Comprendre les enjeux
de sécurité de la DSP2*

* Directive (UE) 2015/2366 concernant les services de paiements dans le marché intérieur

{ Qu'est ce que la DSP2 ? }

A la suite de la DSP1 qui a permis de fixer au niveau de l’Espace Economique Européen un cadre juridique cohérent et commun pour les services de paiement, la DSP2 poursuit deux objectifs principaux :

  • Adapter les règles existantes aux services de paiements électroniques (paiements par internet et paiements mobile) en établissant notamment un ensemble de règles visant à garantir un environnement plus sûr en matière de sécurité des paiements (authentification forte)
  • Mettre en place un cadre réglementaire propice à l’émergence de nouveaux acteurs (agrégateurs et initiateurs de paiement) et au développement de solutions de paiement innovantes.

Les enjeux :

  • Sécuriser l’accès à vos comptes de paiement par des acteurs bancaires et non bancaires (sites marchands, Fintech, …) pour vos opérations de paiement ou de consultation.
  • Mieux identifier et mieux maîtriser ces nouveaux partenaires (TPP)

La sécurité est une préoccupation majeure de la DSP2. C’est pourquoi l’ensemble des prestataires de services de paiement devront assurer l’authentification forte du client lorsqu’elle est requise.

{ Quels sont les nouveaux acteurs ? }

Il s’agit des prestataires de services de paiement tiers (qui ne détiennent pas les comptes des clients) ou « PSP tiers » (en anglais TPP) :

Icon initiateur de paiements

Les agrégateurs

Les agrégateurs (en anglais AISP) proposent aux clients des services en ligne d’information sur les comptes de paiement permettant notamment de bénéficier d’une vision consolidée sur une seule interface. Ces acteurs doivent être agréés par l'Autorité de Contrôle Prudentiel et de Résolution (ACPR).

Icon initiateur de paiements

Les initiateurs de paiements

Les initiateurs de paiement (en anglais PISP) permettent d’initier depuis leur interface, à la demande du titulaire du compte, un ordre de paiement transmis à la banque teneur du compte. Ces acteurs doivent être agréés par l’ACPR.

Icon initiateur de paiements

Les émetteurs de moyens de paiements

Les émetteurs d’instruments de paiement liés à une carte (en anglais PIISP).

{ Qu'est ce que l’authentification forte ? }

L’authentification forte (en anglais Strong Customer Authentification ou SCA), ou authentification à deux facteurs, combine l’utilisation de deux éléments parmi les trois catégories suivantes :

  • Quelque chose que l’on sait (mot de passe, code PIN…),
  • Quelque chose que l’on possède (ordinateur, téléphone mobile…),
  • Quelque chose que l’on est (empreinte digitale, voix…).

La DSP2 impose l’authentification forte du titulaire du compte lorsque celui-ci :

  • Accède à son compte de paiement en ligne (pour une simple consultation),
  • Initie une opération de paiement électronique (virement ou paiement par carte),
  • ou exécute une action à distance présentant un risque élevé de fraude.

{ Quels changements pour moi ? }

L'accès à votre espace client Banque en ligne pour la consultation de vos comptes nécessitera une authentification forte de votre part à intervalle rapproché (tous les 90 jours).

La validation de certaines opérations de paiements électroniques impliquera l’utilisation systématique d’un code à usage unique.

Nos dispositifs actuels d'authentification forte sont :

  • V-P@ss,
  • Code à usage unique, envoyé sur votre numéro de téléphone.

{ Authentification
banque en ligne }

Schema explicatif des étapes d'authentification

{ Paiement
en ligne }

Schema explicatif des étapes de paiement

{ Authentification
comptes agrégés }

Schema explicatif des étapes d'authentification

{ Que dois-je faire ? }

Schéma actions utilisateurs Schéma actions utilisateurs Accéder à la page V-P@ss

{ La DSP2 et la naissance des API }

Pour permettre la communication ouverte et sécurisée entre tous les acteurs du paiement telle que prévue par la DSP2, les API se sont présentées comme la solution technique.

L’Interface de Programmation Applicative (en anglais Application Programing Interface ou API) est une interface qui propose un service et fournit les moyens technologiques de connecter différentes applications pour échanger des données avec des tiers de façon simple et sécurisée.

Ainsi les API assurent à la fois l’égalité d’accès pour tous les acteurs et la sécurité des données des clients afin de permettre l’initiation d’ordres de paiement et la récupération des informations sur les comptes de paiement.

{ Pour aller plus loin }

API
Acronyme pour Application Programming Interface - Interface qui expose un service. Elle fournit les moyens technologiques de connecter différentes applications et échanger de données avec des tiers de façon simple et standard.
TPP
Acronyme pour Third Party Provider – Regroupe tous les nouveaux acteurs « FinTech » qui vont proposer des services bancaires.
FinTech
Terme désignant les entreprises, généralement des start-ups, qui évoluent dans le secteur de l’innovation technologique applicable aux services financiers et bancaires.
AISP
Acronyme pour Account Information Service Provider – Prestataire fournissant un service de consolidation des informations d’un ou plusieurs comptes détenus par un client auprès d’un ou plusieurs ASPSP.
ASPSP
Acronyme pour Account Servicing Payment Service Provider – Etablissements bancaires ou de crédit qui détiennent les comptes et les fonds de leurs clients, tels que les banques traditionnelles.
PIISP
Acronyme pour Payment Instument Issuers Service Provider – Emetteur de moyen de paiement ayant la possibilité d’interroger directement l’établissement gestionnaire de compte (ASPSP) afin d’obtenir une confirmation de disponibilité des fonds.
PISP
Acronyme pour Payment Initiation Service Provider – Prestataire proposant un service consistant à initier un ordre de paiement à la demande d’un client payeur à partir d’un compte bancaire détenu chez un ASPSP.
Chargement...