L’EBA tire la sonnette d’alarme : les entreprises crypto exploitent les failles du MiCA pendant la période de transition

L’Autorité bancaire européenne (EBA) a publié un rapport alarmant le 9 octobre 2025 révélant que des entreprises de cryptomonnaies exploitent activement les lacunes réglementaires durant la phase de transition du règlement MiCA (Markets in Crypto-Assets), posant une “menace significative” pour la stabilité du système financier européen. Le rapport met en lumière des pratiques de “forum shopping” où des fournisseurs de services crypto s’enregistrent stratégiquement dans les États membres de l’UE offrant la surveillance la plus clémente, puis utilisent les droits de passeport pour opérer dans l’ensemble des 27 pays du bloc sans supervision adéquate. Cette situation intervient alors que plus de 50 entreprises majeures incluant Coinbase, Kraken et OKX ont déjà obtenu des licences MiCA, mais que la période de transition autorisant les anciens opérateurs à fonctionner sous les règles nationales jusqu’au 1er juillet 2026 crée des opportunités d’arbitrage réglementaire dangereuses. L’EBA exhorte les autorités nationales à intensifier leur surveillance et à partager les informations sur les approbations et révocations de licences pour prévenir que des “acteurs opportunistes” ne compromettent l’intégrité du marché européen des actifs numériques.

Le “forum shopping” : une exploitation stratégique des disparités nationales

Le phénomène du “forum shopping” identifié par l’EBA représente une stratégie délibérée où les entreprises crypto recherchent et ciblent les juridictions européennes offrant la supervision réglementaire la moins stricte pour obtenir leurs autorisations. Cette pratique, déjà observable avant la mise en œuvre complète de MiCA, s’intensifie durant la période de transition où certains États membres maintiennent des régimes plus permissifs que d’autres.

Le mécanisme fonctionne comme suit : une entreprise crypto demande une licence dans un pays européen connu pour ses processus d’autorisation plus rapides et ses exigences moins rigoureuses - souvent des petits États membres cherchant à attirer l’activité économique crypto. Une fois cette licence obtenue, l’entreprise utilise les droits de “passeport” prévus par la réglementation européenne pour opérer librement dans l’ensemble des 27 États membres sans avoir à obtenir des autorisations séparées dans chaque pays.

Cette pratique permet aux entreprises d’échapper à la surveillance plus stricte qu’elles auraient rencontrée dans des juridictions comme la France, l’Allemagne ou les Pays-Bas, qui ont historiquement appliqué des standards réglementaires plus élevés pour les services financiers. L’EBA souligne que des cas ont été observés où des entreprises, après avoir essuyé des refus de licence ou reçu des avertissements dans certains pays, se sont simplement réenregistrées ailleurs pour contourner la supervision.

“Certains fournisseurs de services crypto autorisés avant la mise en œuvre complète du MiCA en décembre 2025 pourraient se livrer à un ‘shopping de juridiction’”, indique le rapport de l’EBA, ajoutant que cela permet aux entreprises de “s’enregistrer dans les États membres de l’UE avec une surveillance plus faible”.

Les conséquences de cette pratique sont multiples et préoccupantes selon l’EBA : gouvernance opaque, gestion des risques inadéquate, utilisation potentiellement abusive des fonds des clients, et création de “normes réglementaires inégales” générant des vulnérabilités systémiques à travers l’union monétaire.

Abus de la “reverse solicitation” : contourner l’autorisation par le marketing ciblé

Au-delà du forum shopping, l’EBA identifie l’exploitation abusive de l’exemption de “reverse solicitation” (sollicitation inversée) comme une seconde tactique majeure permettant aux entreprises crypto non autorisées d’accéder au marché européen sans supervision appropriée.

Le principe de reverse solicitation dans la réglementation financière européenne prévoit qu’une entreprise non autorisée dans l’UE peut légalement fournir des services à des clients européens si ces derniers ont pris l’initiative de contacter l’entreprise spontanément, sans sollicitation active de la part du fournisseur. Cette exemption vise à permettre aux investisseurs sophistiqués d’accéder à des services spécialisés non disponibles localement tout en maintenant la protection des consommateurs ordinaires.

Cependant, l’EBA constate que des fournisseurs de services crypto basés hors de l’UE ou dans des juridictions tierces exploitent systématiquement cette exemption de manière abusive. Ces entreprises mènent des campagnes de marketing agressives ciblant spécifiquement les utilisateurs européens - via les réseaux sociaux, les influenceurs crypto (finfluencers), la publicité en ligne et le sponsoring d’événements - puis prétendent que leurs clients européens les ont contactés spontanément.

“Les fournisseurs affirment que leurs clients européens les contactent spontanément, alors qu’ils conduisent des campagnes de marketing ciblées”, dénonce le rapport de l’EBA. “Cette tactique leur permet d’éviter les contrôles tout en accédant au marché crypto européen sans autorisation.”

Cette pratique crée une concurrence déloyale avec les entreprises opérant légalement sous licence MiCA, qui doivent supporter les coûts substantiels de conformité, de capital minimum et de gouvernance imposés par le règlement. Elle expose également les consommateurs européens à des risques significatifs, car ces fournisseurs non autorisés ne sont soumis ni aux exigences de protection des clients de MiCA, ni aux mécanismes de résolution des litiges, ni aux fonds de garantie éventuels.

L’Autorité européenne des marchés financiers (ESMA) et l’EBA ont d’ailleurs publié conjointement le 6 octobre 2025 un avertissement aux consommateurs soulignant que “leur protection (le cas échéant) pourrait être limitée selon les types de crypto-actifs et de services qu’ils utilisent”. Les autorités recommandent explicitement aux consommateurs de “vérifier que le fournisseur de services sur crypto-actifs est autorisé dans l’UE” avant d’investir.

La période de transition : une fenêtre d’opportunité pour les acteurs opportunistes

La période de transition de MiCA constitue le contexte structurel permettant ces exploitations réglementaires. Bien que le règlement MiCA soit entré pleinement en vigueur fin 2024, établissant pour la première fois un ensemble unifié de règles pour les fournisseurs de crypto-actifs à travers les 27 États membres, des dispositions transitoires créent une situation complexe durant 2025 et jusqu’à mi-2026.

L’article 143 de MiCA accorde des droits de “grandfathering” (antériorité) aux fournisseurs qui opéraient déjà sous les régimes nationaux avant juin 2024. Ces entreprises peuvent continuer à fonctionner selon les anciennes règles nationales - souvent plus permissives et fragmentées - jusqu’au 1er juillet 2026, ou jusqu’à ce que leur demande de licence MiCA soit approuvée ou rejetée, selon ce qui arrive en premier.

Cette période transitoire crée plusieurs problématiques identifiées par l’EBA:

Disparités de supervision continues: Les entreprises bénéficiant de droits d’antériorité ne sont pas encore soumises aux standards harmonisés de MiCA, permettant des variations substantielles de qualité de supervision entre États membres.

Avantage compétitif injuste: Les anciens opérateurs peuvent éviter temporairement les coûts de conformité MiCA (capital minimum, gouvernance renforcée, reporting détaillé) tout en concurrençant les nouveaux entrants qui doivent respecter immédiatement les standards complets.

Continuation durant les appels: L’EBA a identifié des cas particulièrement problématiques où des entreprises ayant essuyé un refus de licence MiCA continuent d’opérer pendant qu’elles font appel de la décision, prolongeant indéfiniment leur accès au marché sous l’ancien régime permissif.

Capacité d’évasion prolongée: Certains fournisseurs exploitent cette période pour maximiser leurs opérations avant que les contrôles renforcés ne s’appliquent, sachant que la fenêtre se refermera en juillet 2026.

L’EBA qualifie cette période de potentiellement “exploitée par des acteurs opportunistes” qui voient dans ces 18 mois de transition une dernière opportunité d’opérer avec une supervision minimale avant que le cadre harmonisé ne s’impose pleinement. L’autorité avertit que sans vigilance accrue des régulateurs nationaux, cette fenêtre pourrait permettre l’accumulation de risques systémiques qui se manifesteront une fois la transition terminée.

Risques de blanchiment d’argent et financement du terrorisme : une menace persistante

L’EBA souligne de manière particulièrement appuyée que les risques de blanchiment d’argent et de financement du terrorisme (AML/CFT - Anti-Money Laundering/Countering Financing of Terrorism) restent “élevés dans le secteur crypto”, aggravés par les lacunes de supervision durant la transition MiCA.

Le rapport détaille comment une diligence raisonnable inadéquate et une surveillance insuffisante des activités transfrontalières permettent aux flux financiers illicites de passer inaperçus, compromettant l’objectif fondamental de MiCA d’établir un marché des actifs numériques transparent et sécurisé.

Les entreprises pratiquant le forum shopping tendent à présenter des caractéristiques particulièrement problématiques du point de vue AML/CFT:

Structures de propriété opaques: Plusieurs couches d’entités offshore rendant difficile l’identification des bénéficiaires effectifs.

Systèmes de surveillance des transactions inadéquats: Absence ou déficience des mécanismes automatisés de détection des patterns suspects typiques du blanchiment.

Due diligence client insuffisante: Processus KYC (Know Your Customer) minimaux ou facilement contournables, ne permettant pas d’identifier correctement les clients à haut risque.

Exposition à des juridictions tierces à risque: Opérations significatives dans des pays figurant sur les listes de surveillance du GAFI (Groupe d’Action Financière) ou présentant des déficiences AML/CFT connues.

L’EBA note que le secteur crypto présente des vulnérabilités intrinsèques facilitant le blanchiment d’argent : pseudonymité des transactions, rapidité des transferts transfrontaliers, difficulté de traçage pour certaines cryptomonnaies axées sur la confidentialité, et complexité technique rendant la supervision traditionnelle moins efficace.

Le rapport s’appuie sur la base de données AML/CFT de l’EBA, EuReCA, ainsi que sur des informations fournies par des superviseurs de pays tiers responsables de la supervision AML/CFT d’entreprises crypto fournissant des services dans l’UE[1]. Ces données révèlent des cas concrets où des entreprises ont utilisé le forum shopping spécifiquement pour échapper à une supervision AML/CFT stricte après avoir été identifiées comme problématiques ailleurs.

L’autorité souligne que sans coordination internationale et partage d’informations entre superviseurs européens et non-européens, ces schémas continueront de prospérer. L’EBA insiste particulièrement sur la nécessité de coopération avec les autorités de pays tiers, car de nombreux fournisseurs crypto majeurs opérant en Europe ont leurs sièges sociaux ou opérations principales hors de l’UE.

Les recommandations de l’EBA : intensification de la surveillance et coopération renforcée

Face à ces risques multiples, l’EBA formule une série de recommandations urgentes aux autorités nationales compétentes pour sécuriser la période de transition et garantir l’intégrité du cadre MiCA.

Surveillance intensifiée durant la transition: L’EBA exhorte les régulateurs à augmenter significativement leur contrôle des entreprises bénéficiant de droits d’antériorité, en ne présumant pas que leur enregistrement historique garantit leur conformité aux standards modernes.

Contrôle renforcé des structures de gouvernance: Vérification approfondie que les organes de direction possèdent l’expertise nécessaire, l’intégrité appropriée et l’indépendance suffisante pour gérer les risques crypto spécifiques.

Évaluation de l’adéquation des fonds propres: Analyse rigoureuse que les entreprises disposent des capitaux suffisants pour absorber les pertes potentielles et protéger les actifs clients, même si les exigences de capital MiCA ne s’appliquent pas encore formellement durant la transition.

Audit des systèmes de surveillance des transactions: Inspection des capacités techniques de détection des transactions suspectes, avec exigence d’implémentation de systèmes conformes aux standards MiCA avant l’échéance de juillet 2026.

Partage systématique d’informations entre États membres: L’EBA appelle à une circulation transparente des données sur les approbations et révocations de licences, les avertissements émis et les sanctions appliquées, pour éviter que des entreprises problématiques ne migrent simplement vers des juridictions moins informées.

Coordination avec les autorités de pays tiers: Établissement de canaux de communication réguliers avec les superviseurs non-européens pour identifier les entreprises tentant d’accéder au marché européen via la reverse solicitation abusive.

Anticipation volontaire de la conformité MiCA: L’EBA encourage les entreprises à commencer à s’aligner sur les exigences de gestion des risques et de protection des consommateurs de MiCA en avance, plutôt que d’attendre l’échéance de juillet 2026, pour éviter les perturbations opérationnelles et réduire les risques systémiques.

Sanctions dissuasives: Application de pénalités significatives pour les cas avérés de forum shopping ou de reverse solicitation abusive, envoyant un signal clair que ces pratiques ne seront pas tolérées.

L’autorité souligne que “sans cette collaboration, les acteurs crypto malveillants continueront d’exploiter les différences juridictionnelles”. Cette coordination entre régulateurs représente un défi organisationnel substantiel étant donné les différences de cultures réglementaires, de ressources et de priorités entre les 27 États membres.

Le transfert à l’AMLA : restructuration de la supervision AML/CFT européenne

Un élément important du contexte réglementaire concerne le transfert imminent des responsabilités de coordination AML/CFT de l’EBA vers la nouvelle Autorité anti-blanchiment (AMLA - Anti-Money Laundering Authority) prévue pour fin 2025.

Ce transfert fait partie du nouveau paquet réglementaire AML/CFT européen comprenant le Règlement anti-blanchiment (AMLR), la sixième Directive anti-blanchiment (AMLD6) et le Règlement sur l’Autorité anti-blanchiment (AMLAR). L’AMLA sera la première agence européenne dédiée exclusivement à la lutte contre le blanchiment d’argent et le financement du terrorisme, avec des pouvoirs de supervision directe sur certaines entités considérées à haut risque.

Après 2025, l’ESMA et l’EBA conserveront des responsabilités sous MiCA - l’ESMA comme autorité principale pour la régulation et supervision des fournisseurs de services crypto (CASPs), l’EBA comme autorité principale pour les émetteurs de tokens référencés par des actifs (ARTs) et de tokens de monnaie électronique (EMTs) - mais la coordination AML/CFT sera centralisée sous l’AMLA.

Cette restructuration crée une période d’incertitude et de complexité accrue durant la seconde moitié de 2025, alors que les responsabilités sont progressivement transférées et que les nouvelles structures de l’AMLA sont établies[1]. L’EBA avertit que cette transition administrative pourrait créer des angles morts temporaires que des acteurs opportunistes pourraient exploiter.

Le rapport actuel de l’EBA vise précisément à documenter les “leçons apprises” des récents cas de supervision afin que ces connaissances soient transférées efficacement à l’AMLA et aux autorités nationales, garantissant la continuité de la surveillance malgré la restructuration organisationnelle.

État de l’adoption MiCA : plus de 50 entreprises licenciées mais conformité exigeante

Malgré les défis et risques identifiés par l’EBA, l’implémentation de MiCA progresse avec plus de 50 entreprises crypto majeures ayant déjà obtenu des licences complètes leur permettant d’opérer à travers les 27 marchés de l’UE sous un cadre réglementaire unifié.

Parmi ces entreprises figurent des acteurs internationaux majeurs comme Coinbase, Kraken, OKX et d’autres plateformes d’échange et prestataires de services crypto de premier plan. L’obtention de ces licences MiCA représente une validation significative pour ces entreprises, démontrant qu’elles ont satisfait aux exigences rigoureuses de capital, de gouvernance, de protection des clients et de gestion des risques imposées par le règlement.

Cependant, le processus de conformité s’est révélé exigeant et complexe. Les entreprises rapportent des processus de demande longs - souvent 6 à 12 mois ou plus - nécessitant une documentation extensive, des audits approfondis et des allers-retours multiples avec les autorités nationales compétentes.

Les déploiements se font de manière progressive, les entreprises choisissant souvent de lancer leurs services MiCA dans quelques États membres initialement avant d’étendre progressivement leur couverture géographique. Cette approche prudente reflète la complexité opérationnelle de s’adapter aux nouvelles exigences tout en maintenant la continuité des services pour les clients existants.

Cette “incertitude opérationnelle” créée par le processus de conformité exigeant contraste fortement avec la situation des entreprises exploitant les lacunes de la période de transition, qui peuvent continuer d’opérer avec des exigences minimales. Cette asymétrie crée des frustrations parmi les entreprises qui ont investi substantiellement pour se conformer pleinement à MiCA, se retrouvant désavantagées compétitivement face aux acteurs utilisant l’arbitrage réglementaire.

Normes techniques pour l’exposition bancaire aux cryptos : compléter le cadre MiCA

Au-delà de la supervision des entreprises crypto elles-mêmes, l’EBA travaille également sur des normes techniques réglementaires définissant comment les banques et institutions financières traditionnelles doivent gérer leurs expositions aux cryptomonnaies sous le règlement sur les exigences de fonds propres (CRR).

En août 2025, l’EBA a publié un projet de normes établissant des méthodes de traitement du capital pour diverses catégories d’actifs crypto, allant des tokens non garantis comme Bitcoin aux tokens référencés par des actifs et aux tokens de monnaie électronique[3]. Ces règles s’alignent étroitement sur les directives du Comité de Bâle sur la supervision bancaire, garantissant une cohérence internationale.

L’EBA a supprimé son ancienne exigence d’“évaluation prudente”, simplifiant les évaluations de juste valeur, tout en introduisant de nouvelles méthodes d’agrégation pour les positions longues et courtes en crypto. Des règles transitoires permettront aux banques de maintenir une exposition limitée pendant que l’UE élabore un cadre permanent.

Ces normes visent à trouver un équilibre délicat entre encourager l’innovation financière - permettant aux institutions européennes de se diversifier dans le secteur des actifs numériques en croissance - et garantir la stabilité financière en imposant des tampons de capital appropriés pour absorber la volatilité crypto.

La coordination entre ces normes bancaires et le cadre MiCA pour les entreprises crypto natives est essentielle pour créer un écosystème cohérent où les institutions traditionnelles et les acteurs crypto-natifs peuvent interagir de manière sécurisée et réglementée.

Implications pour les entreprises et investisseurs francophones

Les avertissements de l’EBA comportent plusieurs implications importantes pour les entreprises crypto et les investisseurs basés en France et dans l’espace francophone.

Pour les entreprises crypto opérant ou cherchant à opérer en Europe: Le message est clair - les pratiques d’arbitrage réglementaire et de forum shopping seront scrutées de près et potentiellement sanctionnées. Les entreprises devraient privilégier une conformité proactive aux standards MiCA plutôt que de chercher à exploiter les failles transitoires qui se refermeront en juillet 2026.

Pour les investisseurs particuliers: Les autorités recommandent explicitement de vérifier que les plateformes utilisées possèdent une licence MiCA valide avant d’investir. Les consommateurs doivent être particulièrement vigilants face aux finfluencers et publicités agressives promouvant des services potentiellement non autorisés.

Pour les autorités françaises (AMF, ACPR): La France, avec son régime PSAN (Prestataires de Services sur Actifs Numériques) historiquement strict, devrait jouer un rôle leader dans l’application rigoureuse de MiCA et le partage d’informations avec d’autres régulateurs européens pour prévenir le forum shopping.

Pour les banques françaises envisageant une exposition crypto: Les normes techniques de l’EBA fourniront un cadre clair pour comment structurer ces expositions tout en maintenant la conformité prudentielle. L’annonce d’Amundi concernant des ETP Bitcoin début 2026 s’inscrit dans ce contexte réglementaire en évolution.

Pour les émetteurs de stablecoins en euros: Les projets comme celui du consortium de neuf banques européennes lançant un stablecoin en euros en 2026 devront naviguer attentivement les exigences MiCA pour les EMTs tout en restant vigilants face aux concurrents potentiellement moins réglementés.

L’environnement réglementaire européen pour les cryptos traverse clairement une période critique où les standards se consolident mais où des opportunités d’exploitation persistent temporairement. Les acteurs privilégiant la conformité à long terme sur l’opportunisme à court terme seront probablement mieux positionnés lorsque le cadre harmonisé sera pleinement opérationnel post-juillet 2026.

À propos de l’EBA: L’Autorité bancaire européenne est une agence de régulation de l’Union européenne chargée de préserver la stabilité du système bancaire européen. Dans le contexte crypto, l’EBA est responsable des émetteurs de tokens référencés par des actifs (ARTs) et de tokens de monnaie électronique (EMTs) sous MiCA, ainsi que de la coordination AML/CFT jusqu’au transfert vers l’AMLA.

À propos de MiCA: Le règlement Markets in Crypto-Assets est le premier cadre réglementaire complet pour les cryptomonnaies au niveau européen, entré en vigueur fin 2024, établissant des règles harmonisées pour l’émission, le trading et la garde d’actifs numériques à travers les 27 États membres de l’UE.

À propos de l’AMLA: L’Autorité anti-blanchiment est une nouvelle agence européenne qui assumera la coordination de la lutte contre le blanchiment d’argent et le financement du terrorisme à partir de fin 2025, centralisant des responsabilités précédemment dispersées entre plusieurs autorités.

Avertissement: Cet article présente des développements réglementaires complexes en évolution rapide. Les entreprises crypto opérant en Europe devraient consulter des conseillers juridiques spécialisés pour assurer leur conformité aux exigences MiCA. Les investisseurs doivent vérifier le statut réglementaire des plateformes avant d’investir et être conscients que la protection des consommateurs varie selon les types de crypto-actifs et de services.