06/05/2022

Qu’est-ce que la réglementation DSP2 ?

_____________________________________________________

Réglementation DSP2 : que prévoit-elle ?

La deuxième directive européenne sur les services de paiement, entrée en vigueur en 2018, a pour objectif de renforcer la sécurité des paiements en Europe, mais aussi d’harmoniser le règlement dans cette même zone. Ceci passe notamment par la mise en place de l’authentification forte, un dispositif obligatoire. Quelles sont les spécificités de la DSP2 ? Comment fonctionne l’authentification forte ? Aumax pour moi répond à toutes vos questions sur le sujet.

Qu’apporte la directive européenne sur les services de paiement ?

Entrée en vigueur en 2018, la deuxième directive européenne sur les services de paiement (DSP2) fait suite à la DSP1. Nous vous expliquons les changements qu’elle apporte.

Qu’a apporté la DSP1 ?

Afin de réglementer les services de paiement, l’Union européenne a mis en place la DSP1, entrée en vigueur en décembre 2009. Celle-ci avait pour but de protéger les consommateurs lors de leurs paiements, mais également de renforcer la qualité des services bancaires et des commerces.

La DSP1 a apporté de grands changements :

• Le renforcement de la sécurité des paiements en ligne en limitant le risque de fraude pour protéger à la fois les prestataires de paiement, les banques et les consommateurs.
• L’accélération de la mise en place de la Single Euro Payments Area (SEPA), c’est-à-dire l’espace unique de paiement en euros afin de faciliter les paiements dans cette zone.
• La création de l’appellation “prestataires de service de paiements” (PSP) afin de permettre à des sociétés, en plus des banques, d’encadrer des échanges économiques.

Quels sont les objectifs de la DSP2 ?

La DSP2 désigne la deuxième directive européenne sur les services de paiement. Elle est entrée en vigueur le 13 janvier 2018 afin de mettre en place des règles renforçant la sécurité des paiements au niveau de la zone européenne. L’accroissement des échanges économiques en ligne et l’apparition des fintechs (dont Aumax pour moi fait partie) nécessitaient en effet que de nouvelles normes soient imposées.

La DSP2 se fixe plusieurs objectifs :

• Accroître la sécurité des paiements en ligne à la fois pour les consommateurs et les entreprises.
• Harmoniser la réglementation autour des paiements en ligne au sein de l’Europe.
• Moderniser les services de paiement afin de rendre les transactions plus simples et rapides pour les consommateurs.
• Lutter contre les tentatives de fraudes de plus en plus présentes en raison de l’évolution des pratiques numériques.

Qui est concerné par la DSP2 ?

La DSP2 impose des réglementations européennes qui touchent divers acteurs. Alors qui sont ces personnes concernées par la réglementation en vigueur ?

Les consommateurs

Pour les consommateurs, la DSP2 engendre de nombreux changements bénéfiques. Elle permet tout d’abord de réduire le risque d’être victime de fraudes lors d’un paiement. Avec l’évolution des pratiques numériques, il est important que les achats en ligne soient les plus sécurisés possibles en Europe. Pour la même raison, les données personnelles des consommateurs sont extrêmement protégées. En outre, il est intéressant de souligner le fait que la DSP2 impose de rendre les paiements en ligne beaucoup plus simples et rapides. Cela permet de faciliter les échanges économiques dans la zone UE.

Les banques et les prestataires de services de paiement (PSP)

Dans le cadre de la DSP2, de nouvelles règles sont également imposées aux banques et aux PSP. Les échanges doivent obligatoirement pouvoir être suivis grâce à la mise en place de certificats électroniques d’identification. Ces certificats sont sécurisés et protègent les données transmises entre la banque et le prestataire du paiement. Les banques sont également obligées de mettre en place l’authentification forte pour renforcer la sécurité des transactions, nous vous expliquons le principe plus loin. Il est également important que les banques aient des API (interface de programmation d’application) conformes à la réglementation. En appliquant les règles du DSP2, les banques augmentent la confiance de leurs clients à leur égard.

Les agrégateurs de comptes

Les agrégateurs de comptes sont également touchés par la réglementation de la DSP2. Ces agrégateurs permettent aux utilisateurs d’avoir accès à une plateforme en ligne (une application) qui leur offre une vision globale sur leurs différents comptes bancaires. La DSP2 oblige les agrégateurs de comptes à sécuriser au maximum les transactions ainsi que les informations qu’ils détiennent. À l’instar des banques, leurs plateformes doivent avoir des API conformes. Les agrégateurs de comptes reçoivent alors un agrément fourni par l’Autorité de contrôle prudentiel et de résolution (ACPR). Sans cet agrément, il leur est impossible d’exercer leur activité. Pour agréger un compte, l’utilisateur doit passer par l’authentification forte.

Quelles nouvelles normes la DSP2 met-elle en place en Europe ?

La nouvelle réglementation imposée par la DSP2 comporte plusieurs changements importants, pour les consommateurs comme pour les entreprises.

L’abaissement de la franchise en cas de paiement frauduleux

Avant l’entrée en vigueur de la DSP2, les titulaires de cartes bancaires étaient soumis à une franchise de 150€ en cas de retrait frauduleux avant opposition. Les établissements bancaires étaient alors tenus de rembourser la totalité de la somme volée, en laissant un montant de 150€ à la charge du titulaire. Avec la DSP2, cette franchise a été abaissée à 50€. Notez qu’elle ne concerne que les paiements réalisés avec saisie de votre code confidentiel. En cas de paiement frauduleux en sans contact, votre banque doit vous rembourser la totalité de la somme, sans franchise.

L’interdiction des pratiques de surfacturation

Les sites de e-commerce ont l’interdiction d’imposer des frais supplémentaires en cas de paiement avec une carte de crédit ou de débit. Auparavant, les consommateurs pouvaient payer jusqu’à 2% de frais supplémentaires calculés en fonction du prix de leurs achats. L’application de cette règle de la DSP2 a pour but de permettre aux consommateurs d’avoir le choix entre plusieurs modes de paiement. Les cartes concernées sont les Visa et les Mastercard, les titulaires de cartes d’affaires ou commerciales peuvent encore se voir imposer des frais.

L’obligation d’avoir recours à l’authentification forte

Comme nous l’avons déjà précisé, les pratiques commerciales sur le web ont beaucoup évolué et avec elles, de nouveaux enjeux sont apparus. Ces derniers concernent les risques de fraude qui sont devenus de plus en plus présents, notamment lorsqu’il s’agit d’usurpation d’identité. L’authentification forte, ou authentification à deux facteurs, a été mise en place pour cette raison. Elle offre une plus grande protection aux consommateurs lors de leurs paiements. Avant l’application de la DSP2, l’authentification se faisait avec un seul facteur (la saisie d’un mot de passe par exemple). Désormais, il faut que le consommateur s’authentifie de deux manières. Nous vous expliquons cela ci-dessous.

Comment authentifier un paiement en ligne ?

Afin de renforcer la sécurité autour des paiements en ligne, la DSP2 impose le recours à l’authentification forte, aussi connue sous le nom d’authentification à deux facteurs. Elle offre un niveau de protection maximal.

L’authentification forte : comment ça fonctionne ?

L’authentification forte impose au client de confirmer au moins deux des trois facteurs suivants :

• Un élément de connaissance, qui est soit son mot de passe, soit un code.
• Un élément de possession, qui peut être son téléphone par exemple.
• Un élément d’inhérence, qui permet de l’identifier en tant que personne (empreinte digitale ou reconnaissance vocale).

Très souvent, l’utilisateur devra ouvrir l’application de sa banque pour réaliser une opération et confirmer le paiement en ligne. Sur l’application de sa banque, il devra entrer un mot de passe ou faire reconnaître son empreinte digitale si son téléphone propose cette option. Auparavant, l’envoi d’un SMS contenant un code était privilégié, mais il n’était plus assez sécurisé.

Cette authentification à deux facteurs est devenue obligatoire à partir du 15 mai 2021. Les applications des banques présentent ce service sous différents noms dont le plus connu est Sécur’Pass. En tant que client d’une banque, vous devez l’activer depuis votre espace personnel. Il vous suffit ensuite de faire reconnaître votre empreinte ou de renseigner un code que vous seul connaissez. Ce code ou votre empreinte vous seront alors demandés à chaque paiement en ligne. Le service d’authentification forte est gratuit.

Quelles sont les exceptions ?

Les propriétaires de e-commerces ont tout à fait le droit de demander une exemption concernant l’authentification à deux facteurs.

Plusieurs situations peuvent être concernées :

• Les achats supérieurs à 30€ mais ne comportant pas de risque particulier ou les achats inférieurs à cette somme. Le taux de fraudes recensé sur le site du commerçant est alors analysé.
• Les abonnements ou les achats réguliers sur un même site commerçant. Dans le cadre d’un abonnement, le consommateur devra passer par l’authentification forte uniquement lors du premier paiement.
• Les opérations bancaires sur un site reconnu comme garant de confiance par le client. Chaque consommateur peut créer une “liste blanche” reprenant les noms des bénéficiaires de confiance afin d’éviter cette étape supplémentaire.
• Les achats sur un site présentant des chiffres faibles en termes de fraudes. Un commerçant peut demander à ce que son site soit évalué afin de ne pas imposer l’authentification forte à ses clients.
• Les transactions hors des pays SEPA ne sont pas concernées par l’authentification forte. Cela fonctionne aussi bien lorsque l’émetteur du paiement ou le titulaire de la carte ne sont pas basés dans cette zone.
• Les achats réalisés avec une carte professionnelle, aussi appelée carte d’affaires ne sont pas soumis à l’authentification forte. Seules les cartes personnelles sont concernées.
• Les transactions MOTO (Mail Order / Telephone Order) ne relèvent pas des paiements électroniques, elles ne sont donc pas concernées par cette authentification à deux facteurs.

Lorsqu’une exemption est demandée, le site du commerçant est alors évalué afin de déterminer si elle peut être accordée.

Comment vous équiper d’un moyen d’authentification sécurisé ?

Pour les sites de e-commerce, il est crucial que l’étape de paiement soit facile et rapide. Si vous possédez un site de ce type, vous devez donc vous faire accompagner dans la mise en place de l’authentification forte. Elle peut en effet provoquer quelques problèmes et vos clients risquent d’abandonner leur panier. Pour vous aider, pensez à faire appel à votre prestataire de paiement afin de l’intégrer au mieux à votre site. Il peut également évaluer les exemptions auxquelles vous pouvez prétendre et faciliter le parcours d’achat des utilisateurs de votre plateforme.

Et la DSP2 sans smartphone : comment ça marche ?

Certaines personnes ne possèdent pas de smartphone, ce qui peut poser problème pour l’authentification à deux facteurs mise en application par la DSP2. Des solutions ont été développées pour permettre à tous les consommateurs de s’authentifier.

Les alternatives possibles sont les suivantes :

• Demander un lecteur d’empreintes digitales : pour les personnes dont le smartphone ne comporte pas la technologie biométrique, il est possible de demander un appareil capable de lire les empreintes digitales.
• Demander un lecteur de codes : certaines banques vendent ces lecteurs aux personnes ne possédant pas de smartphone ou ne souhaitant pas télécharger l’application sur leur téléphone. Un code à 8 chiffres est alors délivré lors du paiement.

—

L’entrée en vigueur de la DSP2 a permis d’harmoniser le règlement autour des paiements en ligne dans toute l’Europe. Avec la mise en place de l’authentification forte, les transactions effectuées sur les sites marchands sont bien plus sécurisées. Cela permet notamment de lutter contre les pratiques frauduleuses se développant de nos jours.