L’Office of Foreign Assets Control (OFAC) du Trésor américain a infligé à l’ex-exchange ShapeShift une amende de 750 000 $. Cette dernière clôture des cas de violations liées à des utilisateurs situés dans des juridictions sous sanctions. Mais cette affaire pose une question centrale : comment mettre en place des contrôles efficaces sur des services crypto en constante évolution ?
Que reproche l’OFAC à ShapeShift ?
Selon l’autorité américaine, entre 2016 et 2018 la plateforme avait traité 17 183 transactions, pour un montant total de 12,57 M $, impliquant des utilisateurs localisés à Cuba, en Iran, au Soudan et en Syrie. De plus, l’OFAC relève l’absence initiale de programme de conformité et de filtrage IP suffisants. Le montant de l’amende tient également compte du statut “défunt” de la société et de ses actifs limités.
L’accord de règlement tempère cependant en parlant d’un dossier “non-flagrant” mais « non auto-divulgué ». En effet, précision importante ajoutée par l’OFAC : ShapeShift n’a déployé un dispositif de conformité qu’après une assignation administrative.
Un timing qui a évidemment pesé dans l’évaluation des facteurs aggravants et atténuants. Pour l’écosystème des exchanges, le message est clair : la politique « no KYC » n’exonère pas des règles en vigueur.
Defunct crypto exchange ShapeShift has agreed to pay $750,000 to the U.S. Treasury Department to settle charges that it violated sanctions. https://t.co/l3xO0PiHdT
— Decrypt (@DecryptMedia) September 23, 2025
Un rappel de conformité pour tout l’écosystème
Les précédents commencent à s’accumuler : des exchanges, des gestionnaires de paiement et autres courtiers ont déjà été amenés à transiger avec l’OFAC. Par ailleurs, la doctrine actuelle encourage une approche de gestion du risque : géoblocage par IP, listes noires, écrans SDN, et procédures d’escalade. Les équipes doivent montrer patte blanche en traçant, documentant et auditant l’effectivité des contrôles.
Rappelons également un paramètre important : le cas ShapeShift intervient dans un contexte mouvant. En effet, des allers-retours sont possibles, comme le montre le retrait par l’OFAC de Tornado Cash de la liste SDN, plus tôt cette année. Un revirement qui montre l’évolution du cadre et ses nuances.
Aujourd’hui, l’usage de front-ends, d’agrégateurs et de wallets intégrant des swaps complexifie la frontière “custodial / non-custodial”. Dès lors, les acteurs se trouvent dans l’obligation d’aligner leurs parcours clients et leurs API sur des garde-fous concrets. Conséquence : au-delà de l’aspect juridique, la conformité devient un sujet de design produit.
Quelles conséquences pratiques pour plateformes, DAOs et utilisateurs ?
Première leçon : permissionless ne vaut pas absence de responsabilité opérationnelle. En effet, même des entités ayant cessé leur activité restent redevables de leurs manquements passés. Pour se couvrir au minimum, le calibrage des contrôles doit couvrir l’historique, les intégrations et les tiers techniques.
Deuxième leçon : le proportionality test compte. Dans ses audits, l’OFAC pondère le sérieux , l’auto-divulgation, la coopération et la capacité financière. Toutefois, les équipes des exchanges ne doivent pas compter sur l’indulgence : des contrôles trop tardifs ou partiels coûtent cher à la fois en pénalités, en remédiation et surtout en réputation.
Troisième leçon : anticipez les arbitrages produit-régulation. En pratique, cela passe par le géoblocage par IP, la vérification d’adresses, l’exclusion de certaines juridictions, et des preuves d’exécution. De nouvelles approches émergent d’ailleurs, notamment les “selective-disclosure” inspirées du zk-KYC, mais elles doivent rester auditables et révoquables.
Enfin, les communautés DAO doivent attester de leur transparence en clarifiant qui opère quoi : front-end, relais d’ordres, hébergement, gouvernance des listes.
Sources
Sur le même sujet
Partager
