a même pas à s’en apercevoir. C’est précisément ce à quoi une infrastructure est censée servir.” Jonas Mendes, Directeur Produit Trust Platform d’IDnow.

De la conformité à la confiance : une opportunité à saisir

Il existe une version de cette histoire qui peut sembler alarmante : trois réglementations convergentes, un nouveau portefeuille numérique à accepter dans 27 États membres, une fraude en constante évolution qui met en échec les contrôles traditionnels, et une échéance 2027 plus proche qu’elle n’y paraît. 

Cette version n’est pas fausse. Mais elle est incomplète. 

Si les régulateurs européens avancent simultanément dans cette direction, c’est parce que l’ancien modèle engendrait les problèmes mêmes qu’il prétendait prévenir. Un contrôle ponctuel, greffé en amont de la relation client et jamais reconsidéré, n’a jamais constitué unevéritable conformité. C’était un rituel. 

Le nouveau modèle exige davantage et, ce faisant, rend enfin accessible l’objectif d’une confiance durable entre les entreprises et leurs clients. La vérification d’identité ponctuelle appartient au passé. La relation d’identité continue, elle, commence maintenant. 

Pour en savoir plus sur la réflexion de Jonas Mendes autour des capacités de la Trust Platform d’IDnow, consultez son article “Parole d’expert : quand la conformité cesse d’être un frein”.

Par

Le coût de la conformité : pourquoi 10 % des banques européennes ont disparu en deux ans ? 1

Jody Houton
Senior PR & Content Manager chez IDnow