Le régulateur américain (Federal Reserve et OCC – Office of the Comptroller of the Currency) les appelle des «quasi-accidents» car il s’agit d’erreurs commises dans le système de paiements, qui sont toutefois détectées et corrigées à un certain stade au sein des différents systèmes de contrôle.
Cependant, ce qui est arrivé à Citi Bank en avril dernier (oui, vous avez bien compris : avril 2024! Presque un an déjà) est inquiétant. Tout d’abord en raison du montant de l’erreur : 81 trillions de dollars! Ensuite, à cause du retard avec lequel une information d’une telle gravité (dans le sens de poids) a été rendue publique.
Pour ce deuxième point, il existe une explication qui, loin de rassurer, devrait plutôt nous plonger dans l’inquiétude. Les «near misses», étant des erreurs qui sont corrigées, ne doivent pas être signalées au régulateur. Selon le Financial Times, qui a consulté un rapport interne de Citi, en 2024, il y a eu 10 quasi-incidents dépassant le milliard de dollars, et l’année précédente, ils étaient 13. Inutile d’ajouter d’autres commentaires face à de tels chiffres: heureusement, il s’agit d’incidents évités, mais c’est précisément pour cette raison qu’un régulateur devrait en être informé afin d’évaluer avec l’institution bancaire la gravité du problème et d’entreprendre les actions nécessaires pour réduire la fréquence et la nocivité de ces événements. Car une chose est sûre: tôt ou tard, ces erreurs échapperont au filet de sécurité et deviendront alors un problème sérieux. Si un régulateur ne surveille pas ces aspects, à quoi sert-il?
Passons maintenant à la question des montants. Comment est-il possible qu’une transaction de 280 $ soit devenue 81 000 000 000 000 $? Il semblerait que cela soit dû à une interface graphique mal conçue. Concrètement, à la mi-mars (de 2024, nous le rappelons), 280 $ ont été transférés vers un compte de garantie appartenant à un client de la banque et, pour diverses raisons, bloqués par le système de contrôle interne. Une fois les vérifications effectuées, pour débloquer le transfert de fonds, un employé de la banque a dû utiliser une interface de secours qui préremplissait le champ dédié aux montants avec 15 zéros. Une erreur humaine, donc (et une conception logicielle défaillante), qui a échappé aux deux premières lignes de défense, mais a été détectée par la troisième et ainsi corrigée.
Cela nous rappelle le cas de Bybit que nous avons évoqué dans notre post du lundi 24 février: une erreur humaine répétée par trois personnes, avec des conséquences désastreuses pour la crypto-bourse de Dubaï. Bien entendu, les deux situations sont totalement différentes sous tous les aspects, sauf en ce qui concerne l’origine de l’erreur. Nous imaginons que cette affaire déclenchera une réaction de la communauté numérique en faveur des blockchains par rapport aux circuits de paiement traditionnels. Nous avons déjà lu de nombreux posts sur la qualité avec laquelle l’incident de Bybit a été géré, à savoir la transparence dans la communication et des stratégies de récupération rapides.
Au-delà des polémiques, ce qui nous intéresse, ce sont les problèmes, et nous pensons que cette affaire soulève de nombreuses questions sur la qualité des contrôles des autorités qui sont surveillées, mais qui devraient être rigoureusement surveillées.
Disclaimer: Cet article exprime l’opinion personnelle des collaborateurs de Custodia Wealth Management qui l’ont rédigé. Il ne constitue ni des conseils ni des recommandations en matière d’investissement, ni une consultation personnalisée, et ne doit pas être considéré comme une invitation à effectuer des transactions sur des instruments financiers.
