Digital Banking & Fintech

UEMOA : CinetPay frappée par une cyberfraude présumée à 1,1 M$, la confiance sous pression

Photo de patrick tchounjo patrick tchounjo Envoyer un courriel il y a 5 heures
0 4 minutes de lecture

Dans les paiements, il y a une règle que personne n’ose vraiment contester : la technologie peut être brillante, mais la confiance doit être instantanée. Quand cette confiance se fissure, ce n’est pas seulement un incident de sécurité : c’est un risque de liquidité, un risque réputationnel, et parfois un risque systémique pour des milliers de marchands. C’est précisément ce que laisse entrevoir l’affaire CinetPay, une fintech ivoirienne de traitement des paiements, qui aurait été la cible d’une cyberattaque en septembre 2025, avec des pertes estimées, “dans la fourchette basse”, à 1,1 million de dollars et une dette de plus d’un million de dollars envers ses clients.

L’information, qui circule depuis quelques jours dans les milieux financiers de l’UEMOA, a fait l’effet d’une bombe parce qu’elle touche le cœur du modèle : le règlement. Un prestataire de paiement peut survivre à une mauvaise semaine commerciale. Il survit beaucoup moins bien à un choc qui bloque les reversements et transforme la trésorerie en terrain miné.

Une lettre interne qui acte la fraude, pays par pays

Le point le plus documenté de ce dossier tient dans une correspondance datée du 3 octobre 2025, signée par Daniel Dindji, directeur général de la société. Le courrier évoque des “fraudes informatiques” importantes, notamment en Côte d’Ivoire, au Togo et au Burkina Faso, et mentionne des rapports d’huissiers ainsi que des plaintes officielles déposées dans chacun de ces pays, attestant de la réalité des incidents.

Le document ajoute que ces événements ont eu un “impact direct et substantiel” sur la trésorerie et expliquent les retards dans l’exécution des engagements. Autrement dit : l’incident cyber ne reste pas dans le domaine du “technique”. Il se traduit en décalage de paiement, donc en tension commerciale.

DPay vs CinetPay : le litige qui met le règlement au centre

Dans cette affaire, le conflit le plus visible concerne DPay, prestataire de services de paiement nigérian. CinetPay serait en litige avec cet utilisateur après avoir apparemment omis de reverser des fonds traités pour DPay depuis septembre 2025.

Selon les éléments évoqués, les retards auraient commencé début août 2025, avec une dette qui aurait atteint 250 millions FCFA. En septembre 2025, CinetPay aurait reconnu des obligations impayées de plus de 655 millions FCFA (environ 1,2 million USD) et proposé un plan de remboursement. Mais malgré des mises en demeure, les conditions proposées n’auraient pas été respectées au moment de la rédaction du rapport cité.

Dans la mécanique des paiements, ce type de friction est explosif : ce sont des revenus encaissés “au nom” des marchands, mais non reversés dans les délais attendus. Et pour une entreprise, un règlement qui traîne n’est pas une contrariété : c’est une rupture du cycle de trésorerie.

Quand le paiement ralentit, c’est l’économie réelle qui cale

On oublie souvent que le paiement n’est pas un service “support”. C’est la circulation du sang dans l’économie. Un marchand qui ne reçoit pas son règlement ne peut pas refaire du stock, payer ses salariés, honorer ses fournisseurs. C’est pourquoi plusieurs commerçants affirment que des fonds seraient restés impayés pendant des mois, limitant leur capacité à accéder aux liquidités collectées en leur nom.

Le problème est donc plus large que le cas d’une fintech : il touche le quotidien des PME, des e-commerçants, des plateformes et des services qui vivent sur des marges courtes et des cycles rapides.

La licence BCEAO : un label qui devait rassurer… et qui se retrouve testé

L’élément qui rend l’affaire encore plus sensible, c’est son timing. La cyberattaque présumée serait survenue le même mois où CinetPay a été agréée comme l’une des rares fintechs autorisées à opérer au sein de l’UMOA par la BCEAO. La licence, accordée à seulement 30 fintechs, est censée encadrer les acteurs capables de traiter des paiements dans plusieurs pays membres.

Le principe de cette licence est justement de mettre la barre haut : capital minimum, gouvernance, contrôles anti-fraude et anti-blanchiment, infrastructure résiliente. Or, si l’incident est avéré, il devient un test grandeur nature : non pas tant du texte réglementaire, mais de sa mise en œuvre opérationnelle.

Dans l’écosystème UEMOA, la question implicite devient alors : les exigences de résilience sont-elles seulement un prérequis sur le papier, ou un mécanisme réellement vérifiable dans la durée ?

Une crise de cybersécurité qui ressemble aussi à une crise de modèle

L’attaque décrite s’apparente à un schéma où des intrus auraient exploité des limites internes pour retirer de l’argent et l’acheminer vers des comptes de mobile money dans plusieurs pays. Ce type d’opération, lorsqu’il est multi-portefeuilles et simultané, a un objectif : aller plus vite que la détection, fragmenter les flux, rendre le traçage plus complexe.

Mais la vraie question, côté marché, n’est pas seulement “comment l’attaque s’est faite”. C’est : quelle est la capacité d’absorption d’un prestataire de paiement quand un choc arrive ? Quelles réserves ? Quelle architecture de contrôle ? Quelle gouvernance de crise ? Et surtout : quelle capacité à continuer de régler les marchands sans transformer un incident en dette ?

Ce que l’affaire CinetPay dit au secteur financier de l’UEMOA

Ce dossier, à ce stade, reste une affaire sensible, où plusieurs éléments sont présentés comme présumés, et où l’entreprise n’aurait pas répondu aux demandes répétées de commentaires dans la période citée. Mais il délivre déjà trois enseignements puissants pour les régulateurs, les banques, les fintechs et les marchands.

D’abord, la cybersécurité n’est plus un sujet de “DSI”. C’est un sujet de solvabilité opérationnelle. Ensuite, la licence et la conformité ne valent que si la résilience est prouvée dans l’exécution. Enfin, dans les paiements, le produit n’est pas l’application : c’est le règlement. Le reste est du design.

Ce qu’il faut retenir

CinetPay, acteur ivoirien des paiements au service de plus de 25 000 entreprises, aurait subi en septembre 2025 une cyberattaque présumée estimée à 1,1 million USD, avec des retards de règlements qui auraient alimenté un litige, notamment avec DPay. Au-delà du cas CinetPay, l’affaire met sous tension une question centrale pour l’UEMOA : la solidité réelle des prestataires de paiement à l’heure des licences BCEAO, des flux transfrontaliers, et d’un marché où la confiance se mesure en heures, pas en communiqués.

Patrick Tchounjo

Photo de patrick tchounjo patrick tchounjo Envoyer un courriel il y a 5 heures
0 4 minutes de lecture
Photo de patrick tchounjo

patrick tchounjo

Articles similaires

Nigeria : OneDosh lève 3 millions USD et mise sur les stablecoins pour “réparer” les paiements transfrontaliers

il y a 6 jours

Wave, Visa et Ecobank accélèrent la démocratisation du paiement en ligne au Sénégal

il y a 2 semaines

Afreximbank rompt avec Fitch : la bataille de la notation du risque africain est lancée

il y a 3 semaines

Côte d’Ivoire : la SIB et l’ENSEA s’allient pour développer les talents au service de la banque de demain

il y a 3 semaines

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page