Conformité KYC/LCB-FT des néobanques en Belgique 2026 : obligations FSMA, BNB et CTIF-CFI

Les néobanques et banques digitales opérant en Belgique sont soumises aux mêmes obligations KYC et LCB-FT que les établissements financiers traditionnels — souvent dans des conditions opérationnelles plus contraignantes, car chaque interaction client se déroule à distance. En Belgique, le cadre de référence est la Loi du 18 septembre 2017 relative à la prévention du blanchiment de capitaux et du financement du terrorisme (ci-après « la Loi »), telle que modifiée. La FSMA (Autorité des services et marchés financiers) et la BNB (Banque Nationale de Belgique) exercent la supervision prudentielle selon la nature de l'agrément détenu. Le CTIF-CFI (Cellule de Traitement des Informations Financières) est l'Unité de Renseignement Financier (URF) belge qui reçoit les déclarations de soupçon. Les pénalités prononcées contre des néobanques à l'échelle européenne — dont la sanction BaFin de 4,25 millions d'euros infligée à N26 en 2021 et l'amende FCA de 29 millions de livres sterling contre Starling Bank en octobre 2024 — confirment que la rapidité de mise sur le marché ne peut pas primer sur l'infrastructure de conformité.

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique, financier ou réglementaire.

Pour une vue d'ensemble des processus d'onboarding documentaire dans le secteur bancaire, consultez notre guide sur la vérification KYC pour établissements bancaires.

Cadre réglementaire applicable aux néobanques en Belgique en 2026

La Belgique dispose d'un cadre LCB-FT structuré autour de la Loi du 18 septembre 2017, qui a transposé les Directives AMLD4 et AMLD5. Le pays se prépare également à l'application progressive du paquet AML européen, avec le Règlement (UE) 2024/1624 (AMLR) directement applicable à partir du 10 juillet 2027.

La Directive AMLD6 (Directive (UE) 2024/1640) doit être transposée par les États membres de l'UE avant le 10 juillet 2027. Pour la Belgique, cela viendra compléter et partiellement remplacer les dispositions actuelles de la Loi du 18 septembre 2017. L'AMLR, directement applicable, supprimera les écarts de conformité qui permettaient à certaines institutions d'opérer sous des transpositions nationales plus souples.

Pour une analyse complète du paquet AML européen, consultez notre guide de conformité LCB-FT pour les entités assujetties.

Architecture de supervision belge : FSMA, BNB et CTIF-CFI

La Belgique applique un modèle de supervision bipartite selon la nature de l'entité agréée. La FSMA supervise les établissements de paiement, les entreprises d'investissement et certaines fintechs ou néobanques opérant sous un agrément d'établissement de paiement ou de monnaie électronique non bancaire. La BNB supervise les établissements de crédit et les établissements de monnaie électronique agréés en tant que tels. Le CTIF-CFI reçoit les déclarations de soupçon de l'ensemble des entités assujetties et peut transmettre les dossiers aux autorités judiciaires.

Cette architecture implique qu'une néobanque belge doit identifier précisément son autorité de supervision principale avant de construire son programme de conformité, car les exigences de reporting et les lignes directrices sectorielles diffèrent selon l'autorité compétente.

Exigences KYC pour l'onboarding digital

L'onboarding entièrement à distance crée des obligations de conformité spécifiques que les banques traditionnelles avec agences physiques ne rencontrent pas. En l'absence d'un agent humain lors de la vérification d'identité, le risque de fraude à l'identité synthétique, de manipulation de documents et de deepfakes est matériellement plus élevé.

Documents d'identité exigés

Conformément à la Loi du 18 septembre 2017 et à l'AMLR à venir, le standard minimum pour l'onboarding de clients particuliers exige :

• Document d'identité principal : carte d'identité belge (eID belge), passeport belge ou titre de séjour en cours de validité
• Justificatif de domicile : facture d'utilité publique, relevé bancaire ou correspondance officielle datée de moins de trois mois
• Bénéficiaires effectifs : pour les comptes professionnels, statuts, extrait de la Banque-Carrefour des Entreprises (BCE) et identification de tous les bénéficiaires effectifs détenant 25 % ou plus

Pour les clients professionnels, la complexité de la vérification augmente substantiellement. L'article 46 de la Loi du 18 septembre 2017 impose aux établissements financiers de remonter les structures d'entreprise pour identifier les bénéficiaires effectifs finaux (UBO), une procédure pouvant impliquer des chaînes documentaires dans plusieurs juridictions. Le numéro BCE (numéro d'entreprise à 10 chiffres figurant dans la Banque-Carrefour des Entreprises) est la référence d'identification obligatoire pour toute personne morale belge onboardée.

Détection de vivacité : une obligation de conformité

L'EBA/GL/2021/21, mise à jour en octobre 2023, impose la détection de vivacité lors de l'onboarding à distance ou digital lorsqu'aucun agent humain n'est présent. Il ne s'agit pas d'une recommandation — c'est une attente prudentielle contrôlée par la FSMA et la BNB lors de leurs inspections. La détection de vivacité doit confirmer que la personne présentant le document est physiquement présente, et non une photographie, une relecture vidéo ou un deepfake. Les contrôles de vivacité passifs et actifs satisfont tous deux à cette exigence, sous réserve de respecter les critères ISO/IEC 30107-3 (détection d'attaques par présentation).

Les néobanques qui se fient uniquement au téléchargement de documents sans contrôle de vivacité sont en non-conformité substantielle avec EBA/GL/2021/21 et exposées à un risque de sanction de la FSMA ou de la BNB.

Approche par les risques en matière de CDD

La vigilance standard (CDD) s'applique à la majorité des clients particuliers. La vigilance renforcée (EDD) est obligatoire pour :

• Les personnes politiquement exposées (PPE) et leurs proches — y compris les hauts fonctionnaires européens présents à Bruxelles, dont le statut PPE doit être évalué individuellement
• Les clients provenant de pays à haut risque selon la liste maintenue par la BNB et la FSMA, ainsi que la liste GAFI (liste noire et grise du GAFI)
• Les clients dont les comportements transactionnels sont incohérents avec leur profil déclaré
• Les relations de correspondance bancaire

La vigilance simplifiée (SDD) n'est admissible que lorsque le risque est démontrablement faible — par exemple, les produits de monnaie électronique à faible valeur avec plafonds de transaction. L'article AMLR 22 définit explicitement les conditions de la SDD, remplaçant les approches nationales discrétionnaires.

Obligations LCB-FT : surveillance des transactions et déclarations au CTIF-CFI

La surveillance des transactions est le cœur opérationnel d'un programme LCB-FT. Pour les néobanques traitant des volumes élevés de paiements en temps réel, le défi ne réside pas dans la collecte des données transactionnelles, mais dans la construction d'une logique d'alertes produisant des signaux exploitables sans générer un volume ingérable de faux positifs.

Conception du programme de surveillance des transactions

Un programme efficace de surveillance des transactions pour une néobanque belge doit couvrir :

1. Alertes basées sur des règles : règles de vélocité (par exemple, cinq dépôts en espèces ou plus en 24 heures), détection de fractionnement (transactions juste en dessous des seuils de déclaration), corridors de paiement inhabituels
2. Analyses comportementales : écarts par rapport au comportement transactionnel établi du client, signalement de comptes qui transactent soudainement avec des contreparties à haut risque
3. Contrôle des sanctions : correspondance en temps réel avec les listes de sanctions consolidées de l'UE, de l'OFAC et des Nations Unies
4. Contrôle des PPE et des médias négatifs : surveillance continue, pas uniquement lors de l'onboarding

La Loi du 18 septembre 2017 (Art. 35 et suivants) impose une surveillance continue de la relation d'affaires, incluant le contrôle des transactions par rapport au profil de risque du client et la mise à jour régulière des dossiers CDD. L'AMLR (Art. 42) impose une exigence équivalente de surveillance continue proportionnelle au risque.

Déclarations de soupçon au CTIF-CFI

En Belgique, les déclarations de soupçon sont soumises au CTIF-CFI via sa plateforme de déclaration en ligne sécurisée. Le référent LCB-FT est responsable de l'examen des signalements internes, des décisions de déclaration et du maintien d'une piste d'audit. L'omission de déclaration lorsqu'un soupçon existe constitue une infraction pénale au titre de la Loi du 18 septembre 2017.

Contrairement à certains autres pays européens, la Belgique ne prévoit pas de délai fixe légalement imposé pour la déclaration de soupçon : la Loi impose une déclaration « dans les plus brefs délais » dès que le soupçon est né (Art. 54). L'AMLR (Art. 69) introduira des délais contraignants harmonisés à partir de juillet 2027.

Le CTIF-CFI publie annuellement un rapport d'activité avec des typologies de blanchiment sectorielles, qui constitue une référence précieuse pour calibrer les règles de surveillance des transactions.

Cas d'application et sanctions : enseignements pour les néobanques belges

Le bilan des mesures d'exécution à l'encontre des néobanques en Europe est désormais suffisamment étoffé pour en tirer des leçons claires. Les actions réglementaires ne portent pas principalement sur de mauvaises intentions — elles reflètent des déficiences structurelles de programme qui persistent à mesure que les organisations se développent.

N26 : BaFin a plafonné la croissance à 50 000 nouveaux clients par mois

BaFin a infligé à N26 une amende de 4,25 millions d'euros en 2021 pour des lacunes dans le reporting LCB-FT et a plafonné l'acquisition de clients à 50 000 nouveaux comptes par mois jusqu'à la remédiation. Les défaillances sous-jacentes incluaient des déclarations de soupçon tardives, une couverture incomplète de la surveillance des transactions et des dossiers KYC ne répondant pas au standard exigé. Le plafond de croissance — plutôt que l'amende — a constitué la sanction commercialement significative.

Starling Bank : amende FCA de 29 millions de livres sterling en octobre 2024

La FCA a infligé à Starling Bank une amende de 29 millions de livres sterling en octobre 2024 pour des défaillances dans les contrôles de criminalité financière. L'enquête de la FCA a révélé que le contrôle des sanctions financières de Starling ne couvrait pas l'ensemble de sa clientèle et que son dispositif de contrôle de la criminalité financière n'avait pas évolué au même rythme que sa croissance rapide. Ce cas est directement instructif pour toute néobanque qui mise sur l'hypothèse que l'infrastructure de conformité peut être mise en place a posteriori.

Wise : ordonnance de consentement FinCEN de 4 millions de dollars (2022)

Wise (TransferWise) a fait l'objet d'une ordonnance de consentement FinCEN de 4 millions de dollars en 2022 pour des violations du Bank Secrecy Act. Pour les néobanques belges traitant des transferts internationaux — notamment vers les États-Unis — ce précédent souligne que les insuffisances de programme en matière de LCB-FT font l'objet de sanctions coordonnées entre juridictions.

Schémas structurels dans les mesures d'exécution contre les néobanques

Construction d'un programme de conformité pour une néobanque belge

Un programme conforme n'est pas une collection de solutions ponctuelles — c'est un cadre intégré qui connecte la vérification lors de l'onboarding, la surveillance continue, le traitement des alertes et le reporting réglementaire dans un système défendable avec une propriété claire.

Composants du programme

1. Politiques et déclaration d'appétit pour le risque Le programme de conformité doit débuter par une déclaration écrite d'appétit pour le risque définissant les types de clients, géographies et produits que l'entité accepte ou n'accepte pas. Ce document ancre chaque décision de contrôle ultérieure et démontre aux régulateurs que le programme reflète une véritable gestion des risques.

2. Workflow de vigilance client (CDD) Le workflow CDD doit être documenté, versionné et testé. Il doit préciser : les documents acceptables par type de client, la méthode de vérification de l'authenticité des documents, les déclencheurs de l'EDD et la procédure d'enregistrement des décisions. La plateforme CheckFile — couvrant plus de 3 200 types de documents dans 32 juridictions, dont la carte eID belge — soutient une exécution cohérente du CDD à grande échelle, y compris pour les documents provenant de marchés où les néobanques onboardent fréquemment des clients à distance.

3. Technologies et contrôles de vivacité La vérification automatisée des documents, la détection de vivacité et le contrôle des sanctions doivent être intégrés à l'étape de l'onboarding, et non effectués comme des contrôles manuels a posteriori. L'exigence EBA/GL/2021/21 de détection de vivacité lors de l'onboarding à distance en fait une obligation de conformité, et non une amélioration optionnelle.

4. Référent LCB-FT et gouvernance La Loi du 18 septembre 2017 (Art. 9) exige la désignation d'un référent LCB-FT doté d'une séniorité et de ressources suffisantes pour exercer son rôle. Le référent doit avoir accès direct à la direction et la capacité d'escalader les préoccupations sans interférence organisationnelle. Sous l'AMLR (Art. 10), les entités de l'UE devront désigner un membre de l'organe de direction responsable de la conformité LCB-FT.

5. Formation Tout le personnel en contact avec les clients ou traitant des transactions doit recevoir une formation LCB-FT adaptée à son rôle. Les registres de formation doivent être tenus à jour lorsque les réglementations évoluent. La Loi belge impose des exigences de formation documentée, et la Belgique encourage — mais n'exige pas encore légalement — la disponibilité de la documentation de conformité en néerlandais et en français pour le personnel bilingue.

6. Audit et assurance Un audit interne indépendant du programme LCB-FT doit avoir lieu au moins une fois par an, avec des conclusions rapportées au comité d'audit du conseil d'administration. Le périmètre doit couvrir la qualité CDD, le processus de déclaration de soupçon, l'efficacité de la surveillance des transactions et les taux d'achèvement de la formation.

Pour un guide détaillé sur la structuration de la vérification documentaire au sein d'un programme de conformité plus large, consultez notre guide de conformité documentaire.

Choisir un partenaire technologique KYC/LCB-FT

Lors de l'évaluation des prestataires technologiques, les équipes de conformité doivent apprécier :

• La couverture en types de documents par rapport à la géographie réelle des clients de l'entité, notamment la prise en charge de la carte eID belge et des extraits BCE
• La certification de détection de vivacité selon ISO/IEC 30107-3 PAD Niveau 2 ou supérieur
• La capacité d'intégration API avec les plateformes d'onboarding et de core banking existantes
• La fonctionnalité de piste d'audit et de conservation des données satisfaisant aux obligations de conservation de 10 ans prévues par la Loi du 18 septembre 2017 (Art. 60)
• CheckFile propose des workflows de vérification structurés pour les institutions financières, avec une couverture de plus de 3 200 types de documents dans 32 juridictions

La plateforme CheckFile maintient des contrôles de sécurité des données robustes alignés sur les exigences du secteur financier. Pour la tarification et la consultation en conception de programme, consultez la page tarifs CheckFile.

Questions fréquemment posées

Quels documents KYC une néobanque belge doit-elle collecter lors de l'onboarding ?

Au minimum, les néobanques doivent collecter un document d'identité avec photo délivré par une autorité gouvernementale — pour les clients belges, la carte d'identité belge (eID belge) ou le passeport belge — ainsi qu'un justificatif de domicile. Pour les comptes professionnels, l'obligation s'étend aux documents constitutifs, à l'extrait de la Banque-Carrefour des Entreprises (BCE) incluant le numéro d'entreprise à 10 chiffres (numéro BCE), et à l'identification de tous les bénéficiaires effectifs détenant 25 % ou plus. Le standard de vérification — sources fiables et indépendantes — s'applique uniformément conformément à la Loi du 18 septembre 2017 et au futur AMLR.

La détection de vivacité est-elle obligatoire pour les néobanques belges ?

L'EBA/GL/2021/21 (mise à jour en octobre 2023) impose la détection de vivacité lors de l'onboarding digital à distance lorsqu'aucun agent humain n'est présent. Pour pratiquement tous les parcours d'onboarding des néobanques, cela signifie que les contrôles de vivacité sont obligatoires, et non discrétionnaires. La FSMA et la BNB ont identifié l'onboarding digital sans contrôle de vivacité comme une défaillance de conformité substantielle.

Comment l'AMLD6 affecte-t-elle les néobanques opérant en Belgique ?

La Directive AMLD6 (Directive (UE) 2024/1640) doit être transposée en droit national avant le 10 juillet 2027. Elle s'applique conjointement avec l'AMLR (Règlement (UE) 2024/1624), directement applicable à la même date. Ces textes créent ensemble un référentiel LCB-FT uniforme dans tous les États membres de l'UE, éliminant l'arbitrage réglementaire qui permettait auparavant à certaines néobanques de structurer leurs opérations autour de la transposition nationale la plus permissive. Pour la Belgique, cela suppose une révision du dispositif interne actuel fondé sur la Loi du 18 septembre 2017.

Quelles sont les obligations de déclaration de soupçon pour les néobanques belges ?

Les néobanques belges doivent soumettre une déclaration de soupçon au CTIF-CFI via sa plateforme de déclaration en ligne dès que le référent LCB-FT constate qu'il existe des motifs raisonnables de soupçonner un blanchiment de capitaux ou un financement du terrorisme. Il n'existe pas de seuil de montant pour la déclaration de soupçon — le déclencheur est le soupçon, pas la valeur. L'omission de déclaration lorsqu'un soupçon existe constitue une infraction pénale au titre de la Loi du 18 septembre 2017. Le référent LCB-FT doit tenir un registre de tous les signalements internes reçus et de toutes les décisions de déclaration prises.

Une néobanque belge peut-elle appliquer la vigilance simplifiée à l'ensemble de ses clients particuliers ?

Non. La vigilance simplifiée (SDD) n'est admissible que lorsque le client et le produit présentent un risque démontrablement faible en matière de blanchiment de capitaux et de financement du terrorisme. La Loi du 18 septembre 2017 (Art. 19-20) et le futur AMLR (Art. 22) fixent des conditions explicites pour la SDD — notamment des plafonds de transaction faibles et des restrictions sur les types de transactions autorisés sur le compte. Un compte courant ou de paiement standard sans restrictions de valeur ou géographiques ne remplit pas les conditions de la SDD. La grande majorité des comptes particuliers des néobanques requièrent au minimum une vigilance standard.

Le personnel de conformité des néobanques belges doit-il travailler en français et en néerlandais ?

La Loi belge n'impose pas encore légalement une documentation de conformité bilingue pour les opérateurs de néobanques. Cependant, la FSMA et la BNB encouragent fortement la disponibilité de la documentation de conformité dans les deux langues pour le personnel bilingue, conformément au cadre linguistique général applicable aux entreprises en Belgique. Pour les établissements exerçant des activités dans les deux régions linguistiques, disposer de politiques et de formations en français et en néerlandais est une bonne pratique réglementaire et atténue le risque d'une mise en application déficiente.