L’automatisation dans la banque et les fintechs ne se limite plus aux processus internes ou aux robots exécutant des tâches répétitives. De plus en plus, les clients délégueront des décisions et des transactions à des agents d’intelligence artificielle capables de comparer des offres, d’activer des services ou de transférer de l’argent entre entités — et ce, même lorsqu’ils ne sont pas connectés.
Ce scénario, qui il y a quelques années semblait de la science-fiction, est aujourd’hui une réalité émergente. Et avec lui se pose un défi que toute institution ne peut ignorer : la responsabilité déléguée. Si un agent peut exécuter des transactions de bout en bout au nom d’un client, le risque ne se concentre plus exclusivement sur l’identité humaine. La question critique devient maintenant : qui est responsable lorsqu’un problème survient ?
La transition de KYC (Know Your Customer) à KYA (Know Your Agent) n’est pas seulement conceptuelle. Elle représente un changement structurel dans la manière dont les institutions financières doivent gérer l’identité, l’autorisation et la traçabilité dans un monde de plus en plus automatisé.
De KYC à KYA : l’évolution naturelle du contrôle de l’identité
Pendant des décennies, les institutions financières ont basé leurs systèmes de contrôle sur le KYC : identifier le client, vérifier son identité, surveiller son activité et conserver des preuves de chaque transaction. Cette approche fonctionnait parce que le titulaire du compte et l’acteur étaient la même personne.
Dans un environnement où les agents agissent de manière autonome, cette symétrie disparaît. Désormais, l’institution interagit avec un acteur non humain, disposant d’une autorité déléguée et capable d’exécuter des opérations complexes de manière indépendante. Le KYA émerge comme l’évolution naturelle du KYC : il ne remplace pas la vérification de l’identité humaine, mais ajoute une couche de contrôle sur les agents qui agissent en son nom.
L’objectif du KYA est de répondre à des questions telles que : quel agent agit actuellement ? Sous quelle autorité ? Quels sont ses limites opérationnelles ? Et comment puis-je le démontrer à un auditeur ou à un régulateur ?
Délégation autonome et risques associés
L’intégration d’agents d’IA introduit des risques qui n’existaient pas dans le modèle traditionnel. Un agent légitime peut opérer dans les limites de ses permissions assignées et, malgré tout, réaliser des actions générant une exposition excessive, des erreurs opérationnelles ou des violations réglementaires.
Ce n’est pas hypothétique. Des études récentes sur la gestion des identités non humaines montrent que de nombreuses organisations ont une visibilité limitée sur les comptes de service, les tokens ou les clés API. Si aujourd’hui il est déjà difficile de contrôler ces identités internes, le risque se multiplie lorsque des agents autonomes externes agissent au nom de clients réels, élargissant la surface de responsabilité.
Le problème réside dans le fait que ces agents agissent avec une autorité déléguée : le titulaire du compte leur fait confiance pour prendre des décisions en son nom, et l’institution financière reste responsable envers les auditeurs et régulateurs de chaque action effectuée.
La surface de risque constitue un écosystème d’acteurs interdépendants, chacun capable d’exécuter des actions à fort impact. De plus, ces risques ne se limitent pas aux pertes financières directes. Les conséquences peuvent se manifester sous forme de :
- Non-conformités réglementaires, telles que l’absence de preuves concernant l’autorisation ou la traçabilité des opérations.
- Exposition à la fraude interne et externe, où des agents compromis peuvent exécuter des transactions malveillantes sans déclencher les alertes traditionnelles.
- Impact réputationnel, si l’institution n’est pas en mesure de démontrer aux clients ou aux régulateurs que des contrôles adéquats ont été exercés sur chaque action.
Dans ce contexte, le risque n’est plus seulement technologique ; il relève de la responsabilité (accountability). L’institution financière doit s’assurer que chaque action de l’agent puisse être attribuée, validée et auditée, indépendamment de l’autorité déléguée par le client.
Gouvernance et visibilité : la base de la confiance
Gérer des agents autonomes exige d’aller au-delà des contrôles conventionnels. La confiance ne peut pas se construire uniquement sur la présomption que l’agent agira correctement ; il doit exister une infrastructure de gouvernance claire, capable de suivre, valider et auditer chaque décision automatisée.
Parmi les éléments critiques, on trouve :
- Vérification robuste de l’identité humaine : La personne qui délègue l’autorité doit être pleinement authentifiée via des méthodes d’identité numérique fiables et vérifiées.
- Authentification et enregistrement de la délégation : Chaque autorisation doit être documentée, avec des preuves cryptographiquement vérifiables, afin de pouvoir démontrer aux auditeurs et régulateurs l’intention et l’étendue de la délégation.
- Définition de limites opérationnelles claires : Les agents doivent fonctionner avec des permissions explicites, des restrictions sur les transactions critiques et des politiques d’accès différenciées selon le risque, le type d’opération et le profil du client.
- Escalade dans les opérations critiques : Pour les actions à fort impact, telles que les mouvements de fonds, les changements de credentials ou l’accès à des informations sensibles, des mécanismes de step-up, des validations supplémentaires ou une intervention humaine obligatoire doivent être mis en place.
- Traçabilité complète et preuves auditables : Chaque interaction de l’agent doit être enregistrée, incluant l’agent spécifique, l’utilisateur, l’action exécutée, les politiques appliquées et les exceptions, permettant de reconstruire tout événement avec précision.
Dans cet écosystème, l’identité numérique et la biométrie jouent un rôle stratégique. Facephi offre une solution intégrée qui unifie la vérification d’identité, la prévention de la fraude et les capacités de compliance/AML, permettant de garantir que chaque action déléguée puisse être vérifiée et auditée, offrant des preuves solides aux auditeurs et régulateurs et assurant la conformité aux standards globaux de traçabilité, de contrôle et de supervision.
Préparation stratégique face aux agents autonomes
Les organisations qui comprennent et gèrent correctement cette nouvelle couche de responsabilité transformeront un risque potentiel en avantage compétitif. La clé réside dans l’établissement d’un plan de contrôle solide intégrant :
- Des signaux de confiance robustes.
- Des politiques d’autorisation claires.
- Des mécanismes d’escalade pour les opérations à haut risque.
- Des preuves auditables pour chaque action pertinente.
Les institutions qui adoptent ces principes seront mieux positionnées pour se conformer aux réglementations internationales, telles que le EU AI Act, DORA ou les dernières mises à jour en matière de AML/CFT, tout en maintenant la confiance et la résilience opérationnelle face à la fraude, aux erreurs et aux événements critiques.