Crypto Crackdown : l’OFAC sanctionne l’échange de crypto-monnaie SUEX – Technologie

Dans son communiqué annonçant les sanctions, l’OFAC a indiqué que plus de 40 % des transactions de SUEX impliquaient des acteurs illicites.¹ SUEX a été ajouté à la liste de l’OFAC des ressortissants spécialement désignés et des personnes bloquées (« liste SDN »), ce qui signifie que tous les biens et intérêts de SUEX dans les biens qui sont soumis à la juridiction américaine sont bloqués, et il est généralement interdit aux personnes américaines de s’engager dans des transactions avec SUEX.

En plus de désigner SUEX en tant que SDN, l’OFAC a également mis à jour son avis sur les risques de sanctions potentiels pour faciliter les paiements par ransomware (« avis »),² qui a été initialement publié le 1er octobre 2020. (Pour plus d’informations sur l’avis original, consultez notre article Les attaques de ransomware sont à la hausse ; Es-tu prêt?)

Le contenu de l’avis mis à jour est sensiblement similaire à l’avis 2020 original avec l’ajout important des informations sur la désignation SUEX. L’OFAC a également ajouté une discussion plus détaillée sur les mesures que les victimes d’attaques de ransomware peuvent prendre pour atténuer les risques, y compris les actions que l’OFAC considérerait comme des facteurs atténuants dans toute mesure d’application. Dans l’avis, l’OFAC indique clairement qu’il continuera à sanctionner les acteurs et autres personnes qui aident matériellement, parrainent ou fournissent un soutien financier, matériel ou technologique pour les cyberattaques de ransomware.

SUEX est désigné par l’OFAC comme un « échange de devises virtuel », mais l’échange traite de ce qui est généralement appelé « crypto-monnaie », ou en d’autres termes, une monnaie numérique qui est cryptée et décentralisée.³Il convient de noter que l’OFAC définit séparément la « monnaie virtuelle » et la « monnaie numérique », la monnaie virtuelle étant un sous-ensemble de la monnaie numérique.⁴

Dans le cadre des programmes de sanctions de l’OFAC, la « monnaie virtuelle » est « une représentation numérique de la valeur qui fonctionne comme (i) un moyen d’échange ; (ii) une unité de compte ; et/ou (iii) une réserve de valeur ; n’est ni émise ni garanti par aucune juridiction ; et n’a cours légal dans aucune juridiction. » L’OFAC définit en outre la « monnaie numérique » pour inclure « la crypto-monnaie souveraine, la monnaie virtuelle (non fiduciaire) et une représentation numérique de la monnaie fiduciaire ».

Parce que la crypto-monnaie est une monnaie décentralisée, les agences gouvernementales, y compris l’OFAC, ont eu du mal à réglementer ou à faire respecter cette innovation récente dans le monde financier. Outre le contexte de paiement par ransomware décrit dans l’Avis (pour lequel SUEX a été spécifiquement sanctionné), la crypto-monnaie peut également être – et a été – utilisée dans divers autres contextes illicites.

La désignation SUEX est la première instance de l’OFAC sanctionnant un échange de crypto-monnaie, mais l’OFAC a également ciblé les acteurs impliqués dans la monnaie numérique, même les gouvernements souverains. Le 19 mars 2018, le président Trump a signé l’ordonnance exécutive 13827 (« EO 13827 »), Prendre des mesures supplémentaires pour remédier à la situation au Venezuela, qui interdit aux ressortissants des États-Unis d’effectuer des transactions associées à « toute monnaie numérique, pièce numérique ou jeton numérique émis par, pour ou au nom du gouvernement du Venezuela à compter du 9 janvier 2018. »⁵

En tant que principal organisme d’application de l’interdiction, l’OFAC a publié une foire aux questions (« FAQ ») qui interprète les interdictions de l’EO 13827. Entre autres choses, la FAQ a clarifié que les crypto-monnaies « pétro » et « pétro-or » vénézuéliennes sont considérées comme  » monnaie numérique, pièce numérique ou jeton numérique » aux fins de l’application de l’EO 13827. Cependant, la monnaie fiduciaire traditionnelle du Venezuela, le « bolivar fuerte », n’est pas considérée comme une monnaie numérique et n’est donc pas soumise aux mêmes interdictions.

En plus des interdictions spécifiques de l’EO 13827 sur la monnaie numérique vénézuélienne, l’OFAC a également poursuivi des actions coercitives contre les entreprises du secteur de la crypto-monnaie, avec deux actions de ce type au cours de la dernière année seulement. Le 30 décembre 2020, l’OFAC a conclu un accord de règlement de 98 830 $ avec BitGo, Inc. (« BitGo ») pour des violations présumées de plusieurs programmes de sanctions de l’OFAC.⁶

BitGo met en œuvre des plates-formes de sécurité et d’évolutivité pour les actifs numériques et propose un service de gestion de portefeuille numérique sécurisé non dépositaire, qui sont des services liés aux transactions en devises numériques. Des personnes en Syrie, en Iran, à Cuba, au Soudan et dans la région de Crimée en Ukraine auraient pu utiliser les services de portefeuille numérique de BitGo en raison de l’échec de Bitgo à restreindre l’accès à ses services aux juridictions sanctionnées.

Conformément à l’accord de règlement de l’OFAC, BitGo a traité 183 transactions en monnaie numérique pour des personnes dans des juridictions sanctionnées. BitGo avait des raisons de savoir que des personnes dans des juridictions sanctionnées utilisaient ses services parce que la société suivait les adresses de protocole Internet (« IP ») de ses utilisateurs à des fins de sécurité. Cependant, BitGo n’a pas utilisé ces informations d’Iplocation à des fins de conformité aux sanctions.

Dans une affaire similaire, le 18 février 2021, l’OFAC a conclu un accord de règlement de 507 375 $ avec BitPay, Inc. (« BitPay ») pour des violations apparentes des sanctions liées aux transactions en monnaie numérique.⁷ BitPay propose une solution de traitement des paiements permettant aux commerçants d’accepter la monnaie numérique comme moyen de paiement pour des biens et des services.

L’OFAC a allégué que BitPay était potentiellement responsable de 2 102 transactions utilisant de la monnaie numérique entre des commerçants américains et des personnes dans la région de Crimée en Ukraine, à Cuba, en Corée du Nord, en Iran, au Soudan et en Syrie. Semblable à BitGo, BitPay a collecté des informations de localisation et d’adresse IP pour ses clients, mais n’a pas utilisé ces informations pour empêcher les violations des programmes de sanctions. L’OFAC a utilisé les mesures d’application de BitGo et BitPay pour rappeler aux entreprises impliquées dans les services de monnaie numérique, comme tous les fournisseurs de services financiers, de prendre des mesures pour comprendre et atténuer les risques de conformité aux sanctions.

Alors que BitGo et BitPay sont des sociétés américaines qui ont reçu des sanctions de l’OFAC, la question SUEX est différente car SUEX est une société étrangère qui fait l’objet d’interdictions de sanctions. SUEX est un échangeur de crypto-monnaie de conciergerie avec des emplacements en Russie et en République tchèque. SUEX était un échange « imbriqué », ce qui signifie qu’il n’avait pas la garde directe de la crypto-monnaie de ses clients, mais utilisait plutôt l’infrastructure d’un échange multinational plus important. En utilisant ce mécanisme, SUEX a masqué sa connexion au plus grand échange de crypto-monnaie et a pu convertir avec beaucoup de succès les fonds illicites de ses clients en espèces physiques. Bien que SUEX ait été spécifiquement référencé dans le Ransomware Advisory, la préoccupation de l’OFAC concernant les échanges de crypto-monnaie s’étend également à la facilitation de l’évasion des sanctions, des programmes de ransomware et d’autres cybercrimes.

En annonçant la désignation SDN de SUEX, l’OFAC a spécifiquement déclaré que SUEX facilitait les transactions illégales à ses propres fins illicites, contrairement à certains autres échanges de devises numériques qui sont simplement « exploités par des acteurs malveillants », y compris, par exemple, deux ressortissants chinois désignés par l’OFAC en tant que SDN le 2 mars 2020 pour blanchiment de crypto-monnaie volée lors d’une cyber-intrusion de 2018 contre un échange de crypto-monnaie.⁸ Cette cyber-intrusion est liée à Lazarus Group, un cybergroupe malveillant parrainé par l’État nord-coréen, lui-même désigné comme SDN.

***

L’activité d’application dirigée vers le marché de la crypto-monnaie devrait servir à avertir les personnes américaines du potentiel de responsabilité en matière de sanctions concernant 1) l’activité liée à des crypto-monnaies particulières, comme c’est le cas avec la crypto-monnaie de l’État vénézuélien, ou les échanges de crypto-monnaie, tels que SUEX; et 2) la fourniture de services de crypto-monnaie, ce qui pourrait entraîner des violations des réglementations en matière de sanctions vis-à-vis des personnes inscrites sur la liste SDN ou des personnes situées dans des juridictions sanctionnées.

En tant que tels, les entreprises et les individus opérant dans ce secteur en constante expansion devraient créer un programme de conformité aux sanctions basé sur les risques pour atténuer et prévenir les violations des sanctions. Les sociétés de services de crypto-monnaie devraient également former leurs employés au respect des sanctions, y compris le filtrage, l’identification des signaux d’alarme, le blocage et le signalement des transactions interdites.

Notes de bas de page

1 Le Trésor prend des mesures robustes pour contrer les ransomwares, Département américain du Trésor Office of Foreign Assets Control (21 septembre 2021), disponible à https://home.treasury.gov/news/press-releases/jy0364.

2 Avis mis à jour sur les risques de sanctions potentiels pour faciliter les paiements par ransomware, Département américain du Trésor Office of Foreign Assets Control (21 septembre 2021), disponible à https://home.treasury.gov/system/files/126/ofac_ransomware_advisory.pdf.

3 Définition de la crypto-monnaie, Merriam-Webster, https://www.merriam-webster.com/dictionary/cryptocurrency(dernière visite le 29 septembre 2021).

4 Foire aux questions : Questions sur la monnaie virtuelle, US Department of the Treasury Office of Foreign Assets Control, https://home.treasury.gov/policy-issues/financial-sanctions/faqs/559(dernière visite le 29 septembre 2021).

5 Décret exécutif 13827 du 19 mars 2018, Prenant des mesures supplémentaires pour remédier à la situation au Venezuela (19 mars 2018), disponible à https://home.treasury.gov/system/files/126/13827.pdf.

6 L’OFAC conclut un règlement de 98 830 $ avec BitGo, Inc. pour des violations apparentes de plusieurs programmes de sanctions liées aux transactions en monnaie numérique, Département américain du Trésor, Bureau du contrôle des actifs étrangers (30 décembre 2020), disponible à https://home.treasury.gov/system/files/126/20201230_bitgo.pdf.

7 L’OFAC conclut un règlement de 507 375 $ avec BitPay, Inc. pour des violations apparentes de plusieurs programmes de sanctions liées aux transactions en monnaie numérique, Département américain du Trésor, Bureau du contrôle des actifs étrangers (18 février 2021), disponible à https://home.treasury.gov/system/files/126/20210218_bp.pdf.

8 Sanctions du Trésor des individus blanchissant des crypto-monnaies pour le groupe Lazarus, Département américain du Trésor Office of Foreign Assets Control (2 mars 2020), disponible à https://home.treasury.gov/news/press-releases/sm924.

Le contenu de cet article est destiné à fournir un guide général sur le sujet. Des conseils spécialisés doivent être recherchés au sujet de votre situation particulière.