Agefi Luxembourg - octobre 2024

Octobre 2024 45 AGEFI Luxembourg Informatique financière EDITORIAL L’intelligence de l’intelligence artificielle ParAdelin REMY, Editeur, AGEFI Luxembourg L e développement de l’intel- ligence artificielle (IA) a in- contestablement révolutionné de nombreux sec- teurs, notamment ceux des ser- vices, de la finance, et des télécommunications. De nombreuses entreprises interna- tionales, cherchant à optimiser leurs processus, ont massivement recours à des algorithmes pour automatiser certaines tâches, améliorer l’efficacité, et personna- liser l’expérience client. Cependant, une question émerge de plus en plus dans le débat : en donnant la priorité à ces procédures automati- sées , ne risque-t-on pas de rendre l’IA « in-intelligente » ? Plus précisément, est-il possible que la standardisation des processus nuise à la capacité de l’IA à prendre en compte les nuances nécessaires à une interaction de qualité entre l’entreprise et ses clients ? La place prépondérante des procédures Les entreprises qui utilisent des systèmes algo- rithmiques mettent souvent en place des procé- dures rigides et prédéfinies. L’idée est de garantir une cohérence et une rapidité dans les réponses ou services fournis. Si ces systèmes permettent de réduire les erreurs humaines et d’accélérer certains processus, ils souffrent par- fois d’un manque de flexibilité. En effet, lorsqu’une IA est trop axée sur des protocoles figés, elle peut omettre de prendre en compte des facteurs plus subtils, tels que l’ ancienneté de la relation client et la spécificité du contexte. Par exemple, un client fidèle depuis dix ans pourrait s’attendre à une attention particulière de la part d’une entreprise. Pourtant, si l’algo- rithme qui gère sa demande traite cette relation comme n’importe quelle autre, en suivant une procédure unique et inflexible, le client risque de se sentir négligé. Cela peut générer un sen- timent d’incompréhension ou de frustration, et par conséquent, dégrader la perception de l’IA, mais aussi celle de l’entreprise qui l’utilise. La sous-traitance des étapes critiques Un autre risque lié à l’usage intensif des algorithmes est la sous-traitance de certaines étapes cruciales à des systèmes automatisés, qui manquent parfois de discernement. Par exemple, des tâches sensibles, comme la ges- tion des réclamations ou des li- tiges, sont parfois partiellement automati- sées. Si l’IA applique de manière trop rigide des solutions standardisées, elle pourrait manquer des détails importants ou ne pas répondre correctement aux attentes du client. Cette perte de la dimension hu- maine peut nuire à la qualité du service et renforcer l’idée que l’IA est « in-intelligente », car déconnectée des réalités humaines. L’effet des réglementations AML sur l’IA Les règles contre le blanchiment d’argent exi- gent des contrôles stricts, qui sont souvent au- tomatisés pour identifier des activités suspectes, comme des transactions inhabi- tuelles ou des comportements à risque. Les al- gorithmes d’IA sont donc essentiels pour surveiller un grand nombre de transactions en temps réel. Cependant, cette automatisation des procé- dures AML peut poser des défis : - Rigidité excessive des algorithmes : Dans la lutte contre le blanchiment, les algorithmes doi- vent suivre des protocoles rigoureux pour détec- ter des anomalies. Cependant, une surveillance trop rigide, avec des critères standardisés et peu adaptatifs, peut entraîner des « faux positifs » : des transactions légitimes sont considérées comme suspectes, simplement parce qu’elles ne rentrent pas dans les paramètres prédéfinis. Ce manque de flexibilité peut agacer les clients, no- tamment ceux qui ont une relation de longue date avec l’entreprise et qui pourraient voir leurs activités entravées par des procédures inutiles. - Incapacité à intégrer le contexte : Souvent, les systèmes d’IA se focalisent sur des données transactionnelles spécifiques sans prendre en compte des éléments contextuels plus larges, comme la réputation du client , la longueur de la relation avec l’entreprise, ou l’évolution na- turelle de ses comportements financiers. En né- gligeant ces aspects, les algorithmes peuvent conduire à des actions inappropriées, telles que le blocage de comptes ou l’escalade non justifiée d’une alerte de conformité. - Sous-traitance excessive des étapes de déci- sion : Dans certains cas, les systèmes d’IA sont programmés pour automatiser entièrement cer- taines décisions. Or, la conformité AML repose souvent sur l’évaluation humaine de contextes subtils, comme la provenance de certains fonds. Lorsque ces décisions sont sous-traitées aux al- gorithmes sans supervision humaine adéquate, cela peut entraîner des décisions disproportion- nées ou des procédures lourdes, détériorant ainsi la perception de l’IA. L’impact des règles ESG sur les algorithmes IA Les critères ESG (environnementaux, sociaux et de gouvernance) gagnent en importance dans la stratégie des entreprises internationales, influençant la manière dont elles conduisent leurs activités. Cependant, ces critères peuvent, eux aussi, en- traîner des conséquences pour l’intelligence ar- tificielle. - Standardisation des évaluations ESG : Les entreprises se doivent de respecter des critères ESG précis, et pour ce faire, elles utilisent sou- vent des outils algorithmiques pour évaluer leur conformité à ces normes. Toutefois, l’auto- matisation de ces critères peut conduire à des analyses standardisées qui ne tiennent pas tou- jours compte des nuances des opérations d’une entreprise. Par exemple, les algorithmes ESG pourraient ne pas saisir les contextes spéci- fiques locaux ou les stratégies à long terme qui ne sont pas immédiatement visibles dans les in- dicateurs quantitatifs. - Risques de sur-automatisation : L’automati- sation des critères ESG peut être poussée au point où certaines entreprises privilégient la conformité aux scores ESG plutôt que des ini- tiatives sincères en faveur de l’environnement ou de la gouvernance. Si l’IA se limite à suivre des règles trop générales, cela peut fausser la perception de la responsabilité sociale de l’en- treprise. En conséquence, ces outils algorith- miques pourraient dénaturer l’esprit même des normes ESG, les transformant en une simple case à cocher. - Défis liés à l’intégration de données hétéro- gènes : Les algorithmes ESG doivent traiter une grande diversité de données, allant des émis- sions de carbone à la diversité des conseils d’ad- ministration. Cette complexité requiert une IA véritablement intelligente, capable de faire des corrélations et d’adapter les analyses en fonc- tion des industries ou des contextes. Si l’auto- matisation devient trop rigide et ne permet pas cette flexibilité, les résultats fournis pourraient être déconnectés de la réalité de l’entreprise ou de ses impacts réels. Les procédures ne suffisent pas Bien que l’automatisation des services grâce à l’IA apporte des bénéfices évidents en termes d’efficacité et de coût, il est crucial de ne pas ré- duire l’intelligence artificielle à un simple suivi de procédures . Pour que l’IA soit véritable- ment intelligente, elle doit être capable de com- prendre le contexte global des interactions, de faire preuve de flexibilité, et de traiter chaque relation client de manière personnalisée. Si les entreprises négligent ces aspects au profit d’une standardisation excessive, elles risquent non seulement de dégrader la qualité du ser- vice, mais aussi de nuire à la perception globale de l’IA. Les réglementations AML et ESG, tout en étant nécessaires pour garantir un cadre légal et éthique, ajoutent une couche de complexité qui peut rendre l’IA moins intelligente si elles sont mal intégrées dans les algorithmes. En donnant la priorité aux procédures standardisées et aux critères prédéfinis, les entreprises risquent de déshumaniser l’IA, en la rendant incapable de prendre en compte le contexte spécifique et les relations à long terme . Pour éviter cela, il est crucial que les entreprises adoptent des algorithmes plus flexibles et sen- sibles aux nuances humaines afin de concilier conformité et intelligence véritable dans l’ap- plication de ces régulations. By Oriane KAESMANN, Research Manager the LHoFT T he Digital Operational Resilience Act (DORA), enacted by the EU on 16 January 2023, aims to streng- then the financial sector’s abi- lity to manage ICT-related risks, including those highligh- ted by the COVID-19 pandemic and rising cyber threats. It in- troduces a standardized frame- work for operational resilience, ensuring that financial institu- tions and their critical third- party providers, like Google Cloud, maintain robust risk management, ongoing resi- lience testing, and transparent incident reporting. DORA places significant emphasis on securing digital infrastructures and minimizing service disruptions, which are crucial for market stability and consumer trust. The regulationwill offi- cially apply from 17 January 2025, by which time financial institutions must comply with its rigorous standards (1) . Building a Unified Framework for Resilience Strengthening ICT RiskManagement DORAconsolidates a broad range of ex- isting EU regulations (3) , establishing a standardised framework for ICT risk management. It mandates financial en- tities todevelop comprehensive ICT risk management systems including regular monitoring, incident reporting, and ro- bust operational resilience testing. These requirements aim to ensure the stabilityof financial services, evenunder severe operational disruptions, by incor- porating critical cyber threat intelligence and vulnerability monitoring into busi- ness continuity plans. ICT risk management framework in a nutshell (4) : - Identification of all sources of ICT risk, - Protection of ICT systems, - Detection of anomalous activities, - Response and recovery plans and pro- cedures, - Continuous learning and evolving, - Crisis communication policies and plans. Service Providers Under Scrutiny A significant aspect of DORA is its ex- tended oversight of critical ICT providers, including cloud service providers like Google Cloud. This new scrutiny is part of DORA’s third-party risk management rules, ensuring that cloud providers are accountable for maintaining high levels of transparency and resilience. Financial entities are re- quired to assess the risks posed by these third-party services, report on their con- tracts, and ensure critical functions re- main intact, even if disruptions occur. The ESAs (European Supervisory Au- thorities) will also oversee these providers, ensuring compliance with strict resilience and security standards. Managing third-party risk in a nut- shell (5) : - ICT third-party risk as an integral part of the ICT riskmanagement framework, - Strategy on ICT third-party risk, - Register of information, - Pre-contracting analyses over ICT ser- vices, - Promotion of standard contractual clauses, - Empowerment of supervisory author- ities to designate and exercise oversight over critical third-party service providers. ResilienceMeasures DORA emphasizes proactive measures such as resilience testing and threat-led penetration testing (6) , particularly for fi- nancial institutions and their critical ICT systems. These tests ensure that firms can swiftly recover from disruptions while minimising the risk of significant failures. The regulation also mandates regular testing of systems and opera- tional resilience measures to safeguard continuous service availability. For large institutions, advanced testing like TLPT (Threat-Led Penetration Testing) will be required, to ensure vulnerabilities are promptly addressed. Digital operational resilience testing in a nutshell (7) : - A digital operational resilience testing program as an integral part of the ICT risk management framework - Advanced testing based on TLPT - Requirements for testers for the carry- ing out of TLPT Google Cloud’s Example Google Cloud is actively preparing for the implementation of DORA (8) by en- hancing its cybersecurity, resilience test- ing, and third-party risk management capabilities to support European finan- cial institutions. Recognising DORA’s potential to streamline incident report- ing, strengthen operational resilience, andenabledirect regulatoryoversight of critical ICT providers, Google Cloud is committed to aligning with these new regulations. Through initiatives suchas theCloudOn Europe’s Terms (9) , GoogleCloud ensures compliance with EU requirements for data sovereignty, security, and sustain- ability. Its industry-leading security in- frastructure, including tools like the Security Command Center (10) , enables customers to manage and monitor inci- dents independently. Additionally, Google Cloud supports rigorous re- siliencetesting,includingpenetrationand disaster recovery tests, helping financial entitiesmeet DORA’s requirements. Conclusion DORA ismore than just another regula- tory hurdle; it’s a bold directive reshap- ing the very foundation of operational resilience inEurope’s financial sector. By demanding enhanced cybersecurity, continuous testing, and tighter third- party oversight, DORApushes financial entities to not just comply but thrive in an era of relentless digital threats. As the 2025 deadline looms, this is a call to arms for the sector: to evolve from re- active risk management to proactive, ironclad resilience. Serviceproviders like Google Cloud are already embracing this challenge, setting the standard with advanced security infrastructures and collaborative transparency with regula- tors. The questionnowis notwhether fi- nancial institutions are ready to comply, but whether they are ready to lead. 1 ) For more information on the draft RTS: https://lc.cx/hAQQGN 2 )https://lc.cx/1qUG5C 3) McCann FitzGerald LLP (30 June 2023), “Explor- ing DORA: the EU Digital Operational Resilience Act ”https://lc.cx/i4iDyN 4)OnurOzdemir(12April2023)“DORAregulation: all your questions answered - Read about the new regulatoryframeworkfordigitalriskmanagement” https://lc.cx/xJE0n7 5)Ibid. 6)“WhatisThreatLedPenetrationTestingandwhy doesDORArequireit ”https://lc.cx/g0Oe7r 7)Ibid, 8) Phil Venables (June 4, 2022) “Google Cloud’s preparations to address the Digital Operational Re- silienceAct ”https://lc.cx/H6gmnk 9 )https://lc.cx/t2aKRS 10 )https://lc.cx/EuFgID Fortifying Finance Under DORA ©Midjourney ©sosafe-awareness.com ( 2)