Dans l'univers des paiements, une règle tacite prévaut sur toute prouesse technologique : la confiance doit être instantanée. Lorsque ce lien se fissure, l'incident ne se limite plus à une simple faille de sécurité ; il mue en risque de liquidité, en péril réputationnel et, dans certains cas, en menace systémique pour des milliers de marchands. C’est précisément ce scénario critique que traverse actuellement la fintech ivoirienne CinetPay. Selon des informations circulant dans les milieux financiers de l’UEMOA, l’entreprise aurait été la cible d’une cyberattaque d’envergure en septembre 2025, entraînant des pertes estimées à au moins 1,1 million de dollars et une dette envers ses clients dépassant le million de dollars.

Une fraude documentée et des tensions de trésorerie

L'ampleur du dossier est étayée par une correspondance interne datée du 3 octobre 2025, signée par le directeur général, Daniel Dindji. Ce courrier explicite des « fraudes informatiques » majeures survenues en Côte d’Ivoire, au Togo et au Burkina Faso, appuyées par des rapports d’huissiers et des plaintes officielles. Loin de rester cantonné au domaine technique, cet incident a provoqué un « impact direct et substantiel » sur la trésorerie de l’entreprise, se traduisant par des retards critiques dans l’exécution des reversements aux marchands.

Lire aussi: Sénégal: Des accusations de blanchiment planent sur CinetPay, fraîchement agréée par la BCEAO

L’aspect le plus visible de cette crise concerne le litige avec le prestataire nigérian DPay. Ce dernier réclamerait des fonds non reversés depuis août 2025. En septembre 2025, CinetPay aurait reconnu une dette de plus de 655 millions FCFA (environ 1,2 million USD) et proposé un plan de remboursement qui, selon les rapports, n'aurait pas été honoré.

La licence BCEAO à l'épreuve des faits

Ce séisme survient à un moment particulièrement délicat : le mois même où CinetPay recevait son agrément de la BCEAO. Cette licence, accordée à seulement 30 fintechs dans l'Union, impose des standards élevés en matière de capital, de gouvernance et de résilience infrastructurelle. Si l'incident est avéré, il pose une question fondamentale sur l'efficacité des mécanismes de contrôle opérationnel au-delà de la simple conformité sur papier.

L’attaque elle-même semble avoir exploité des limites internes pour acheminer des fonds vers des comptes de mobile money dans plusieurs pays, une stratégie de fragmentation visant à déjouer les systèmes de détection rapide.

Un avertissement pour l'économie réelle

Le blocage des règlements n'est pas une simple contrariété administrative ; c'est une rupture du cycle de vie des PME. Un marchand qui ne perçoit pas ses fonds ne peut ni renouveler ses stocks, ni rémunérer ses salariés. En ralentissant le paiement, c'est toute la circulation sanguine de l'économie réelle qui cale.

Cette affaire rappelle aux acteurs financiers de l'UEMOA trois vérités essentielles : la cybersécurité est désormais un sujet de solvabilité, la licence ne vaut que par la résilience prouvée, et le véritable produit d'un prestataire n'est pas son application, mais sa capacité à garantir le règlement final.