- Un scoring AML robuste combine quatre axes : client, géographie, produit/service, canal de distribution. Chaque axe doit être pondéré et justifié.
- La matrice de pondération n'est pas figée : elle se valide annuellement par back-testing sur les alertes réellement levées et les déclarations CTIF effectuées.
- Trois niveaux de risque suffisent (faible / modéré / élevé). Plus de granularité produit de la complexité sans gain opérationnel mesurable.
- L'outillage n'est pas un luxe : un scoring manuel en tableur ne résiste pas à la charge de la preuve en cas de contrôle.
- La gouvernance compte autant que l'algorithme : qui valide, qui révise, qui dérobe — tout doit être tracé.
Pourquoi un scoring structuré est non négociable
L'article 16 de la loi du 18 septembre 2017 impose à chaque entité assujettie une évaluation globale des risques (Business-Wide Risk Assessment, BWRA) et, à l'article 19, une évaluation individuelle de chaque relation d'affaires. Le régulateur — BNB, FSMA, SPF Économie selon le secteur — ne vérifie pas seulement que ces évaluations existent : il en contrôle la méthodologie, la cohérence et la traçabilité.
Un scoring de risque AML est le véhicule opérationnel de cette double obligation. Il transforme une exigence légale en décision actionnable : faut-il accepter ce client ? Avec quelle intensité de diligence ? Quelle fréquence de revue ? Quels indicateurs surveiller ?
Les quatre axes fondamentaux
La pratique belge, alignée sur les recommandations du GAFI et les lignes directrices de l'EBA (EBA/GL/2021/02), converge vers quatre axes. Toute matrice qui en omet un est structurellement incomplète.
| Critère | Description | Pondération type | Exemples de variables |
|---|---|---|---|
| Client | Qui est-il, quelle est sa structure, son historique | 35-45 % | Statut PEP, réputation, complexité capitalistique, ancienneté, antécédents judiciaires |
| Géographie | Pays de résidence, d'activité, d'origine des fonds | 20-30 % | Listes UE haut risque, indice CPI Transparency, FATF grey list, sanctions |
| Produit / Service | Nature de la prestation, exposition au cash et à l'opacité | 15-25 % | Montants, complexité, numéraire, anonymat possible, actifs virtuels |
| Canal de distribution | Comment le client vous atteint | 10-20 % | Présentiel, distance avec itsme®, intermédiaire, plateforme tierce |
Axe 1 — Client
C'est l'axe le plus lourd car il concentre les signaux les plus prédictifs. Il inclut :
- Statut PEP (national, étranger, organisation internationale) et parents / proches collaborateurs.
- Complexité de la structure : holdings en cascade, actionnariat nominee, fiducies étrangères.
- Secteur d'activité : négoce international, jeux, crypto, BTP, biens précieux sont structurellement exposés.
- Réputation : antécédents dans les bases d'adverse media, condamnations, sanctions économiques.
- Ancienneté et comportement : un client existant avec un historique propre ne mérite pas le même traitement qu'un onboarding froid.
Axe 2 — Géographie
La Commission européenne publie une liste des pays tiers à haut risque (règlement délégué 2016/1675, mis à jour régulièrement). Le GAFI tient deux listes : black list (contre-mesures) et grey list (surveillance renforcée). Le score géographique additionne typiquement :
- Pays de résidence du client.
- Pays de résidence des UBO.
- Pays d'origine des fonds ou du patrimoine.
- Pays de destination des opérations fréquentes.
Axe 3 — Produit / Service
Toutes les prestations ne portent pas le même risque intrinsèque. Un prêt hypothécaire classique n'a pas la même exposition qu'un compte de passage en devises. Les facteurs aggravants :
- Volume et fréquence des flux.
- Pourcentage du chiffre d'affaires réalisé en numéraire.
- Opacité possible (instruments au porteur, crypto-actifs, comptes de compensation).
- Complexité du produit pour un client qui ne devrait pas en avoir besoin.
Axe 4 — Canal de distribution
L'onboarding présentiel avec pièce d'identité originale reste la référence. Tout ce qui s'en éloigne ajoute du risque :
- Relation nouée à distance sans eIDAS ni itsme® : facteur aggravant majeur.
- Introduction via tiers : le tiers doit être une entité assujettie équivalente (art. 30).
- Plateforme en ligne, marketplace, crowdfunding : vigilance accrue.
Construire la matrice : de l'axe au score global
Identifier les variables par axe
Semaine 1Lister exhaustivement les variables observables ou collectables, en distinguant données structurelles (statut juridique) et données comportementales (flux, fréquence). Rejeter toute variable non collectable à l'onboarding.
Définir le barème par variable
Semaine 1-2Pour chaque variable, attribuer un score discret (0 / 10 / 20 / 30 par exemple). Préférer des barèmes courts et documentés plutôt qu'une échelle continue opaque. Justifier chaque palier par un fait vérifiable.
Pondérer les axes
Semaine 2Distribuer 100 % entre les quatre axes en fonction de l'exposition spécifique de votre secteur. Un notaire n'a pas la même exposition qu'une banque privée. Valider avec l'AMLCO.
Fixer les seuils
Semaine 3Définir les bornes faible / modéré / élevé. La fourchette classique 0-30 / 31-60 / 61-100 fonctionne mais doit être testée sur votre portefeuille existant avant validation.
Documenter et versionner
Semaine 3Publier la matrice v1.0 dans le référentiel de conformité. Chaque score calculé doit pointer vers la version utilisée. Interdire toute modification non tracée.
Back-tester
Semaine 4 puis annuellementAppliquer la matrice sur les dossiers historiques : les clients qui ont généré des alertes ou des déclarations CTIF sont-ils correctement classés en risque élevé ? Sinon, recalibrer.
Exemple concret : matrice simplifiée pour un cabinet fiduciaire
| Critère | Variable | Score | Pondération |
|---|---|---|---|
| Client : PEP national ou étranger | +30 | Axe client 40 % | |
| Client : secteur sensible (crypto, jeux, BTP cash) | +20 | Axe client 40 % | |
| Client : structure à 3+ niveaux ou UBO étranger | +15 | Axe client 40 % | |
| Client : ancienneté > 5 ans sans alerte | -10 | Axe client 40 % | |
| Géo : UBO dans pays UE haut risque | +25 | Axe géo 25 % | |
| Géo : UBO dans pays tiers hors UE, hors grey list | +10 | Axe géo 25 % | |
| Produit : volume > 1 M€/an | +15 | Axe produit 20 % | |
| Produit : part cash > 20 % | +20 | Axe produit 20 % | |
| Canal : onboarding distance sans itsme® | +15 | Axe canal 15 % | |
| Canal : tiers introducteur équivalent | +5 | Axe canal 15 % |
Seuils, bandes et diligence associée
Trois bandes suffisent pour la plupart des entités. Multiplier les niveaux sans utilité opérationnelle génère du bruit sans bénéfice.
0-30
▼Risque faible
Diligence simplifiée, revue triennale, surveillance standard. Représente typiquement 60-70 % du portefeuille.
31-60
●Risque modéré
Diligence standard, revue biennale, surveillance transactionnelle active. 20-30 % du portefeuille.
61-100
▲Risque élevé
Diligence renforcée, approbation hiérarchique, revue annuelle, surveillance renforcée. 5-15 % du portefeuille.
Diligence par bande
Risque faible — ce que vous pouvez simplifier
Pièce d'identité + extrait BCE/UBO suffisent
Pas d'exigence de justificatif d'adresse séparé si l'eID a moins de 3 mois.
Revue triennale du dossier
Sauf anomalie comportementale déclenchant une revue anticipée.
Dépistage PEP/sanctions hebdomadaire
Au lieu du quotidien pour les risques modérés/élevés.
Risque élevé — ce qui devient obligatoire
Approbation écrite d'un senior manager
Traçable, horodatée, conservée 10 ans (art. 41 §3).
Origine des fonds et du patrimoine documentée
Source of wealth + source of funds distincts, avec pièces probantes.
Surveillance renforcée des flux
Seuils d'alerte abaissés, revue mensuelle des opérations atypiques.
Dépistage PEP/sanctions quotidien
Liaison automatique aux bases internationales UE, OFAC, ONU.
Revue annuelle complète
Ré-évaluation intégrale de la matrice, pas seulement des mises à jour formelles.
Validation, back-testing et gouvernance
Les entités doivent soumettre leur méthodologie de scoring à un processus de validation indépendant à fréquence minimale annuelle, et recalibrer les paramètres dès qu'une dérive est détectée.
Le back-test annuel : comment le faire
- Extraire l'ensemble des clients ayant généré une alerte AML, une déclaration CTIF, ou une clôture pour risque sur l'exercice.
- Recalculer leur score avec la matrice actuelle.
- Comparer : combien étaient classés en risque faible au moment de l'alerte ? Combien en risque élevé ?
- Ajuster : si plus de 5 % des alertes concernent des clients classés "faible", la matrice sous-pondère un facteur. Identifier lequel.
- Documenter le rapport de validation, l'approuver en comité de conformité, versionner la matrice (v1.1, v2.0, …).
Piliers de gouvernance
Un modèle excellent mal gouverné est un modèle non conforme. Le dispositif doit préciser :
- Qui calcule : automatique à l'onboarding, revalidation manuelle par l'analyste AML en cas de score frontière.
- Qui valide : l'AMLCO approuve chaque dossier en risque élevé et signe les dérogations.
- Qui révise : comité de conformité trimestriel, revalidation annuelle indépendante.
- Qui archive : système d'information central, inaltérable, conservation 10 ans.
- Qui forme : matrice de formation annuelle pour tous les opérationnels exposés.
Pour aller plus loin
- Le guide pillar : Comprendre le KYC en Belgique en 2026.
- L'arrivée de l'AMLA et ses conséquences opérationnelles : à venir.
- Retour d'expérience fiduciaire : divisé par trois le temps d'onboarding.
Articles liés
À la uneKYC en Belgique : le guide complet pour les entités assujetties en 2026
De la loi du 18 septembre 2017 à l'AMLA européenne : cadre légal, processus opérationnel, scoring de risque et obligations 2026 pour les entités assujetties belges.
À la uneAMLA et paquet AML 2024 : ce qui change pour les entités belges en 2027
Règlement AMLR, 6e directive AMLD6, Autorité AMLA : impact concret sur la gouvernance, la diligence et la supervision des entités belges au 10 juillet 2027.