En octobre 2025, l’Afrique du Sud est sortie de la « grey list » du Groupe d’action financière (GAFI) après avoir démontré des progrès significatifs dans son régime de lutte contre le blanchiment d’argent et le financement du terrorisme. Cette étape a non seulement rétabli la confiance internationale dans son système financier, mais a également imposé aux institutions bancaires l’obligation de maintenir des standards plus stricts : démontrer une progression durable des enquêtes et des confiscations d’actifs illicites, renforcer la supervision basée sur le risque et garantir que les autorités compétentes aient un accès rapide et précis aux informations relatives aux bénéficiaires effectifs. En 2026, la cybersécurité et l’intégrité de l’identité numérique sont devenues des axes centraux pour préserver ce statut et garantir la confiance des investisseurs, des régulateurs et des citoyens.
Un écosystème bancaire digitalisé avec des risques croissants
L’Afrique du Sud dispose de l’un des systèmes financiers les plus développés d’Afrique : quatre grandes banques — Standard Bank, FirstRand/FNB, Absa et Nedbank — concentrent 85 % des parts de marché, tandis que des banques digitales comme TymeBank ont déjà conquis sept millions de clients. Le taux de bancarisation dépasse 80 % et l’on estime que 20 millions de personnes utilisent la banque mobile. Le gouvernement, via le Department of Home Affairs (DHA), a mis en place un registre biométrique national avec un taux d’erreur inférieur à 1 %, illustrant son engagement en faveur de la digitalisation.
Cependant, cette évolution s’est accompagnée d’une hausse significative de la fraude numérique. La fraude bancaire via les canaux électroniques a représenté 65,3 % de tous les incidents signalés en 2024, soit presque le double de l’année précédente, avec des pertes dépassant 1,4 milliard de rands. La majorité des escroqueries repose sur l’ingénierie sociale : envoi de liens frauduleux par SMS, WhatsApp ou réseaux sociaux, utilisation de deepfakes et de fausses annonces pour obtenir des mots de passe ou des OTP. Ces données confirment que la digitalisation nécessite des contrôles renforcés à chaque point de contact.
Un autre phénomène préoccupant est la fraude au SIM swap. Bien que les chiffres proviennent principalement du secteur des télécommunications, l’impact est direct pour les banques. Selon le Communication Risk Information Centre (COMRiC), la fraude télécom — incluant l’usurpation d’identité et le SIM swap — a coûté plus de 5,3 milliards de rands en 2025. Cette attaque permet à un fraudeur de dupliquer la carte SIM d’une victime afin d’intercepter des codes OTP et accéder à ses comptes. Pour le secteur bancaire, cela signifie que l’authentification reposant uniquement sur le téléphone mobile n’est plus suffisante.
Exigences réglementaires : FICA, POPIA et Joint Standards
Le cadre réglementaire sud-africain s’est renforcé pour répondre à ces risques. La Financial Intelligence Centre Act (FICA) impose aux institutions désignées d’identifier et de vérifier l’identité de leurs clients, de nommer un responsable conformité et d’établir un programme de gestion des risques. Lors de l’onboarding, elles doivent appliquer une Customer Due Diligence (CDD) et mettre en place des contrôles continus adaptés au niveau de risque. La FICA autorise la vérification à distance via reconnaissance biométrique avec détection de vie ou vérification documentaire en ligne. Les entités doivent également déclarer les transactions suspectes sous 15 jours (STR) et signaler tout indice de financement du terrorisme sous cinq jours.
La Protection of Personal Information Act (POPIA) complète ce dispositif en imposant un traitement sécurisé des données, limité à des finalités spécifiques et fondé sur la transparence. L’équilibre entre protection de la vie privée et lutte contre la fraude reste délicat : les banques doivent analyser des données biométriques, comportementales et transactionnelles tout en respectant les principes de minimisation et de consentement.
En mai 2024, la Financial Sector Conduct Authority (FSCA) et la Prudential Authority (PA) ont publié le Joint Standard 2 sur la cybersécurité et la résilience, entré en vigueur le 1er juin 2025. Il impose des pratiques obligatoires de cybersécurité, incluant audits réguliers, gouvernance renforcée, supervision des tiers et plans de continuité d’activité.
Réponse des banques : biométrie, tokens et analytique avancée
Face à ces défis, les banques sud-africaines renforcent leurs processus d’identification et d’authentification. La biométrie est devenue un pilier de l’onboarding digital et des transactions sensibles. La comparaison d’un selfie ou d’une empreinte digitale avec les données officielles du DHA, associée à la détection de vie, permet de contrer les deepfakes. Le remplacement progressif des OTP par SMS par des notifications push, des tokens physiques et l’authentification biométrique réduit la dépendance à la carte SIM.
Les banques déploient également des solutions d’IA et d’analytique avancée pour surveiller les comportements transactionnels et détecter les anomalies suggérant une prise de contrôle de compte. La biométrie comportementale (vitesse de frappe, géolocalisation, adresse IP) permet d’activer des contrôles supplémentaires en cas de changement significatif.
Le rôle de Facephi
Dans ce contexte, Facephi propose des solutions adaptées aux exigences sud-africaines :
- Onboarding digital intégré au DHA : validation biométrique avec détection de vie conforme à la norme ISO 29794-5.
- Authentification biométrique multimodale : reconnaissance faciale, empreinte digitale et vocale pour éliminer la dépendance aux OTP.
- Screening AML et monitoring en temps réel : contrôle des listes de sanctions, PEP et médias défavorables, avec automatisation des STR.
- Biométrie comportementale et détection de comptes mules : identification de schémas de blanchiment via l’analyse de réseaux transactionnels.
Ces capacités permettent de réduire la fraude tout en respectant FICA et POPIA et en répondant aux exigences du Joint Standard 2.
Conclusion
La sortie de l’Afrique du Sud de la grey list du GAFI marque un tournant. Toutefois, maintenir la confiance exige un engagement continu en matière de cybersécurité et d’intégrité de l’identité. L’association d’un cadre réglementaire rigoureux, de technologies biométriques robustes et d’une approche basée sur le risque permettra aux banques de protéger leurs clients et la stabilité du système financier.
Facephi se positionne comme partenaire stratégique de cette transformation, en fournissant des solutions conformes aux standards sud-africains et internationaux, capables de réduire la fraude et de renforcer la confiance dans l’économie numérique.