Débloquez gratuitement l’Editor’s Digest
Roula Khalaf, rédactrice en chef du FT, sélectionne ses histoires préférées dans cette newsletter hebdomadaire.
Le piratage d’une petite banque communautaire de l’Arkansas et une lutte connexe concernant 95 millions de dollars de fonds de clients manquants, qui a de plus en plus suscité la colère des régulateurs bancaires et des législateurs, ont piégé une victime surprenante, du moins personnellement : moi.
La semaine dernière, ma femme a reçu un e-mail d’Evolve Bank & Trust, basé à West Memphis, Arkansas, indiquant qu’une violation de données à la banque avait exposé nos informations personnelles à des pirates informatiques, mais que nos fonds restaient en sécurité.
Le hic, c’est que nous n’avons pas de compte ni de fonds à la Evolve Bank, du moins je ne le pensais pas. Je vis à New York, à environ 1 600 kilomètres du siège de la Evolve Bank. J’ai un compte bancaire, conjointement avec ma femme, que nous avons ouvert en personne dans une succursale de New York de l’une des plus grandes banques du pays il y a près de vingt ans. Nous avons un compte de carte de crédit bancaire.
Un autre e-mail est arrivé avec une photo d’un chèque de 480 $ établi au nom de ma femme. J’ai confirmé qu’il s’agissait d’un paiement légitime, un paiement que Copper, une fintech qui s’était associée à Evolve, estime nous devoir – de l’argent manquant sur mon compte inexistant, du moins à ma connaissance.
C’est cela la finance moderne, ou peut-être une condamnation de celle-ci. Le fait que mes données personnelles aient été volées dans une banque dont je n’ai jamais été client et que ma femme se soit retrouvée avec près de 500 dollars qui, je crois, ne lui appartenaient pas, est la preuve que notre système bancaire actuel est interconnecté, désordonné et vulnérable.
Les difficultés de la petite banque de l’Arkansas ont commencé en avril, lorsque Synapse, une fintech, a fait faillite. Synapse n’était pas une fintech typique, qui proposait par exemple des prêts ou des comptes d’épargne en ligne. Au lieu de cela, elle s’est spécialisée dans la mise en relation d’autres fintechs avec des banques traditionnelles, souvent de petits prêteurs communautaires, dans le cadre de relations de transfert que l’on appelle parfois « rent-a-bank ». Les petites banques veulent plus de clients, mais ont besoin d’un moyen de les atteindre. Les start-ups ont des applications élégantes, mais aucun endroit sûr où conserver les fonds de leurs clients. Pour des dizaines d’applications et une poignée de banques, Synapse est devenu l’entremetteur.
Synapse a affirmé que pas moins de 10 millions de comptes étaient gérés via sa plateforme. Une grande partie de l’argent était déposée chez Evolve Bank. Cette mine d’informations sur les clients faisait d’Evolve une cible de choix. Plus tôt cette année, le groupe de hackers LockBit 3.0, soutenu par la Russie, a affirmé avoir piraté les systèmes de la banque. Même si le dernier dossier réglementaire d’Evolve indique qu’elle possède un peu plus de 280 000 comptes, la banque affirme que le piratage a exposé les noms des clients, les informations bancaires et les numéros de sécurité sociale de pas moins de 7,6 millions d’individus.
Mais avant même que le piratage ne soit connu, Synapse a fait faillite et a arrêté ses systèmes. Les fintechs se sont donc retrouvées avec des clients, mais sans argent, et les banques avec des liquidités, mais sans savoir de qui il s’agissait.
Pire encore, Jelena McWilliams, la séquestre judiciaire de Synapse, qui dirigeait la Federal Deposit Insurance Corporation (FDC) sous l’administration Trump, a déclaré qu’il y avait un écart entre les soldes que les fintechs disent devoir à leurs clients et ce qu’Evolve et d’autres banques disent détenir pour Synapse. McWilliams estime que le déficit entre les deux pourrait atteindre 95 millions de dollars.
La plupart des comptes ont été gelés pendant des semaines. Récemment, Evolve et une autre banque ont pu recruter d’anciens employés de Synapse pour les aider à récupérer des données permettant d’identifier les propriétaires des comptes. Une partie de l’argent a commencé à être reversée aux clients, même si l’on ne sait toujours pas exactement combien manque à l’appel.
Je ne sais toujours pas exactement comment ma famille et moi nous sommes retrouvés pris dans cette situation. Synapse a travaillé avec des dizaines de fintechs, dont Copper, qui a fourni des cartes de débit destinées aux adolescents que ma famille utilisait. En mai, peu après la faillite de Synapse, Copper a désactivé les cartes de débit de mes enfants et a fermé le compte de ma famille. L’entreprise a déclaré qu’elle ne proposait plus le produit. Nous avons reçu un e-mail indiquant qu’il restait 93 $ sur notre compte Copper, ce que nous avons reçu quelques jours plus tard.
Une porte-parole de Copper m’a dit que la société avait fermé tous ses comptes liés à Evolve bien avant que Synapse ne fasse faillite, et que la société n’avait pas été informée par Evolve que l’un des comptes que Copper avait à la banque avait été piraté.
Une représentante du service client d’Evolve a confirmé que la lettre de violation de données que j’ai reçue était réelle, mais que, contrairement à ce qui y était indiqué, je n’avais pas réellement de compte chez Evolve Bank. Elle a déclaré que mes informations avaient probablement été transmises à Evolve par l’une des fintechs avec lesquelles elle travaillait, mais n’a pas pu dire laquelle. Quant aux 480 $, je suppose que c’est une petite partie des millions de dollars qui ont disparu, mais je ne peux pas en être sûr. Le manque de clarté sur tout cela est peut-être la preuve que le monde très médiatisé de la fintech, et les banques qui sont prêtes à s’associer à eux, doivent prêter un peu plus d’attention à sa plomberie.