Par Jackson Wood, directeur de la stratégie industrielle, Global Trade Intelligence, Descartes Systems Group

Dans le cadre des efforts continus de l’Office of Foreign Assets Control (OFAC) pour appliquer les sanctions américaines, le filtrage des adresses IP a été considéré comme un aspect essentiel du programme de conformité aux sanctions d’une organisation.

L’OFAC a pénalisé des organisations pour des violations de sanctions évitables résultant de contrôles de géolocalisation inadéquats et d’un suivi incomplet de la diligence raisonnable. Cette tendance croissante se reflète dans une série d’actions coercitives de l’OFAC qui ont eu lieu au cours des dernières années.

Les entreprises proposant des solutions numériques et basées sur Internet, telles que les fournisseurs de paiements, les sociétés de logiciels et les FINTECH, ainsi que les organisations ayant des activités commerciales mondiales importantes, sont particulièrement exposées à cette catégorie de risques de sanctions.

Dans cet article, nous examinons les dernières mesures d’exécution prises à l’encontre d’un prestataire de services de paiement et nous voyons quelles mesures pourraient être prises pour respecter l’obligation de conformité aux sanctions de l’OFAC en ce qui concerne le contrôle des adresses IP.

Key Takeaways

  • Un indicateur de risque essentiel: La récente action de l’OFAC montre l’impact et l’importance de la géolocalisation des adresses IP dans le respect des sanctions. Il est essentiel de savoir où les clients et autrestiers effectuent leurs transactions pour se conformer aux réglementations de l’OFAC en matière de géolocalisation.
  • Une surveillance accrue et des sanctions importantes: Il y a eu des règlements notables liés à des lacunes dans la recherche des sanctions de l’OFAC qui n’incluent pas les informations de géolocalisation de l’IP.
  • Un contrôle cohérent de la propriété intellectuelle est essentiel : Pour de nombreuses entreprises, comme celles qui ont été condamnées à une amende pour violation des sanctions de l’OFAC, un contrôle cohérent et complet des interactions avec les clients est nécessaire pour satisfaire aux obligations de conformité de l’OFAC.
  • Les solutions robustes améliorent la conformité: Les solutions de filtrage des tiers refusés basées sur l’IA, telles que celles proposées par Descartes, ont la capacité d’identifier avec précision les données de géolocalisation et de mettre en œuvre des contrôles robustes pour protéger les organisations en temps réel.

Les occasions manquées de mise en conformité avec les règles de l’OFAC ont abouti à une amende.

Le 6 novembre 2023, l’OFAC a annoncé un règlement avec un fournisseur de services de paiement pour des violations apparentes des sanctions concernant la Crimée, l’Iran, la Syrie et Cuba. La violation s’est produite lorsque la société de services financiers, qui gère des programmes de cartes de récompense prépayées, a permis que des cartes de récompense soient échangées auprès de personnes résidant apparemment dans des juridictions sanctionnées.

Détails sur la manière dont la violation présumée des sanctions s’est produite

Le fournisseur de paiements en ligne propose des programmes de cartes de récompense à des entreprises, des organisations à but non lucratif et des administrations publiques. Les programmes de cartes sont autofinancés par les clients via une banque émettrice, l’organisation fournissant des cartes prépayées aux utilisateurs autorisés. Pour échanger une carte de récompense, les utilisateurs doivent se rendre sur le site web de l’entreprise et fournir leur nom, leur adresse et leur adresse électronique. Les utilisateurs ne pouvaient pas indiquer d’adresse dans une juridiction sanctionnée et étaient contrôlés par rapport aux listes de sanctions de l’OFAC. Après vérification, la banque émettrice débloquait les fonds sur les cartes prépayées des utilisateurs.

Selon l’OFAC, entre mars 2020 et février 2022, le prestataire de paiement a échangé des cartes prépayées à 12 378 reprises pour des utilisateurs dont les adresses IP (Internet Protocol) étaient associées aux juridictions sanctionnées de 4 pays. Les remboursements ont totalisé 549 134,89 $ pour des titulaires de cartes apparemment situés dans des régions interdites.

Quelques erreurs de conformité ont été commises avant cette décision de l’OFAC :

  • L’entreprise n’a pas mis en œuvre les mesures de diligence raisonnable nécessaires pour savoir exactement qui, où et avec quoi ses clients sont impliqués. L’OFAC a clairement indiqué que les organisations sont responsables du statut juridique des tiers avec lesquels elles interagissent.
  • Il s’est appuyé uniquement sur les informations fournies par les clients au lieu de mettre en place des outils logiciels capables de collecter et d’analyser les données de manière globale afin de détecter les risques potentiels. Bien qu’il ait connaissance des adresses IP et des suffixes de courrier électronique des utilisateurs, le prestataire de services de paiement n’a pas inclus ces données dans son programme de conformité ou dans ses contrôles.
  • Dans l’ensemble, l’entreprise a fait preuve d’une mauvaise évaluation de son profil de risque, ce qui se reflète dans ses performances en matière de conformité. Son programme de conformité aux sanctions et les contrôles mis en place n’étaient pas adaptés à la nature de ses activités.

La sanction de l’OFAC et la réponse de l’organisation

L’OFAC a jugé que le prestataire de services de paiement n’avait pas fait preuve de la prudence ou de l’attention nécessaires lors de l’échange de cartes de récompenses numériques prépayées pour des utilisateurs provenant de zones sanctionnées. Toutefois, l’autorité de régulation n’a pas appliqué la sanction pécuniaire civile maximale prévue par la loi, à savoir 4 399 759 685 dollars, car elle a estimé que les violations apparentes avaient été volontairement divulguées et n’étaient pas flagrantes.

Les activités entreprises par le prestataire de services de paiement pour remédier à ses lacunes sont les suivantes :

  • effectuer un filtrage en temps réel des parties interdites ou soumises à des restrictions.
  • le blocage des suffixes d’adresses électroniques associés à des juridictions sanctionnées.
  • la mise en œuvre d’audits fréquents de son programme de conformité par des tiers.

Le montant du règlement de 206 213 dollars reflète la prise en compte par l’OFAC des mesures prises par l’entreprise pour remédier aux lacunes apparentes de son programme, ainsi que sa coopération à l’enquête de l’OFAC.

Considérations de conformité pour mieux gérer les sanctions de l’OFAC

Cette violation des sanctions donne un aperçu des attentes de l’OFAC concernant la manière dont les entreprises vérifient l’identité et la localisation des clients en utilisant des données géolocalisées telles que les adresses IP et les outils de collecte de données de géolocalisation. Les trois principales leçons de conformité à tirer et à mettre en œuvre sont les suivantes :

  • Diligence raisonnable complète : Un contrôle efficace des parties refusées repose sur des données complètes, exactes et accessibles. Dans le cas que nous venons d’examiner, des données importantes qui auraient permis d’éviter une violation n’ont pas été rendues accessibles dans le cadre du processus de filtrage. Les logiciels de conformité qui s’intègrent aux systèmes d’entreprise tels que le CRM ou l’ERP, qui contiennent déjà des données sur les clients et les tiers, constituent un moyen efficace d’atténuer ce manquement. Dans le cas de ce prestataire de paiement, avec une solution de filtrage intégrée, la recherche dans la liste des sanctions de l’OFAC sera effectuée directement dans le système commercial qui gère les transactions. Une solution solide disposera d’outils de vérification de la géolocalisation permettant d’authentifier les informations fournies par les utilisateurs au cours de la phase d’inscription et de déclencher des alertes lorsque des parties potentiellement refusées ou des régions sanctionnées tentent d’accéder aux services.
  • Audits continus et mises à jour des procédures de conformité : Les programmes de conformité doivent toujours adopter une approche fondée sur le risque. Si les organisations ont mis en place des politiques de conformité, celles-ci doivent être revues régulièrement pour s’assurer qu’elles reflètent la nature des risques qui s’appliquent à l’entreprise. Comme les réglementations et les sanctions de l’OFAC changent, de même que l’évolution technologique, un processus doit être mis en place pour effectuer des mises à jour régulières des processus de conformité et des systèmes utilisés. Afin d’identifier les lacunes et d’éviter des erreurs similaires à celles qui ont été commises dans ce cas, les organisations devraient effectuer des formations régulières, consulter des professionnels ou des fournisseurs partenaires qui ont de l’expérience dans leur secteur, et appliquer les conseils fournis par l’OFAC sur la manière d’utiliser les informations de géolocalisation de l’adresse IP dans le cadre de l’examen des parties refusées.
  • Contrôle automatisé cohérent : Pour rester en tête des obligations de conformité de l’OFAC, de la nature dynamique du risque de sanctions et des méthodes créatives que les parties soumises à des restrictions ou refusées tenteront de mettre en œuvre pour contourner les contrôles mis en place, il est nécessaire d’effectuer un contrôle des sanctions en temps réel.

Comment Descartes Visual Compliance™ peut vous aider à filtrer les adresses IP

Pour que les organisations puissent faire face à un paysage de conformité en constante évolution et chargé de risques, elles doivent se tourner vers des solutions logicielles pour leurs besoins de filtrage des tiers refusés, en particulier dans le domaine complexe du filtrage des adresses IP. Les efforts manuels créent de nombreuses opportunités d’erreurs humaines et sont tout simplement trop lents pour suivre le rythme actuel des risques de conformité.

Descartes est un fournisseur de solutions de pointe en matière de contrôle des tiers et de gestion des risquesdes tiers, ainsi que de contenu commercial pour les principaux systèmes d’entreprise, qui peuvent être intégrés avec un minimum d’interruption, parfois en moins d’une heure.

Les solutions Descartes Visual Compliance et Descartes MK™ Denied Party Screening sont flexibles et modulaires, ce qui permet aux organisations de choisir les fonctionnalités et le contenu spécifiques et exacts dont elles ont besoin pour leurs besoins particuliers en matière de conformité et de les faire évoluer ultérieurement en fonction des besoins.

Découvrez ce que nos clients disent deDescartes Denied Party Screening sur G2– une plateforme tierce d’évaluation de logiciels d’entreprise en ligne. En outre, vous pouvez lire ceguide de l’acheteur essentiel sur le filtrage des parties refuséespour vous aider à sélectionner une solution qui réponde à vos besoins.