La nouvelle version de la Directive sur les Services de Paiement (DSP2) vise à harmoniser davantage la réglementation sur les paiements. Fin 2017, l'Autorité bancaire européenne (ABE) a publié la version finale des NTR (Normes Techniques de Réglementation). Elles entrent en vigueur dès le 14 septembre prochain. Or, toutes les entreprises ne sont pas encore prête…
Cette nouvelle réglementation européenne constitue un élément fondamental de la législation sur les paiements en Europe. Elle aura un impact important sur l'écosystème financier et l'infrastructure des banques, des fintechs et des entreprises ayant recours aux données de paiement.
La directive DSDP 2 a pour ambition de faciliter l’utilisation des services de paiement électronique sur Internet en les rendant moins chers et plus sécurisés. En contrepartie, elle introduit de nouvelles exigences en matière de sécurité pour l'initiation, le traitement des paiements électroniques, ainsi que la protection des données financières des consommateurs.
Par ailleurs, elle reconnaît et réglemente les prestataires de services de paiement tiers (PSP tiers) qui sont autorisés à accéder aux comptes, à agréger leurs données et à initier les services de paiement. Les organismes de réglementation nationaux et les banques individuelles doivent donc élaborer des solutions ou s’appuyer sur des partenaires compétents pour gérer, entre autres, cette complexité.
Cette complexité concerne notamment l’authentification forte du client (SCA). Il faut au moins deux facteurs d’identification (code, mot de passe, appareil à disposition, donnée biométrique…) pour les paiements en ligne supérieurs à 30 euros.
Or, à quelques mois de cette échéance, tout le monde n’est pas prêt. D’après un sondage Cybersource réalisé en février 2019, la moitié des marchands (46 %) estime ne pas être suffisamment préparée à la SCA.
Selon Nexway, l’un des principaux fournisseurs de solutions pour monétiser les activités digitales et connecter les entreprises au marché numérique mondial, les entreprises doivent :
- S’équiper d’une solution dynamique et intelligente de lutte contre la fraude efficace ;
- Migrer vers le bon protocole 3DS ;
- Mettre en place une stratégie de gestion des exemptions et réduire les frictions.
Tout comme le RGPD renforce les droits des internautes à propos de leurs données personnelles, cette directive renforce les droits des consommateurs. Ainsi, la franchise restant à la charge du client - en cas de paiement frauduleux par carte avant opposition - est rabaissée à 50 euros (contre 150 auparavant), et sur des délais plus courts.