Comprendre la DSP3 : une vue d'ensemble de l'authentification forte des clients et de la prévention de la fraude sur les paiements

Afin de répondre à l'évolution du paysage des services de paiement et de la sécurité des paiements, la Direction générale des services financiers (DG FISMA) de la Commission européenne a récemment dévoilé son projet de proposition pour la DSP3, le successeur tant attendu de la directive révisée sur les services de paiement (DSP2). Dans cet article, nous présentons et discutons les propositions de la Commission européenne relatives à l'authentification forte du client (SCA) et à la sécurité des paiements, en nous concentrant explicitement sur la banque en ligne.

S'adapter aux nouveaux défis de la fraude sur les paiements

L'émergence de la DSP3 est motivée par plusieurs facteurs qui soulignent la nécessité d'une mise à jour de la réglementation. Alors que la DSP2 a réussi à endiguer la fraude par prise de contrôle de compte (ATO) grâce au SCA, de nouvelles menaces telles que la fraude par paiement poussé autorisé (APP) ont fait leur apparition. Ce type de fraude exploite la confiance et le consentement des utilisateurs pour initier et autoriser des paiements, ce qui représente un défi important.

En outre, l'adoption de l'open banking s'est heurtée à des obstacles dus aux limitations d'accès aux données pour les fournisseurs de services d'information sur les comptes (AISP) et les fournisseurs de services d'initiation de paiement (PISP). L'inégalité des chances pour les prestataires de services de paiement (PSP), ainsi que la persistance de systèmes de paiement largement nationaux malgré la fourniture de services transfrontaliers, soulignent la nécessité de réviser la DSP3.

Le cadre législatif de la DSP3

La proposition de DSP3 comprend deux actes législatifs : une directive et un règlement. La directive (appelée directive sur les services de paiement 3) se concentre sur l'agrément et la surveillance des établissements de paiement et de monnaie électronique ; elle remplace la directive sur la monnaie électronique. Le règlement (appelé règlement sur les services de paiement) définit les règles applicables aux prestataires de services de paiement offrant des services de paiement et de monnaie électronique. Notamment, le règlement sur les services de paiement s'applique directement dans tous les États membres, ce qui permet d'éviter les divergences nationales résultant de la transposition dans la législation nationale.

En outre, l'article 89 du règlement demande à l'Autorité bancaire européenne (ABE) d'élaborer des normes techniques réglementaires (RTS) qui remplaceront probablement les normes PSD2 existantes. Ces nouvelles RTS devraient couvrir des domaines tels que :

• SCA et exemptions
• Le contrôle du risque de transaction
• Les mesures de sécurité pour les justificatifs de sécurité personnalisés
• Portefeuille européen d'identité numérique

Évolution de l'authentification forte du client

Les articles 85 à 89 du règlement sur les services de paiement (RSP) détaillent les exigences relatives à l'authentification forte du client, un point central de la DSP3 - avec plusieurs changements proposés, tels que :

1. Définition de l'ACS : la définition de base de l'ACS, fondée sur des facteurs de connaissance, de possession ou d'inhérence, reste conforme à la DSP2. Toutefois, en vertu de l'article 85, les éléments d'authentification ne doivent plus appartenir à des catégories différentes (possession, connaissance ou inhérence) tant que ces éléments sont indépendants.

2. SCA par les AISP : L'exigence de la PSD2 d'effectuer un SCA au moins tous les 90 jours en cas d'accès via un fournisseur de services d'information sur les comptes (AISP) a suscité de nombreuses préoccupations d'utilisation de la part des AISP, et est abordée dans les articles 85 et 86 du PSR. Ces articles réduisent les frictions pour les prestataires de services d'information sur les comptes et leurs utilisateurs en permettant aux prestataires de services d'information sur les comptes d'effectuer eux-mêmes l'ACS au lieu de s'en remettre à l'ACS des prestataires de services de paiement (c'est-à-dire les prestataires de services d'information sur les comptes ou les banques).

3. Diversité des mécanismes d'ACS : Les prestataires de services de paiement sont tenus de garantir l'accessibilité de l'ACS à tous les utilisateurs, y compris ceux qui sont handicapés ou dont les compétences numériques sont limitées. En outre, l'article 88 interdit aux prestataires de services de paiement d'adopter une approche exclusivement mobile de l'ACS. Globalement, cela signifie que les prestataires de services de paiement peuvent utiliser des mécanismes d'authentification mobile, mais qu'ils doivent également prévoir d'autres mécanismes d'ACS (par exemple, des jetons matériels).

4. Externalisation de l'ACS : les PSP sont encouragés à collaborer avec des prestataires de services techniques pour l'ACS, à condition qu'ils se conforment aux lignes directrices de l'ABE sur l'externalisation et à la future loi sur la résilience opérationnelle numérique.

Relever les défis de la fraude aux paiements

La lutte contre la fraude sur les paiements est un aspect crucial de la sauvegarde de l'écosystème financier et de la protection des consommateurs contre les activités malveillantes. La proposition de règlement sur les services de paiement (RSP) introduit un ensemble complet de mesures anti-fraude pour répondre aux défis croissants de la fraude sur les paiements, reflétant la nature en constante évolution des tactiques frauduleuses employées par les criminels. La proposition de RSP répond à l'évolution des défis de la fraude sur les paiements en introduisant des mesures anti-fraude supplémentaires, telles que :

1. Le service de vérification de la concordance entre l'IBAN et le nom : L'article 50 du règlement sur les services de paiement (RSP) impose aux prestataires de services de paiement (PSP) de fournir un service permettant aux payeurs de vérifier la concordance entre les noms et les numéros IBAN des bénéficiaires. L'objectif de ce service est de lutter contre la fraude basée sur l'ingénierie sociale, qui se produit lorsque les payeurs sont incités à transférer de l'argent à un IBAN qui appartient à un fraudeur. Un service similaire appelé "Confirmation du bénéficiaire" existe dans des pays comme les Pays-Bas et le Royaume-Uni.

2. Contrôle des transactions : L'article 83 prévoit des mécanismes de suivi des transactions pour soutenir la mise en œuvre de l'ACS et la prévention de la fraude. Ces exigences étaient déjà présentes dans les RTS sur le SCA dans le cadre de la PSD2, mais elles sont maintenant directement incluses dans le PSR, ce qui souligne leur importance.

3. Partage des données sur la fraude : Les PSP sont tenus de partager collectivement les informations relatives à la fraude, ce qui renforce l'efficacité de la surveillance des transactions.

4. Formation des utilisateurs : L'article 84 oblige les prestataires de services de paiement à éduquer leurs clients en matière de fraude sur les paiements, notamment en ce qui concerne l'identification et la prévention des activités frauduleuses. Cette obligation n'est pas nouvelle, mais les prestataires de services de paiement doivent désormais concentrer leurs efforts sur la fraude par paiement direct autorisé (Authorized Push Payment, APP), qui prend de plus en plus d'ampleur.

5. Responsabilité en cas de fraude : L'article 59 traite de la responsabilité en cas de fraude par laquelle la victime est manipulée par un fraudeur qui prétend être un employé du PSP de la victime et utilise illégalement le nom, l'adresse électronique ou le numéro de téléphone du PSP. Dans ce cas, le prestataire de services de paiement de la victime doit rembourser à cette dernière le montant total de l'opération de paiement autorisée frauduleuse, à condition que la victime ait, sans délai, signalé la fraude à la police et informé son prestataire de services de paiement.

Calendrier et prochaines étapes de la législation PSD3

La prochaine étape du processus législatif consiste en un examen de la proposition de la Commission par le Parlement européen et le Conseil. Il convient actuellement de préciser si le Parlement examinera la proposition avant les élections de mai 2024 ou s'il reportera l'examen à la législature suivante, après les élections.

Le PSR entre en vigueur le vingtième jour après sa publication au Journal officiel de l'Union européenne et s'applique 18 mois plus tard. Si la proposition finale du PSR est publiée d'ici la fin de l'année 2023, le PSR entrera en application au cours du second semestre 2025. L'élaboration des RTS se fait généralement au cours des 18 mois qui suivent l'entrée en vigueur du PSR et/ou de la PSD3.

Se préparer à la DSP3

Au fur et à mesure que le processus législatif se déroule, les prestataires de services de paiement doivent élaborer des stratégies et s'adapter. Commencez par vous concentrer sur les points suivants :

1. L'évaluation de l'impact : Identifiez les fonctions concernées et évaluez les implications de la DSP3 pour chacune d'entre elles, en tenant compte des canaux de communication avec les clients, de la sécurité, de la prévention des fraudes et des services juridiques.

2. Intégration stratégique : Intégrez les impacts de la DSP3 dans la planification stratégique de votre organisation, en reconnaissant l'importance des changements proposés.

3. Mise en œuvre de la conformité : Mettez en œuvre les changements et les développements de processus nécessaires pour garantir la conformité à la DSP3 dans les délais impartis.

Webcast

Comment les banques et les prestataires de services de paiement peuvent-ils se préparer dès maintenant à la DSP3 ?

Frederik Mennes, expert de la DSP3, fait le point sur le champ d'application et le calendrier prévu de la DSP3, sur la structure législative et sur ce que les banques et les prestataires de services de paiement doivent faire dès maintenant pour se préparer.

Regarder