Auteurs : Sandra Gobalakichenin et Bruno Joanides
Date : Septembre 2015
Revue Banque : http://www.revue-banque.fr/management-fonctions-supports/article/agregateurs-initiateurs-paiement-face-au-risque-fr
La DSP2 entérine la création de nouveaux acteurs du paiement (services d’accès aux comptes et initiateurs de paiement), mais elle leur impose des obligations, afin de protéger le consommateur contre les fraudes. Il leur faudra aussi respecter les normes techniques que doit émettre l’ABE pour assurer la sécurité de ces services de paiement. Les banques enfin devront s’adapter à cette nouvelle donne…
Les actes de fraudes ont de nombreuses conséquences sur les établissements financiers : ils peuvent notamment entraîner des pertes financières, un risque de sanction ou encore nuire à la réputation de l’établissement. Dans le secteur bancaire, la lutte contre la fraude fait l’objet d’investissements lourds, afin de limiter la survenance de tels incidents.
Le développement d’une éthique d’entreprise et d’actions de sensibilisation, destinées à procurer aux salariés un sentiment d’appartenance, est souvent mis en place au sein des banques, afin de prévenir le risque de fraude interne. Face au risque de fraude externe qui se caractérise par des méthodes de plus en plus sophistiquées (cybercriminalité, malwares/phishing/hacking, fraude e-commerce et m-commerce), une maîtrise de la sécurité du système d’information et la mise en place d’un dispositif de détection et d’évaluation des risques jouent un rôle déterminant, tout autant que la mise en place de procédures adaptées aux nouvelles menaces.
Face aux mutations rapides du secteur des moyens de paiement, la maîtrise du risque de fraude représente un véritable challenge pour les établissements financiers et les entreprises. Tous deux doivent se doter de moyens leur permettant de s’adapter en permanence à cet environnement changeant.
De plus, le législateur cherche à faire de l’Union européenne une zone innovante pour les services de paiement en ouvrant notamment ce marché à de nouveaux acteurs. Cette volonté initiée par la Directive sur les services de paiement en 2009, se confirme notamment par la publication récente de la deuxième Directive sur les services de paiement (DSP2), qui permettra la création de nouveaux acteurs du paiement : les PSP tiers [1] (service d’accès aux comptes [2] et initiateur de paiement). Face à ces nouveaux acteurs, les banques, tout comme les établissements de paiement [3] et les e-commerçants, devront se positionner de manière stratégique et sécuritaire. L’objectif étant de trouver un juste équilibre entre simplicité d’usage de ces nouveaux moyens de paiement et la bonne maîtrise des risques qui y sont associés.
Les PSP tiers : agrégateur de données et initiateur de paiement
La DSP2 définit l’agrégation de données comme un service de paiement consistant à fournir à un utilisateur des informations consolidées liées à un ou plusieurs comptes de paiement (qui peuvent donc être domiciliés dans des banques ou établissements de paiement différents). Alors que l’initiation de paiement se définit comme un service permettant d’initier un ordre de paiement à la demande de l’utilisateur. À ce jour, le service d’agrégation de données est déjà disponible sur le marché français. Des acteurs comme Linxo ou Bankin’ se sont notamment positionnés sur ce domaine. Le service d’initiation de paiement est quant à lui actuellement très peu développé en France, mais plus récurrent dans d’autres États membres : on peut notamment citer Sofort et IDeal, respectivement leaders sur ce marché en Allemagne et aux Pays-Bas.
Le fonctionnement de ces deux services est basé sur l’accès [4] par le PSP tiers aux informations du (des) compte(s) bancaire(s) du client. Les banques devront donc autoriser l’accès aux comptes de leurs clients et en aucun cas bloquer ou entraver les activités des PSP tiers.
Se pose alors une vraie problématique de risque liée à la sécurité du système d’information des établissements gestionnaires de comptes, puisque les PSP tiers auront accès aux informations confidentielles des clients et pourront générer des paiements via ces comptes, d’autant plus que la DSP2 indique qu’aucune relation contractuelle ne sera obligatoire entre le PSP tiers et la banque « teneur de compte » [5].
Face à ce risque, les établissements bancaires (établissement de crédit, établissement de paiement et de monnaie électronique) vont devoir déployer des dispositifs afin d’assurer la sécurité de ces activités et encadrer cette relation tripartite.
En favorisant l’émergence de nouveaux acteurs de paiement, la DSP2 initie donc un véritable paradoxe. En effet, bien qu’elle vise à donner plus de choix aux consommateurs, elle augmente également les risques liés à la sécurité des moyens de paiement.
Un cadre strict initié par la DSP2
L’arrivée des PSP tiers sur le secteur des paiements va permettre d’augmenter la concurrence sur ce marché. Les services proposés représenteront des alternatives intéressantes et sont annoncés comme étant plus économiques que les moyens de paiement traditionnels. Ils faciliteront sur de nombreux points la vie des acheteurs et des commerçants. La DSP2 pose un nouveau socle législatif, véritable moteur pour l’innovation financière, mais elle définit également un cadre strict. En effet, des obligations lourdes incomberont aux PSP tiers afin de protéger le consommateur contre la survenance de fraudes.
En France, les PSP tiers devront en premier lieu être agréés par l’ACPR [6] et ainsi être habilités à fournir les services de paiement en question [7]. Les PSP tiers pourront également choisir de se mettre en conformité en devenant agent de prestataire de services de paiement, ce schéma leur permettra de jouir de l’agrément du prestataire de services de paiement mandant. Au-delà de l’obtention de l’agrément qui représente un prérequis obligatoire, les PSP tiers seront tenus à un certain nombre d’obligations [8]. Ils devront notamment veiller à ce que les informations d’identification de sécurité personnalisées de l’utilisateur de services de paiement, provenant de son établissement teneur de compte, ne soient pas accessibles à des tiers afin de limiter les risques liés à la fraude. Ils devront également s’assurer de ne pas stocker ou utiliser des données de l’utilisateur non nécessaires à la fourniture de leur service. Le cadre sécuritaire qui devra être mis en œuvre par les PSP tiers et les banques est déjà longuement traité par le texte de la DSP2, cependant l’Autorité Bancaire Européenne interviendra également sur ce périmètre pour en préciser les exigences.
L’enjeu des guidelines de l’ABE
L’Autorité Bancaire Européenne jouera également un rôle déterminant dans l’encadrement de ces nouveaux services de paiement. En effet, conformément au règlement européen [9] n° 1093/2010, l’une des missions principales de l’ABE [10] est d’harmoniser la réglementation bancaire au niveau européen, cela passe notamment par l’émission de normes techniques destinées aux établissements financiers dans toute l’Union Européenne.
La sécurité et la prévention des fraudes liées aux moyens de paiement sont des enjeux majeurs pour l’ABE, qui a notamment publié un ensemble de recommandations destinées à assurer la sécurité des moyens de paiement par Internet [11]. Dans ces recommandations, l’ABE s’est clairement positionnée face au risque de fraude en définissant notamment des mesures strictes d’authentification des services d’initiation de paiement. Ces mesures d’authentification, qui sont à appliquer à compter du 1er août 2015, sont basées sur l’application d’au moins deux des éléments suivants :
- quelque chose que seul l’utilisateur connaît (mot de passe statique, code, numéro d’identification personnel) ;
- quelque chose que seul l’utilisateur possède (jeton, smart card, téléphone mobile) ;
- quelque chose qui caractérise l’utilisateur (données biométriques : empreintes digitales, etc.).
Les éléments cités devront être indépendants les uns des autres. De plus, au moins l’un d’entre eux ne doit pas être réutilisable et réplicable (sauf pour le troisième). Pour finir, ces éléments ne devront pas présenter un risque de vol sur Internet.
Face à la révision de la DSP, l’ABE est en charge d’émettre dans les 12 mois à partir de l’entrée en vigueur de la DSP2, des guidelines ayant plusieurs objectifs, dont celui d’assurer la sécurité des nouveaux services de paiement et notamment de protéger les trois parties impliquées dans la relation, contre le risque de fraude. Elle définira notamment les standards sur les aspects de sécurité qui devront être appliqués par les PSP tiers et les établissements « teneurs de compte ».
Le contenu des guidelines de l’ABE sera déterminant : ces normes techniques devront prendre en considération l’éventail des risques inhérents aux nouveaux services de paiement. Elles devront notamment définir de manière stricte les processus d’identification, d’accès aux comptes et d’exécution de paiement, afin de prévenir au maximum la réalisation de fraude. Cependant, ces normes ne devront pas représenter un frein au développement de ces nouvelles activités. Afin d’assurer la réalisation de normes techniques pertinentes pour l’ensemble des parties prenantes, la DSP2 prévoit que l’ABE puisse solliciter les établissements non bancaires concernés, pour l’élaboration de ces normes.
Une évolution contrainte pour les banques
La DPS2 légitimera le développement des services d’initiation de paiement et d’agrégation de données et imposera aux établissements bancaires de respecter un certain nombre de contraintes en faveur de ces nouveaux acteurs. Les banques seront notamment dans l’obligation de transmettre les informations des comptes clients aux PSP tiers. Elles ne seront pas maîtresses de l’organisation du schéma de transfert d’informations, puisqu’elles devront en premier lieu respecter les normes techniques imposées par l’ABE. Les banques vont ainsi devoir se positionner face à l’accroissement du risque de fraude impliqué par ces nouvelles activités. Des modifications du dispositif de contrôle interne et des actions de sensibilisation seront primordiales. L’adaptation des systèmes d’information des banques représentera également un enjeu crucial pour celles-ci, qui n’auront d’autre choix que de permettre à des tiers agréés de venir s’y connecter.
Au-delà de l’aspect sécuritaire, le développement de nouvelles stratégies afin de trouver sa place sur le marché des PSP tiers est capital. Cependant, le choix pour les banques de se positionner sur ce nouveau marché et de concurrencer les PSP tiers n’est pas une évidence. L’initiation de paiement [12] par exemple, peut concurrencer les paiements par carte et engendrer ainsi un risque de concurrence interne.
Les mutations envisagées du secteur des services de paiement imposent aux banques de faire preuve de réactivité, afin de s’adapter dans les meilleures conditions aux changements engendrés par l’entrée en vigueur de la DSP2. A minima, pour être prêtes à « servir » les PSP tiers dans le délai imposé par le législateur européen mais aussi pour développer des services innovants qui concurrenceront les services proposés par ces nouveaux acteurs.
[1]Il est à souligner que dans la dernière version de la DSP2, la notion de « tiers » n’apparaît plus, cependant pour plus de clarté et assurer la distinction avec les PSP « historiques », nous avons conservé cette appellation. [2]Ou agrégateur de données. [3]Catégorie créée par la DSP1. [4]Log in et mot de passe. [5]Cf. articles 58 et 59 de la DSP2. [6]Autorité de contrôle prudentiel et de résolution. [7]Les services d’initiation de paiement et d’agrégation de données sont définis à l’annexe 1 de la DSP2. [8]Celles-ci sont définies aux articles 58 et 59 de la DSP2. [9]Règlement (UE) n°1093/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité bancaire européenne). [10]Autorité bancaire européenne. [11]Recommendations for the security of internet payments. [12]Dont le moyen de paiement sous-jacent est le virement (SCT)