Interview exclusive, Florence Giuliano, Director EMEA, Financial Crimes Analytics de SAS

Florence Giuliano (SAS) : “Ce n’est pas la réglementation qui paralyse l’investissement, mais l’absence de règles”

Docteur en économie et statistiques, Florence Giuliano consacre depuis plus de 25 ans ses recherches et sa carrière à la lutte contre la fraude et les crimes financiers. Aujourd’hui EMEA Financial Crimes Analytics Director chez SAS, elle accompagne les établissements financiers européens dans l’optimisation de leurs dispositifs de conformité grâce à l’intelligence artificielle. Interview à quelques jours du BankTech Day.

Les banques européennes investissent massivement en compliance pendant que leurs concurrentes américaines ou asiatiques opèrent dans des cadres plus souples. Est-ce que vous observez concrètement un écart de compétitivité qui se creuse ?

En réalité, l’écart se réduit ! Lorsque l’on regarde le ROTE (Return on Tangible Equity, qui mesure la rentabilité réelle des capitaux), les banques européennes se situent entre 11 et 13%, contre 13 à 15% aux Etats-Unis et 9 à 10% pour les méga-banques japonaises. On a nos champions français, le Crédit Agricole, BNP Paribas et Société Générale, qui affichent des trajectoires très solides. Le Crédit Agricole performe au niveau des standards américains à 15%. BNP Paribas est à 11,6% et Société Générale a réussi son redressement à 10,2%. 

Donc le premier constat est assez positif, mais il ne faut pas s’arrêter au ROTE. Si l’on s’intéresse au CIR (Cost-to-Income Ratio, qui révèle l’efficacité opérationnelle d’une banque), en Asie, l’efficacité est maximale avec une moyenne autour de 52%. Aux États-Unis, le ratio est maîtrisé, entre 55 et 58%. Et en Europe, malgré des efforts de restructuration massifs, le CIR moyen est entre 58 et 62%. Concrètement, cela veut dire qu’une banque européenne va dépenser 58 à 62 centimes pour générer un euro de revenu, là où une banque américaine va n’en dépenser que 55 à 58. Ces quelques centimes d’écart représente “le poids du sac à dos européen et de la réglementation”. 

En conclusion, l’écart se resserre et la situation a plutôt tendance à s’améliorer.

Les banques européennes peuvent-elles tirer partie de certaines réglementations ?

Ce que j’observe vraiment sur le terrain, c’est un effet ciseau : il y a, d’un côté, une explosion de la fraude et de l’autre côté, un véritable empilement réglementaire avec DORA, l’IA Act, Bâle 3, la DSP3. En 2025-2026, plus de la moitié des banques européennes ont encore dû augmenter leur budget conformité de 10%. Pendant que les banques américaines vont financer leur croissance, les banques européennes, elles, vont être obligées d’absorber cette pression réglementaire sans laquelle elles ont du mal à opérer.

Mais de mon point de vue, cet investissement européen, bien que contraint, est finalement ultra-structurant. En assainissant les données pour répondre aux demandes des régulateurs, nos banques vont se construire une véritable colonne vertébrale digitale saine et robuste. Je pense que l’IA Act n’est pas du tout un inconvénient. Au contraire, il va nous aider à renforcer la confiance en apportant une vraie feuille de route qui va sécuriser les investissements.

Donc finalement, si on utilise toutes ces contraintes pour industrialiser l’IA, on va être capable de transformer une sorte de taxe sur l’innovation en un vrai actif technologique majeur. Et notre défi de 2026 va être de faire basculer cet investissement de structure vers de l’innovation pure.

Où se situe selon vous le point de bascule où la régulation devient un frein à l’investissement plutôt qu’un garde-fou ?

Pour moi, la réglementation est un frein que si elle est techno-restrictive, c’est-à-dire si elle se contente d’interdire l’usage de la data. Le vrai point de bascule va être franchi lorsque la norme paralyse l’action. J’observe sur le terrain que c’est exactement l’inverse. C’est l’absence de règles qui paralyse l’investissement. Le cadre européen, et notamment l’IA Act, est techno-structurant. Denis Beau, premier sous-gouverneur de la Banque de France, avait dit lors d’une conférence l’an dernier : « La régulation de l’IA est un atout de compétitivité, sans règle il n’y a pas de confiance, et sans confiance il n’y a pas d’innovation viable dans la durée ». 

La donnée est en train de transformer les dispositifs de conformité. Est-ce que les banques européennes exploitent vraiment la richesse des données qu’elles ont ? Ou la régulation sur la protection des données (RGPD en tête) les empêche-t-elle de s’en servir pleinement ?

La donnée, c’est le carburant de l’IA, avec ce principe de base : garbage in, garbage out. Si on injecte des données de mauvaise qualité, on obtient à la fin des décisions qui sont complètement erronées, quel que soit l’algorithme qu’on va utiliser.

Et dans le domaine réglementaire, on a quand même des contraintes assez fortes sur les données, d’un point de vue de la structure, de la source, de la collecte, de la conservation… Mais je ne pense pas que ce soit vraiment un frein. Le RGPD est un standard pour avoir des données saines et de qualité. Il nous impose cette méthodologie stricte que m’avait imposée mon directeur de thèse à l’époque. Cette hygiène de fer, la cartographie, le nettoyage, la gouvernance de la data… ça doit faire partie de la norme.

Vous défendez l’idée d’une “défense mutualisée” face à la fraude à l’échelle du secteur bancaire. Aujourd’hui, qu’est‑ce qui bloque le partage de données entre banques au niveau européen ?

Les criminels vont utiliser l’IA pour automatiser leurs attaques. Donc déjà, rester isolé, c’est une erreur stratégique majeure. Ce qui va bloquer aujourd’hui le partage, c’est d’abord un verrou psychologique : historiquement, la donnée était quelque chose qui devait rester secret. Par exemple, je travaille avec un grand groupe organisé en caisses régionales, et encore aujourd’hui on n’a pas la donnée client au niveau groupe. Pour lutter contre la fraude, on peut juste utiliser la donnée transactionnelle.

Le deuxième verrou est réglementaire, c’est-à-dire qu’il existe une crainte d’enfreindre le RGPD en partageant des données sensibles. 

Enfin, le troisième verrou est technique car il y a clairement une hétérogénéité des systèmes entre banques, voire au sein des banques. Les systèmes bancaires, en France en tout cas, se sont construits par strates successives. L’IA peut justement aider à créer une plateforme unique pour regrouper des sujets tels que le blanchiment, la fraude, le KYC, les sanctions… Parfois, les alertes concernent le même client, et cette vision 360 permet d’avoir une connaissance parfaite du risque.

Les fraudeurs utilisent aujourd’hui l’IA générative pour créer des deepfakes, automatiser des arnaques, contourner les systèmes de détection. Les outils que vous déployez chez les banques n’ont-ils déjà pas un temps de retard ?

Aujourd’hui, la fraude bancaire en France est estimée à 1,2 milliard d’euros. On ne peut pas dire qu’on soit complètement au point… Les fraudeurs sont passés de ruses complètement artisanales à des cyberattaques hyper industrialisées. Pour 500$, un fraudeur peut acheter aujourd’hui des outils d’IA (WormGPT, FraudGPT), le pack parfait pour tout faire, avec les deepfakes, l’ingénierie sociale… Et il va exploiter la faiblesse humaine et le manque de vigilance.

Donc, il faut qu’on utilise l’IA pour détecter ce que l’œil humain ne peut plus détecter. Chez SAS, j’ai cette boîte à outils. Honnêtement, quand j’arrive sur un projet, je peux vous assurer que j’augmente très significativement le taux de détection de fraude. Maintenant, il faut que les banques aient envie de faire un projet, qu’elles aient les données disponibles et qu’elles aient aussi le budget.

Retrouvez Florence Giuliano sur la Leadership Stage du BankTech Day, le 10 avril, pour la table-ronde “Réguler sans affaiblir : préserver la compétitivité des banques européennes” (15h20-16h05).