1–2–3 La Déesse Pay est de retour, pour un Règlement de Comptes

Cedric Coiquaud
3 min readJul 6, 2023

--

Le 28 juin dernier, la Commission Européenne a diffusé une proposition de 3ème Directive pour les Services de #Paiements ! Et, surprise, cette #DSP3 est accompagnée… d’une proposition de Règlement d’application ! De quoi faire frémir les établissements bancaires.

Appi vous livre sa petite synthèse analytique de cette histoire de #PSD3 en deux coups de cuillère à pots. Chop-chop.

A quoi ça sert ?

Source : Rapport 2020–2021 Banque Centrale Européenne

La baisse des taux de fraudes, en valeurs et en montant, traduisent une réussite de la DSP2 et de la suppression de l’OTP SMS au profit d’une notification in-app.

Toutefois, la période du COVID a donné lieu à de nouvelles fraudes, particulièrement sophistiquées : phishing, fraudes à l’identité, faux sites internet, spoofing téléphoniques : les arnaques se professionnalisent, des filières se montent.

Ojectifs Principaux de la DSP3

Objectifs principaux de la 3ème Directive sur les Services de Paiements

Deux axes principaux

Au delà du Règlement d’Application, mettant les établissements sous contraintes d’application immédiate, deux axes sont à retenir :

1. Meilleure lutte contre la fraude

  • Pour mieux lutter contre la fraude, les prestataires de services de paiement pourront partager entre eux des informations relatives à la fraude.
  • Le dispositif d’authentification forte se trouve renforcé, notamment par des mesures d’analyses de risques, de vigilances à la volée, ainsi que des reportings réguliers.
  • Nouvelle obligation pour tous les virements : un système de vérification de la correspondance entre le numéro IBAN du bénéficiaire et le nom du compte devra être mis en place.

Ce dernier point à lui seul génère une certaine appréhension des établissements, qui s’en trouvent contraints d’ouvrir à nouveau leurs capots sur leurs connecteurs SEPA. A l’heure de la mise en place de l’Instant Payment SEPA, réaliser ces vérifications en moins de dix secondes, à la volée, pourrait s’avérer complexe.

2. Partage de données financières

Un cadre entièrement nouveau et complètement aligné avec GDPR est proposé pour encadrer les échanges des données d’un client détenues par un détenteur (une banque, par exemple) et qui pourraient être transmises à un utilisateur des données (une entreprise tech, par exemple).

Le consentement éclairé du client doit être exprès et sans équivoque. Un tableau de bord sur les données partagées doit être construit et accessible par le client. Au travers de ce tableau de bord, le client doit pouvoir avoir un contrôle total sur ses données.

La proposition de la Commission Européenne n’est autre que de permettre au client de recevoir des informations sur des produits et services financiers moins chers et de meilleure qualité, sur la base des données qu’il aura partagées !

De surcroît, le format de ces données devra respecter des normes de cybersécurité qui restent encore à préciser ; notamment : format sécurisé, infrastructures sécurisées. La norme ISO 27001 n’est pas évoquée, mais transparaît entre les lignes.

Enfin, un régime de responsabilité en cas de violation des données est proposé, avec des propositions de mécanismes de règlement des litiges.

Quelques autres points notables :

  • Les droits des consommateurs se trouvent améliorés à plusieurs égards : meilleure clarté sur les frais, plus de droits lors de gels des avoirs, obligations de remboursements par les banques en cas de fraude, obligations de vigilance et de sensibilisation.
  • Des règles sont définies pour permettre aux détaillants de fournir des espèces même si aucun achat n’a eu lieu ; le cadre des distributeurs de billets indépendants est également précisé.
  • Les PSP non bancaires peuvent accéder à tous les systèmes de paiement de l’UE, avec des garanties appropriées, et en garantissant les droits de ces prestataires à un compte bancaire.

Si vous souhaitez en savoir plus, avez des questions sur les évolutions que vous devez apporter à votre système d’information : contactez-nous !

--

--

No responses yet