Rapport de surveillance FINMA 2025 : implications pour la conservation de crypto-actifs et le trading DLT
L'Autorité fédérale de surveillance des marchés financiers a publié son rapport annuel de surveillance 2025, et les conclusions ont des implications directes pour toute institution touchant aux actifs numériques. La FINMA a agréé la première plateforme de trading DLT du pays au cours de l'année, tout en plaçant le risque de conservation des crypto-actifs, les déficiences en matière d'externalisation et la résilience cyber au centre de son agenda de surveillance. Pour les cabinets d'expertise comptable, les auditeurs et les directeurs financiers conseillant des entités régulées en Suisse, le rapport est une feuille de route des futures pressions de surveillance.
Intensité de surveillance : les chiffres clés
Inspections sur place et tests de résistance
La FINMA a mené 113 inspections sur place dans des banques en 2025, dont 42 dirigées uniquement vers UBS. 43 inspections supplémentaires ont couvert les compagnies d'assurance, et 20 ont ciblé les gestionnaires d'actifs. Fait crucial, l'autorité a effectué pour la première fois des tests de résistance de liquidité sur les fonds d'investissement suisses, en agissant sur les résultats insatisfaisants le cas échéant. Les dialogues sur la planification des fonds propres ont été adaptés à la taille et au profil de risque de chaque institution, et les banques d'importance systémique ont dû démontrer des stratégies crédibles d'atténuation des fonds propres dans des scénarios de stress spécifiés.
Résultats des mesures d'exécution
Lorsque les inspections ont révélé des carences graves, la FINMA a agi rapidement. Elle a imposé des majorations de fonds propres propres à l'institution dans 14 cas et appliqué des restrictions d'activité combinées à des interdictions d'acquisition dans 7 cas. Des procédures d'exécution ont été ouvertes dans 15 cas, et l'autorité a conclu 55 procédures tous domaines de surveillance confondus au cours de l'année. Par ailleurs, la FINMA a ouvert environ 450 enquêtes sur des soupçons d'activités non autorisées sur les marchés financiers, s'appuyant sur des signalements du public, d'autres autorités et ses propres renseignements de surveillance.
Crypto et DLT : agrément, risque de conservation et protection des clients
Première plateforme de trading DLT en Suisse
L'agrément de la première plateforme de trading DLT du pays marque une étape concrète dans le positionnement de la Suisse en tant que hub d'actifs numériques régulé. La volonté de la FINMA d'accorder cet agrément reflète son ouverture déclarée à l'innovation financière, mais le régulateur a été tout aussi explicite sur le fait que l'innovation ne s'accompagne pas d'une charge de conformité réduite. Toute institution détenant ou facilitant le transfert d'actifs basés sur la crypto doit identifier et atténuer les risques opérationnels qui y sont associés.
Risque de conservation comme priorité de surveillance
Le rapport de la FINMA identifie la conservation d'actifs basés sur la crypto comme un domaine spécifique où les institutions supervisées doivent démontrer des contrôles de risque adéquats. Ce n'est pas une simple observation technique. Du point de vue de la comptabilité des stablecoins et du logiciel de comptabilité d'actifs numériques, l'implication est claire : les arrangements de conservation doivent être entièrement documentés, les actifs sous-jacents correctement classés au bilan, et les risques opérationnels associés capturés dans les cadres de gestion des risques. Les institutions recourant à des dépositaires tiers sont confrontées à une question plus difficile, abordée ci-dessous dans la section sur l'externalisation.
Soutien à la réforme législative pour la protection des créanciers et des investisseurs
La FINMA a également signalé son soutien à une modification du droit suisse visant à renforcer les protections des créanciers et des investisseurs en crypto. Le régulateur n'a pas publié le projet de texte dans le cadre de ce rapport, mais son soutien public indique que des règles légales plus strictes concernant la protection des clients en crypto sont une priorité législative à court terme. Les entreprises impliquées dans la comptabilité des stablecoins ou la tenue de livres crypto plus large devraient suivre de près ce processus législatif, car toute nouvelle obligation se répercutera directement sur les workflows de conformité et les informations aux clients.
Externalisation et risque cyber : le problème de la chaîne d'approvisionnement
Exposition aux tiers et défaillances de documentation
L'une des constatations les plus frappantes du rapport 2025 est la concentration des incidents cyber chez les prestataires de services et les partenaires d'externalisation. Dans près de la moitié de toutes les cyberattaques signalées à la FINMA par les institutions supervisées, le point de compromission initial était un prestataire externe plutôt que l'institution supervisée elle-même. La FINMA a constaté que certaines institutions ne capturaient, ne documentaient et ne surveillaient pas correctement les fonctions externalisées, ce qui est précisément la faille qu'exploitent les attaquants.
Pour les cabinets conseillant des institutions qui externalisent des éléments de leurs opérations crypto, que ce soit la conservation, la surveillance des transactions ou la fourniture de logiciels de comptabilité d'actifs numériques, cette constatation a une pertinence directe. Les arrangements d'externalisation doivent être cartographiés, régis par des obligations contractuelles claires et soumis à une surveillance continue. La FINMA est allée plus loin que l'examen isolé des institutions : elle a mené des inspections ciblées sur place chez les partenaires d'externalisation eux-mêmes pour évaluer les pratiques de gestion de la chaîne d'approvisionnement. Comprendre à quoi ressemble une diligence raisonnable solide sur la qualité des données d'analyse de la blockchain au niveau tiers fait donc partie du tableau des risques opérationnels, et non un supplément optionnel.
Scénarios de crise TIC
La FINMA exige des institutions supervisées qu'elles maintiennent des scénarios de crise robustes pour les technologies de l'information et de la communication. Le rapport 2025 indique clairement que cette attente s'étend aux défenses cyber capables de résister aux attaques de la chaîne d'approvisionnement. Les institutions qui n'ont pas testé leurs plans de crise TIC face à des scénarios de défaillance de tiers sont susceptibles d'attirer l'attention de la surveillance dans l'année à venir.
Gestion d'actifs, greenwashing et obligations de conduite
Surveillance renforcée des gestionnaires de portefeuille
Un nombre croissant de gestionnaires de portefeuille ont été placés sous surveillance intensive en 2025, avec des carences fréquemment liées à la conformité aux règles de conduite sur l'adéquation. Cette tendance est pertinente pour tout gestionnaire d'actifs avec des allocations en actifs numériques : les mêmes obligations d'adéquation qui s'appliquent aux portefeuilles traditionnels s'appliquent aux avoirs en crypto, et la FINMA a démontré qu'elle agira lorsque ces obligations ne sont pas respectées.
Application des règles anti-greenwashing
Le travail anti-greenwashing de la FINMA s'est poursuivi en 2025, l'autorité se concentrant sur la garantie que les investisseurs ne soient pas induits en erreur par des allégations de durabilité. Bien que le rapport ne spécifie pas de produits ESG liés à la crypto, le principe de surveillance s'applique également : si un produit est commercialisé avec des caractéristiques de durabilité, ces allégations doivent être étayées et documentées.
Que doivent faire les cabinets d'expertise comptable et les directeurs financiers maintenant
Priorités d'audit et de conseil
Le rapport 2025 de la FINMA donne aux cabinets d'expertise comptable et aux directeurs financiers une lecture claire de l'intention de surveillance. Plusieurs domaines d'action se démarquent. Premièrement, les institutions offrant des services de conservation de crypto ou basés sur la crypto ont besoin de cadres de risque opérationnel documentés couvrant à la fois les contrôles internes et les dépendances tierces. Deuxièmement, lorsque la comptabilité des stablecoins ou la comptabilité USDC se trouve dans le bilan d'une institution supervisée, la méthodologie de classification doit être défendable selon les règles comptables suisses et cohérente avec toute directive applicable de la FINMA. Troisièmement, les registres d'externalisation doivent être à jour et complets : la volonté de la FINMA d'inspecter directement les partenaires d'externalisation signifie que les lacunes dans la documentation ne resteront pas cachées.
Le paysage du risque AML des stablecoins et de l'application des sanctions sur les marchés illicites, qui façonne déjà la réflexion de surveillance au niveau mondial, ajoute une couche supplémentaire : les positions en stablecoins détenues par les institutions suisses doivent être évaluées non seulement pour leur traitement comptable, mais aussi pour le risque de contrepartie et de transaction qu'elles comportent. Par ailleurs, les entreprises doivent s'assurer que leur logiciel de tenue de livres crypto ou leur logiciel de comptabilité d'actifs numériques produise des enregistrements prêts pour l'audit pouvant soutenir une inspection sur place sans délai.
Source : FINMA
FAQ
La FINMA a souligné les risques opérationnels associés à la conservation d'actifs basés sur la crypto et à l'achat, le trading et le transfert de cryptomonnaies. Elle a exigé que les institutions supervisées offrant ces services disposent de contrôles adéquats, et a soutenu une réforme législative pour renforcer la protection des créanciers et des investisseurs dans le secteur crypto.
L'agrément démontre que la FINMA autorisera les infrastructures de trading basées sur la DLT lorsque les candidats satisfont aux exigences réglementaires. Il ne réduit pas la charge de conformité. Les plateformes de trading DLT agréées restent soumises à l'ensemble des attentes de surveillance de la FINMA, y compris les règles de conduite, les obligations AML et la gestion des risques opérationnels.
La FINMA attend des institutions supervisées qu'elles capturent, documentent et surveillent pleinement toutes les fonctions externalisées, y compris celles impliquant la conservation de crypto ou le traitement de transactions. En 2025, l'autorité a mené des inspections sur place directement chez les partenaires d'externalisation. Les institutions avec des arrangements tiers non documentés ou mal gouvernés font face à un risque accru d'intervention de surveillance.
Bien que le rapport ne prescrive pas de règles comptables spécifiques pour les stablecoins, il renforce l'attente que les institutions doivent identifier et atténuer les risques opérationnels liés aux actifs basés sur la crypto, y compris les stablecoins. Cela signifie que les classifications au bilan doivent être défendables, les arrangements de conservation documentés, et les risques AML ou de contrepartie associés évalués et enregistrés.
La FINMA a ouvert des procédures d'exécution dans 15 cas résultant de violations graves des règles identifiées lors de la surveillance, et elle a conclu 55 procédures d'exécution au total tous domaines de surveillance et catégories d'institutions confondus au cours de l'année. Elle a également ouvert environ 450 enquêtes sur des soupçons d'activités non autorisées sur les marchés financiers.
