Il y a quelques années, les métavers n’étaient qu’un eldorado promis par les géants de la digitalisation où il serait possible d’abolir les frontières physiques, où les élèves apprendraient l’Histoire en en devenant ses acteurs et les étudiants en médecine découvriraient l’anatomie humaine sur des corps virtuels.
Aujourd’hui, prônant toujours ces images utopiques, les métavers sont devenus une réalité dans laquelle de nombreuses entreprises évoluent déjà et dont les contours ont été depuis définis : « Un métavers [constitue] un espace collectif virtuel partagé, créé par la convergence de la réalité physique et numérique améliorée virtuellement. Il [...] offre des expériences immersives améliorées »[2].
Le développement d’une telle technologie s’accompagne néanmoins d’une croissance exponentielle d’une délinquance spécifique aux métavers. Selon un rapport sur les tendances mondiales de la criminalité publié par INTERPOL en 2022[3], la criminalité migre vers le numérique en s’adaptant aux nouveaux univers émergents. La question de la transposition des qualifications juridiques du monde physique au monde virtuel attise depuis les débats. La problématique des violences et agressions sexuelles au cœur des métavers a été l’objet de nombreuses interrogations.
Cependant, celle-ci ne possède pas le monopole des débats doctrinaux puisque les délits financiers ont concomitamment fait leur apparition. Appâtant leurs victimes grâce aux métavers ou au sein des métavers, blanchiments de capitaux, financement du terrorisme, corruption, ou encore fraude se sont multiplés, posant la question de l’existence – ou non - d’un vide juridique. En effet, la célérité de l’apparition des métavers a pris de court les institutions supranationales et nationales qui n’ont pu, pour l’instant, adapter les législations existantes. Cette absence de cadre contraignant pour les transactions financières a ainsi facilité les activités des déliquants financiers qui, souvent intraçables, jouissent d’une quasi impunité.
Toutefois, malgré la prolifération des délits financiers dans les métavers, des perspectives d’amélioration des moyens de lutte contre ces derniers se profilent. Outre les actions menées au niveau international ou national, les professionnels du droit acquièrent également de nouvelles compétences pour accompagner au mieux les entreprises évoluant dans les métavers : de nombreuses opportunités s’ouvrent à eux.
La prolifération facilitée des délits financiers dans les métavers
Dans les métavers, les individus interagissent ensemble par le biais de leur avatar qui représente leur identité numérique. La création d’un avatar est relativement aisée, de nombreuses plateformes proposant gratuitement ces services. En parallèle, des métavers comme la populaire VR Chat sont accessibles dès 13 ans. Les métavers sont donc à portée de clic de publics vulnérables qui subiront plus facilement des fraudes liées au vol d’identité ou encore à des agressions à connotations sexuelles. Cependant, plus que les avatars, les NFTs (jetons non fongibles) constituent la principale source de déliquance au sein des métavers du fait des importants montants financiers qui peuvent leur être alloués. Outre le « vol » direct de ces actifs numériques, ces derniers peuvent être utilisés par des individus à des fins de blanchiment d’argent ou encore de financement du terrorisme.
Les NFTs et les cryptomonnaies, le nerf de la guerre des délits financiers
Le NFT est un identifiant numérique unique dont le but est d’authentifier un fichier numérique. Il souffre, pour l’instant, d’un défaut de définition légale. Pour autant, les NFTs constituent le principal modèle de revenus des jeux des métavers. Or, de juillet 2021 à juillet 2022, plus de 100 millions de dollars américains en NFTs ont été « volés » selon la société d'analyse blockchain Elliptic[4]. Ce type de pratique est permise par des techniques d’hameçonnage ou phishing qui consistent à inciter des utilisateurs à cliquer sur des liens malveillants permettant de « voler » leurs NFTs via cette connexion. A titre d’illustration, un utilisateur s'est vu retirer 1,4 million de dollars de NFTs après avoir signé un contrat intelligent sur un site de phishing qui a permis à une personne (ou un groupe de personnes) d'accéder à son portefeuille numérique[5]. Il est donc important de garder une vigilance accrue lorsque des liens sont proposés dans les métavers.
Le « vol « de NFT se fait également par le biais de fraudes liées à des cadeaux publicitaires au sujet des métavers[6]. Les utilisateurs devraient ainsi garder une certaine méfiance à l’égard des annonces sur des plateformes peu fiables liées aux métavers, bien que des sociétés travaillent actuellement à la suppression des sites frauduleux. Outre les cadeaux, un type de fraude mis en avant pour les cryptomonnaies - et qui constitue une véritable menace pour les métavers - est le rug pull. Ce procédé apparait lorsque les développeurs d'un projet financé par de la cryptomonnaie l'abandonnent de façon inattendue, emportant avec eux les fonds des utilisateurs en “tirant le tapis”, comme l’indique l’expression anglo-américaine[7]. Ainsi, une fois les investisseurs séduits par une perspective de rendement importante permis par un métavers, les créateurs du projet retirent la valeur du projet et disparaissent avec les fonds. Le rug pull le plus important de l’année passée a concerné la plateforme Thodex. Il s’agit à l’origine d’une plateforme d’échange de cryptomonnaie ; l’équivalent de 2 milliards de dollars a été subtilisé par son fondateur. Afin de réaliser ce type de détournement, ses instigateurs s’appuient le plus souvent sur une stratégie marketing très agressive et des promesses de rendement irréalistes.
Les autres délits financiers au coeur des métavers
Une des fraudes fréquemment citées est l’usurpation d’identité, une infraction définie par le Code pénal français comme étant le fait d'usurper l'identité d'un tiers[8]. Ce type d’infraction est courante dans les jeux vidéos : selon le rapport Generation Game en 2020, 12% des joueurs interrogés ont été victimes d’une usurpation d’identité[9]. En effet, les entreprises agissant dans les métavers ont fait état d’attaques humaines et de robots pouvant entrainer l’usurpation d’identité et la perte d’informations personnelles via l’utilisation des avatars. L’usurpation d’identité prend généralement la forme du vol de l’identité numérique de la personne via la méthode de phishing ou encore la duplication de l’identité de l’avatar du métavers afin de se faire passer pour un utilisateur connu. Des vols d’avatars ont déjà été signalés dans le métavers Roblox par exemple. Ce type de fraude dans les métavers est d’autant plus à prendre au sérieux que ces mondes visent un public jeune voire mineur.
Ces pratiques représentent une facilitation potentielle de délits financiers, comme le blanchiment d’argent[10] défini pénalement comme le fait de faciliter, par tout moyen, la justification mensongère de l'origine des biens ou des revenus de l’auteur d'un crime ou d'un délit ayant procuré à celui-ci un profit direct ou indirect ou le fait d'apporter un concours à une opération de placement, de dissimulation ou de conversion du produit direct ou indirect d'un crime ou d'un délit. Ces inquiétudes sont confirmées par une étude publiée par le département du trésor américain en 2022[11]. En effet, contrairement aux actifs physiques, les NFTs présentent l’avantage d’une facilité d’achat, quelle que soit sa géographie et une moins bonne visibilité (pour l’instant du moins) des régulateurs sur ces transactions. Ainsi, on peut anticiper que les métavers constitueront une plateforme privilégiée pour acheter et revendre des NFTs avec des fonds provenant d’activités illégales et ce sans frais d’avocats ou de notaires. Les utilisateurs de bonne foi n’auront ainsi pas conscience de participer à une activité qualifiée pénalement.
Les criminels et organisations terroristes pourraient également faire une autre utilisation des métavers en plus du blanchiment d’argent en faisant de ces plateformes une source de financement pour leurs activités illicites. En effet les métavers, puisqu’ils facilitent la création de valeur par le biais des transactions sur des NFTs, pourraient ainsi permettre à des organisations terroristes de financer leurs exactions A titre d’exemple, des groupuscules terroristes d’extrême droite ont déjà eu recours au métavers afin de financer des soldats russes dans la guerre actuelle contre l’Ukraine[12].
Les perspectives d’évolution de la lutte contre les délits financiers dans les métavers
Face à la prolifération des délits financiers autour - et au sein - des métavers, l’évolution des moyens de lutte apparaît nécessaire. Malgré l’absence de réglementation structurée des enjeux financiers au sein des métavers, certaines perspectives législatives laissent présager la mise en place d’un cadre plus contraignant permettant d’assurer un environnement plus sécurisé au profit des utilisateurs. Néanmoins, les métavers apparaîssent encore comme l’apanage d’une poignée d’initiés. Les organisations supranationales tentent de s’immiscer dans ces nouveaux espaces virtuels, tout comme les entreprises qui espèrent, à leur échelle, mettre en place des systèmes de protection efficaces. Mais c’est en exploitant cette dichotomie entre le développement croissant des métavers et les lacunes juridiques actuelles que les professionnels du droit se démarqueront sur le marché hautement concurrentiel des métavers.
Le manque d’un encadrement structuré des délits financiers liés au métavers
Malgré le développement des métavers et leur popularité croissante, force est de constater l’absence aux niveaux national et international d’un cadre législatif et réglementaire adéquat et propice à la lutte contre les délits financiers dans les métavers. Cependant, le besoin d’un tel encadrement, claire et unifié, se fait de plus en plus ressentir : fraudes monétaires, vols de données, blanchiments d’argent se multiplient, couverts par un anonymat rendu possible par le système décentralisé dépendant de la blockchain.
En effet, la décentralisation offerte par la technologie de la blockchain constitue un frein majeur dans la lutte contre les délits financiers et plus particulièrement contre le blanchiment d’argent. Aucune autorité centralisée n’est responsable de la réglementation de la vérification d’identité dans le métavers[13]. Tout l’enjeu serait donc de transposer les contrôles et les principes appliqués dans le monde physique à un monde dématérialisé et, par définition, moins tangible. L’application des exigences en matière de Know Your Customer[14] et de lutte contre le blanchiment d’argent dans les métavers devrait avoir une importance proportionnelle au développement de ce dernier. Néanmoins, la faisabilité réelle d’une telle transposition dans un monde entièrement virtuel soulève encore de multiples débats. Des règles semblables doivent être imposées afin d’éviter l’émergence d’une divergence injustifiée entre la réglementation du monde physique et celle du métavers, tout en pensant à leur adaptation aux spécificités de ce nouvel univers.
En l’absence de cadre supranational, les législations nationales peuvent servir d’appui à la condamnation des différens délits financiers commis dans les métavers. A titre d’exemple, en Autriche, la délinquance financière liée aux crypto-actifs peut relever de diverses infractions pénales nationales[15]. Les pratiques déjà décrites comme le phishing, l'extorsion, la fraude, le blanchiment d'argent et le financement du terrorisme sont condamnées, à l’instar d’autres législations nationales, par le Code pénal autrichien.
Certains pays ont également commencé à imposer des mesures de conformité au sein des métavers, de façon indépendante ou en collaboration avec le Groupe d’Action Financière (GAFI). En tant qu’organisation mondiale de surveillance du blanchiment de capitaux et de financement du terrorisme, le GAFI fixe des normes internationales visant à prévenir ces activités illégales et les dommages qu'elles peuvent causer à la société[16]. A ce titre, le GAFI a publié en octobre 2021 une mise à jour de ses orientations pour une approche basée sur le risque des actifs virtuels et des fournisseurs de services d’actifs virtuels[17]. Le GAFI fournit ainsi des lignes directrices aux pays concernés afin qu’ils évaluent et atténuent les risques liés aux activités financières et aux fournisseurs d’actifs virtuels, via l’accord de licences ou le recensement de ces fournisseurs dans le but de les soumettre à la supervision et au contrôle des autorités nationales compétentes.
Face à l’urgence suscitée par la multiplication des délits financiers dans les métavers, le Parlement européen a proposé, en juillet 2022, une série d’amendements afin d’étendre la législation anti-blanchiment d’argent (Anti-Money Laundering) intitulée Prévention de l’utilisation du système financier à des fins de blanchiment d’argent ou de terrorisme aux plateformes de négociation et d’échange de NFTs[18]. Ces modifications pourraient jouer un rôle important dans la régulation des échanges de cryptomonnaies au sein des métavers et ainsi améliorer la transparence des transactions effectuées. Cependant, l’adoption de ces amendements reste pour le moment encore hypothétique. La proposition de règlement sur les marchés des crypto-actifs (MiCA)[19] définissant le traitement réglementaire des crypto-actifs et comprenant des mesures contre la manipulation du marché, le blanchiment d'argent, le financement du terrorisme, etc. augure les évolutions législatives à venir au sein des métavers dans la lutte contre les délits financiers.
L’Union européenne doit néanmoins veiller à conserver un certain équilibre pour ménager une marge de liberté aux acteurs du secteur afin que la réglementation ne les incite pas à rechercher des législations plus clémentes.
Les carences législatives autour des délits financiers liés au métavers sont encore nombreuses, malgré les évolutions récentes. Pour néanmoins répondre à ces nouveaux risques, à différentes échelles, les acteurs du secteur tentent de se familiariser avec les métavers et de s’y installer, essayant de mettre fin à la position monopolistique des cybercriminels dans ces univers virtuels.
L’émergence de nouveaux outils de lutte contre les délits financiers et de nouvelles opportunités pour les professionnels du droit
Les organismes supranationaux se dotent de nouveaux outils technologiques afin de lutter contre les délits financiers grandissants au sein des métavers.
A l’occasion de la 90ème Assemblée générale d’INTERPOL à New Delhi, l’organisation policière a présenté le premier métavers développé spécifiquement pour la formation de ses agents aux dangers des métavers[20]. Organisation intergouvernementale comptant 195 pays membres et promouvant la collaboration entre les différentes autorités de police nationales[21], la structure internationale désire ainsi s’immiscer dans les rouages des systèmes blockchain afin de renforcer ses moyens de lutte. Abolissant les frontières physiques, les participants peuvent créer leurs avatars et visiter une version virtuelle du siège du Secrétariat général d’INTERPOL à Lyon, mais également participer à des formations en interagissant avec d’autres agents ou effectuer des exercices pratiques. A cette occasion, INTERPOL a également annoncé la constitution d’un Groupe d’experts sur les problématiques soulevées par les métavers et les solutions qui pourraient y être apportées afin de construire un monde virtuel plus sécurisé dès son élaboration.
Avec ce nouveau métavers, INTERPOL souhaite reconquérir l’espace virtuel jusqu’alors terre acquise aux cybercriminels. Bien que les métavers demeurent une notion lointaine et prophétique pour une majorité de la population, ils constitueront sans nul doute dans les prochaines années la principale source d’utilisation d’internet. Le développement par des organisations mondiales, telles qu’INTERPOL, de moyens de lutte dans ces univers indique bien l’imminence de l’immiscion des métavers dans notre quotidien.
Lors du Forum INTERPOL sur les nouvelles technologies, qui s’est tenu en novembre 2022 au Complexe INTERPOL pour l’innovation à Singapour[22], ont été soulignés les risques réels qui pourraient émerger si les organismes de lutte contre la cybercriminalité dans les métavers ne se préparaient pas à cette transition déjà avancée. Le président du GAFI, Raja Kumar, a ainsi insisté sur la nécessité de mettre en place des techniques de protection renforcée de la vie privée pour brouiller les pistes entre les transactions de cybermonnaies et l’identité réelle des auteurs. Il a également mis en avant l’importance que pourrait avoir une collaboration internationale afin de tracer les transactions et contrecarrer les méthodes de protection de la vie privée utilisées par les cybercriminels pour protéger leur identité. Un rapport de mars 2022 réalisé par la banque américaine Citibank insiste aussi sur la nécessité de réaliser des vérifications renforcées quant à l’historique des transactions et l’origine des portefeuilles présents au sein des métavers[23].
Les entreprises opérant dans les métavers doivent avoir conscience du risque de fraudes sur les plateformes. En amont de l’intervention d’organismes supranationaux tels qu’INTERPOL, à une échelle plus restreinte, ces entreprises peuvent aussi tenter de se prémunir contre ces fraudes en renforçant leurs systèmes de vérification. La double authentification[24], l’utilisation d’algorithmes identifiant les systèmes informatisés ou les utilisateurs non-authentiques, ou encore l’analyse de l’empreinte digitale peuvent être utilisées comme moyens de vérification de l’identité sans altérer de manière disproportionnée l’expérience des utilisateurs[25].
Elles peuvent aussi souhaiter être accompagnées dans cette démarche et être conseillées par des professionnels du droit. Ces derniers pourraient ainsi tirer profit de la méconnaissance répandue du fonctionnement du métavers et des risques afférents ; encore faut-il qu’ils en aient eux-mêmes une connaissance suffisante. Les possibilités sont multiples et les opportunités nombreuses à saisir. Les professionnels de la conformité pourraient accompagner les entreprises dans leurs démarches de mise en place d’exigences KYC, anti-blanchiment d’argent ou encore de diligences jusque-là effectuées par les instances financières pour détecter des délits financiers[26]. Certains proposent déjà aux entreprises la mise à disposition d’algorithmes basés sur l’intelligence artificielle afin de vérifier les identités de leurs clients au regard de listes internationales définissant les juridictions sous surveillance pour le blanchiment d’argent.
Certains avocats ont également investi les métavers en dédiant des membres de leur équipe à ce secteur ou même en y ouvrant leur cabinet. Tel est le cas d’ArentFox Schiff[27] devenant le premier grand cabinet d’avocats américain à ouvrir un bureau dans un métavers[28]. Les clients peuvent y interagir avec les avocats à travers des réunions virtuelles. Outre la possibilité de diversification de la clientèle, l’ouverture d’un bureau dans un métavers peut être vecteur d’un message fort sur les compétences du cabinet d’avocats à accompagner de manière pertinente les entreprises œuvrant dans un métavers.
Les métavers, plateformes sur lesquelles fleurissent des échanges et achats de NTFs et où interagissent les identités numériques des utilisateurs par le biais de leurs avatars, constituent une véritable zone de non droit comme rappelé dans les travaux d’INTERPOL. En effet, le manque de cadre juridique unifié crée une insécurité juridique qui profite aux cybercriminels. Ces derniers visent essentiellement l’acquisition de NFTs ou leur utilisation à des fins de blanchiment d’argent ou encore de financement d’activités illégales étant donné les sommes importantes échangées sur ces plateformes. Cependant, chaque risque comporte une opportunité et le développement des métavers constitue une occasion pour l’Union européenne de se positionner en leader et pionnier de la lutte contre la cybercriminalité dans les métavers. Les professionnels du droit et de la compliance, qui commencent à se former à ces enjeux, gagneraient à développer des outils de compliance plus performants à l’instar des exigences de KYC afin de lutter contre la déliquance financière dans les métavers. Par conséquent, il apparaît nécessaire que les pouvoirs publics comme privés joignent leurs efforts pour diminuer les risques liés aux métavers et mieux protéger les utilisateurs les plus vulnérables.
Chronique « Droit, Juriste et Pratique du Droit Augmentés »
Cette chronique a pour objectif, de traiter de questions d'actualité relatives à cette transformation. Dans un contexte où le digital, le big data et le data analytics, le machine learning et l'intelligence artificielle transforment en profondeur et durablement la pratique du droit, créant des « juristes augmentés » mais appelant aussi un « Droit augmenté » au regard des enjeux et des nouveaux business models portés par le digital.
Avec son Augmented Law Institute, l'EDHEC Business School dispose d'un atout majeur pour positionner les savoirs, les compétences et la fonction du juriste au centre des transformations de l'entreprise et de la société. Il se définit autour de 3 axes de développement stratégiques : son offre de formations hybrides, sa recherche utile à l'industrie du droit, sa plateforme de Legal Talent Management. https://www.edhec.edu/fr/ledhec-augmented-law-institute
[1] Site officiel de Gartner - Communiqué de presse “Gartner Predicts 25% of People Will Spend At Least One Hour Per Day in the Metaverse by 2026” - 7 février 2022, https://www.gartner.com/en/newsroom/press-releases/2022-02-07-gartner-predicts-25-percent-of-people-will-spend-at-least-one-hour-per-day-in-the-metaverse-by-2026
[2] Réf. préc., note 1
[3] Rapport de synthèse sur les tendances mondiales de la criminalité en 2022, Interpol, 2022, https://www.interpol.int/fr/content/download/18350/file/Global%20Crime%20Trend%20Summary%20Report%20FR.pdf
[4] R. Azimi, « Crypto-art : plus de 100 millions de dollars de NFT volés en un an », Le Monde, 29 août 2022, https://www.lemonde.fr/economie/article/2022/08/29/crypto-art-plus-de-100-millions-de-dollars-de-nft-voles-en-un-an_6139422_3234.html
[5] L. Franceschi, “Hacker Steals $1.4 Million in NFTs From Collector In One Sweep”, Vice, 25 mai 2022, https://www.vice.com/en/article/pkp7pm/hacker-steals-dollar14-million-in-nfts-from-collector-in-one-sweep
[6] Rapport Generation Game, Kaspersky, Décembre 2020, https://media.kasperskydaily.com/wp-content/uploads/sites/92/2020/12/07081304/Kaspersky-Gaming-Report-Generation-Game-Final.pdf
[7] S. Siggia, « Quelles sont les menaces de criminalité financière dans le métavers ? », Pideeco, 5 octobre 2022, https://pideeco.be/fr/articles/menace-financiere-dans-le-metaverse/
[8] Article 226-4-1 du Code pénal
[9] Réf. préc., note 7
[10] Article 325-1 du Code pénal
[11] Study of the Facilitation of Money Laundering and Terror Finance Through the Trade in Works of Art, US Departement of the Treasury, Février 2022, https://home.treasury.gov/system/files/136/Treasury_Study_WoA.pdf,
[12] Réf. préc., note 7
[13] R. Marley, “The rising concern of financial crimes in the metaverse – AML screening as a solution” – ShuftiPro, 10 novembre 2022, https://shuftipro.com/blog/the-rising-concern-of-financial-crimes-in-the-metaverse-aml-screening-as-a-solution/
[14] Le Know Your Customer (KYC) est un processus utilisé dans le cadre de la lutte contre le blanchiment d’argent par les banques, leur permettant d’opérer une vérification d’identité de leurs clients et ainsi, évaluer les risques à entamer une relation commerciale avec ces derniers.
[15] A. Zotter, “Financial crime in the metaverse is real – how can we fight back?”, Wolf Theiss, 3 octobre 2022, https://www.wolftheiss.com/insights/financial-crime-in-the-metaverse-is-real/
[16] Site officiel du GAFI, https://www.fatf-gafi.org/fr/the-fatf/who-we-are.html
[17] Updated Guidance for a Risk-Based Approach to Virtual Assets and Virtual Asset Service Providers, GAFI, Octobre 2021, https://www.fatf-gafi.org/en/publications/Fatfrecommendations/Guidance-rba-virtual-assets-2021.html
[18] Proposition de Règlement du Parlement européen et du Conseil relatif à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme, https://www.europarl.europa.eu/doceo/document/CJ12-AM-734116_EN.pdf
[19] Proposition de Règlement du Parlement européen et du Conseil sur les marchés de crypto-actifs, et modifiant la directive (UE) 2019/1937, https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A52020PC0593
[20] « INTERPOL lance le premier métavers policier mondial », ’NTERPOL, 20 octobre 2022, https://www.interpol.int/fr/Actualites-et-evenements/Actualites/2022/INTERPOL-lance-le-premier-metavers-policier-mondial
[21] Voir le site d’INTERPOL, https://www.interpol.int/fr/
[22] « Les technologies émergentes au cœur du Forum INTERPOL sur les nouvelles technologies », INTERPOL, 21 novembre 2022, https://www.interpol.int/fr/Actualites-et-evenements/Actualites/2022/Les-technologies-emergentes-au-caeur-du-Forum-INTERPOL-sur-les-nouvelles-technologies
[23] P. Berendes, « Tout ce que vous devez savoir sur les crimes dans le métavers », Metavers Tribune, 10 août 2022, https://metavers-tribune.com/tout-ce-que-vous-devez-savoir-sur-les-crimes-dans-le-metavers/
[24] La double authentification est une mesure de sécurité imposant deux niveaux d’identification à l’utilisateur avant l’accès à ses données.
[25] P. Berendes, « Comment devancer la fraude dans les métavers ? », Metavers Tribune, 13 janvier 2023, https://metavers-tribune.com/comment-devancer-la-fraude-dans-les-metavers/
[26] Réf. préc., note 7
[27] Voir le site d’ArentFox Schiff, https://www.afslaw.com/
[28] K. Rattray, “Why Law Firms Are Setting up Shop in the Metaverse”, Clio, 13 janvier 2023, https://www.clio.com/blog/why-law-firms-are-setting-up-shop-in-the-metaverse/
