La publication des standards techniques et réglementaires de la DSP 2 est attendue au mieux en février 2019, dans l’hypothèse où la Commission européenne valide rapidement la proposition finale de cadre de l’Autorité bancaire européenne.

La directive sur les services de paiements (DSP 2), qui régule les échanges de données bancaires et fixe un cadre à l’agrégation de comptes et à l’initiation de paiements à travers des standards techniques et réglementaires (RTS), sera transposée en France dans le courant de l’été. Le projet d’ordonnance et son décret d’application attendus au Conseil d’Etat ne concernent pas les règles d’accès aux comptes d’épargne et d’assurance vie, qui seront traitées séparément. En tout, quatre arrêtés sont prévus. Deux relatifs à la modification du cadre prudentiel des établissements de paiement et des nouveaux acteurs. Un relatif aux aspects de protection des consommateurs. Un relatif aux dispositifs de contrôle interne.

Risque de gel de l’innovation

Le nouveau cadre entrera en vigueur au 1er janvier 2018. Une période de transition était déjà prévue pour les RTS sécuritaires, qui devaient s’appliquer en novembre 2018. Cela ne sera finalement pas avant février 2019, au mieux, si la Commission européenne valide rapidement la proposition finale de cadre de l’ABE (Autorité bancaire européenne).

Ce nouveau report de publication des standards sécuritaires fait peser le risque d’un gel de l’innovation dans le domaine bancaire. Nombres d’établissement teneurs de comptes seront tentés par une stratégie défensive et refuseront d’ouvrir leurs API (interfaces de programmation applicatives) dans l’intervalle.

Pour leur part, les agrégateurs et initiateurs pourraient se voir refuser leurs agréments par les régulateurs nationaux. L’ABE se veut toutefois rassurante pour les agrégateurs et initiateurs existants. Dans un document de travail, l’ABE juge que la période transitoire ne devrait pas impacter le fonctionnement des services d’initiation de paiement et d’accès aux données des comptes de paiements. Ils pourront continuer dans l’intervalle d’être rendus sans authentification forte. Les teneurs de compte, initiateurs et agrégateurs peuvent décider d’appliquer par anticipation les mesures prévues par les RTS. En revanche, la confirmation de disponibilité des fonds ne sera pas permise tant que les RTS ne seront pas entrés en application.

En l’état, le projet des RTS prévoit que les prestataires de services de paiement (PSP) devront monitorer toutes les opérations, qu’elles fassent l’objet d’une authentification forte du client ou d’une dérogation, en prenant en compte, entre autres, le comportement habituel du payeur et du payé (historique des transactions), les signes de compromission et les scénarios de fraude connus. Le PSP du payeur et le PSP du payé pourront chacun décider d’exercer une dérogation à l’authentification forte du client, mais le PSP du payeur conservera cependant le dernier mot pour demander une authentification forte ou refuser l’opération.

Les PSP pourront déroger à l’application de l’authentification forte dans les cas suivants :

  • consultation en lecture seule des informations du compte de paiement, sans communication de données confidentielles de paiement (authentification forte obligatoire lors de la 1ère connexion, puis a minima tous les 90 jours ensuite) ;
  • paiement internet de moins de 30 € (le cumul des opérations précédentes ne devant pas dépasser 100 € ou 5 opérations) ;
  • paiement sans contact en point de vente de moins de 50 € (le cumul des opérations précédentes ne devant pas dépasser 150 € ou 5 opérations ;
  • paiement sur un automate situé à un péage routier, un parking ou pour accéder aux transports en commun ;
  • paiement récurrent vers le même bénéficiaire (sauf pour le premier paiement de la série) ;
  • paiement vers un bénéficiaire inscrit dans une liste fermée des bénéficiaires maintenue par le payeur (l’authentification forte est requise lors de l’ajout d’un nouveau bénéficiaire à la liste blanche) ;
  • virement entre deux comptes appartenant à la même personne et détenus par un seul et même PSP ;
  • paiement internet considéré comme peu risqué sur la base d’une analyse des risques de la transaction (TRA) conduite par le PSP (inférieur à 500 € / avec un encadrement par des taux de fraude à ne pas dépasser / suivi trimestriel de l’évolution des taux de fraude par les PSP émetteur et les PSP acquéreurs).
Recevez nos publications