C O N S E I L E N P A I E M E N T S

E T S E R V I C E S F I N A N C I E R S

Révision de la Directive sur les Services de Paiement (DSP2)

CONSULTING – ORGANISATION64 rue des Mathurins – 75008 Paris – Tél : 01 44 71 90 04 – Fax : 01 44 71 01 03 – E-mail : info@adn-conseil.comADN'co SA : SOCIETE ANONYME AU CAPITAL DE 216 000€ - RCS PARIS B 389 663 832 – SIRET 389 663 832 00027

Septembre 2016

C O N S E I L E N P A I E M E N T S

E T S E R V I C E S F I N A N C I E R S

A RETENIR

2

Réaffirmation du principe de recours à l’Authentification Forte, reposant sur l’authentification à double facteurs

Définition des exemptions à l’Authentification Forte

Accès au compte sous condition Paiement sans contact exonéré (50€/transaction et 150€ cumulés)

Protection de la confidentialité et de l’intégrité des PSC de l’utilisateur

Approche basée sur édiction de principes Détaillée dans les Guidelines : Security Measures

Communication entre les différents PSP (TPP et Banques gestionnaires de comptes) :

Pas de définition ni d’imposition de standards techniques et réglementaires spécifiques par l’EBA

Obligation pour les banques d’avoir une interface dédiée sécurisée (autre ou banque en ligne) avec le même niveau de services, fonctionnalités et accessibilité

Développée selon les standards de communication ouverts, universels, émis par les organisations de normalisation internationales ou européennes

Emission des certificats par un tiers de confiance qualifié retenue pour l’authentification des TPP pour accéder aux informations des utilisateurs de services de paiement

Calendrier :

Une transposition pour janvier 2018

Une entrée en vigueur des standards au plus tard en septembre 2018.

JANVIER 2016Entrée en vigueur

DSP

AOÛT – OCTOBRE 2016Consultation publique

JANVIER 2017Projet de RTS sur AF et

communications sécurisées

JANVIER 2018Fin du délai de

Transposition DSP 2

SEPTEMBRE 2018Entrée en vigueur du RTS

sur l’AF et communications sécurisées

C O N S E I L E N P A I E M E N T S

E T S E R V I C E S F I N A N C I E R S

CHAMP D’APPLICATION DE LA DSP 2

3

DSP 2

COMPLÉMENTS

Introduction de nouveaux acteurs :

DSP 2 encadre, régule et fait entrer dans son champ d’application 2 activités existantes qui n’étaient pas précédemment régulées :

Agrégation de comptes et Initialisation de paiement

Comment ? Création de 2 nouveaux statuts :

DSP 1

Réaffirmation des principes du recours à l’AF* pour les transactions à distance et cadrage des règles d’exemption

Sécurité des données

Authentification des utilisateurs de données

Interfaces d’accès aux comptes de paiement et échanges entre PSP

Responsabilité en cas de fraude

1 2

4

* Authentification Forte

Élargissement du champs d’application aux transactions n’impliquant qu’un seul PSP situé dans l’UE (il suffit d’un seul.)

3

PISP

Payment Initiation Service Providers

Initiation de paiement par accès direct au compte du client via la banque en ligne

AISP

Account Information Service Providers

Agrégation de compte par accès direct au compte des clients via la banque en ligne

Procédure d’agrément EP spécifique

Elargissement du droit des EP Emetteurs d’instruments de paiement :

Autorisation à interroger la Banque gestionnaire du compte pour connaitre la disponibilité des fonds mise en cohérence avec les nouveaux statuts d’acteurs

C O N S E I L E N P A I E M E N T S

E T S E R V I C E S F I N A N C I E R S 4

CONCRÈTEMENT COMMENT CELA SE TRADUIT?

DSP 2

COMPLÉMENTSDSP 1

1

2

Introduction de nouveaux acteurs

Élargissement des droits des EP

3

4

Élargissement du champs d’application

Réaffirmation de l’AF*

MANDAT POUR ÉDITER LES STANDARDS TECHNIQUES RENFORCEMENT RÔLE DE L’EBA

Surveiller les activités financières existantes et nouvelles

Harmoniser les règles prudentielles

Assurer la coordination entre les autorités de supervision nationales

Elaborer les projets de normes techniques de règlementation, de nomes d’exécution et d’orientation et recommandation (RTS)

Arbitrer en cas de conflits d’interprétation entre les autorités de tutelles nationales

Centraliser les reporting relatifs à la gestion des risques et statistiques fraudes

Gérer le registre central électronique relatif aux PSP agréés au sein de l’EEE.

Guidelines RTS

Soumis à la CE

Force de loi

Comply or Explain

Force d’application

Passeporting notification & supervision

Central Contact Point

Co

ord

inat

ion

su

per

visi

on

RTS/ITS on EBA Register

Reg

istr

e

Authentification forte et communication sécurisée

Sécu

rité

PI Insurance for PSPs

Compliants Procedures

Autorisation des EP

Reporting/notification des incidents

Mesures sécuritairesSécu

rité

P

rote

ctio

n d

u

Co

nso

mm

ateu

r A

uto

risa

tio

n* Authentification Forte

C O N S E I L E N P A I E M E N T S

E T S E R V I C E S F I N A N C I E R S

POINT 1: EXIGENCES DE L’AUTHENTIFICATION FORTE

5

Champ d’application de l’AF*

Applicable au payeur et requise dans les cas suivants :

Accès à son compte de paiement en ligne

Initialisation d’une opération de paiement en ligne

Réalisation/exécution de toute action à distance (tout support) impliquant un risque de fraude.

Moyens de paiement concernés

Virements

Prélèvements (avec mandat électronique)

Paiement électronique

Paiement par carte

AU MOINS 2 FACTEURS DES 3 FACTEURS

Ce que l’on sait (connaissance)

Ce que l’on est (inhérence)

Ce que l’on possède (possession)

Indépendance des éléments

Protéger la confidentialité des données

RAPPEL : AUTHENTIFICATION FORTE

*Authentification Forte

Réaffirmation des principes de l’AF* basée sur une authentification à double facteur

Pas de définition plus poussée par l’EBA

Les données comportementales ne peuvent pas être considérées comme un élément d’authentification forte (inhérence)

Réaffirmation du principe d’utilisation prioritaire des credentials de la Banque gestionnaire du compte

Ainsi le modèle de référence proposé par l’EBA repose sur les credentials de la Banque, teneuse de comptes.

Reconnaissance du principe de neutralité dans le modèle décrit par l’EBA en terme de business models et de technologies

Les PSP doivent assurer la confidentialité et l’intégrité des credentials de la banque gestionnaire du compte ainsi que de tous les moyens d’authentification (devices et software)

L’authentification est à double facteur avec génération d’un code à usage unique

Dans le cadre d’un paiement, ce code doit être lié au montant et bénéficiaire de la transaction (« Dynamic linking »)

Cela n’exonère pas les acteurs de mettre en place en amont des dispositifs de prévention, détection et de blocage des transactions de paiement frauduleuses.

Possibilité à terme d’utiliser les services de types cartes d’identité électroniques émises par l’état comme des éléments d ’authentification

C O N S E I L E N P A I E M E N T S

E T S E R V I C E S F I N A N C I E R S

POINT 2 : EXEMPTIONS

6*AF= Authentification Forte

Précisions sur les conditions d’exemption pour lesquelles le recours à l’Af* n’est pas appliqué

Non application des exemptions uniquement au choix de la Banque gestionnaire de comptes

Responsabilité de l’authentification

Décision d’appliquer ou non l’exemption.

Dans le cadre de services exclusivement de consultation (AISP), l’exemption à l’utilisation de l’AF* ne s’appliquera que si les 2 conditions suivantes sont réunies :

Le service de consultation est limité à des informations de paiement non sensibles

Il ne s’agit pas de la 1ère connexion au service et cette connexion est réalisée dans le délai d’un mois après la dernière connexion authentifiée.

Définition des données de paiement sensibles : « données incluant les crédentials qui peuvent être utilisées pour commettre des transactions frauduleuses »

Le nom et le numéro de compte ne sont pas considéré comme des données de paiement sensibles dans le cadre d’initialisation de paiement et d’agrégation de comptes.

Sont exemptées les transactions sans contact au point de vente dans la limite de 50 € par opération et de 150 € cumulés

Réaffirmation du principe que les moteurs d’analyses des transactions ne constituent pas des réponses/alternatives à l’AF*

Dérogations /exemptions

Basées sur les critères suivants :

Niveau de risque lié au service fourni

Montant et / ou fréquence de l’opération

Canal utilisé pour exécuter l’opération

Liste d’exemptions applicables dans la version finale des RTS

Services de consultation des données de paiement non sensibles (sauf 1ère connexion et 1 fois par mois)

Paiement sans contact POS : 50€/opération et 150€cumulés

Virement vers une liste de bénéficiaires de confiance

Virement de compte à compte d’un même PSU ouvert auprès d’un même PSP

Paiement électronique à distance : les opérations de <10€ en montant unitaire et 100€ en montant cumulés

Pas d’exemption prévue par l’EBA à l’obligation de protection, des données de sécurité personnalisées

C O N S E I L E N P A I E M E N T S

E T S E R V I C E S F I N A N C I E R S

POINT 3 : PROTECTION DE LA CONFIDENTIALITÉ ET DE L’INTÉGRITÉ DES PSC DE L’UTILISATEUR

7*AF= Authentification Forte

Obligation d’informer les utilisateurs qu’il y a un risque de confier ses credentials

Approche basée sur l’édiction de principes demandant aux PSP de mettre en place des dispositifs /mesures visant à protéger la création, l’association avec les utilisateurs de services de paiement, la livraison et la destruction des credentials, tout en garantissant :

La confidentialité et l’intégrité des credentials

Et leur livraison ou leur possession auprès des utilisateurs de services de paiement.

Cf. Guidelines « Security Measures »

PSC

Personalised Security Credentials :

Éléments personnalisés de sécurité permettantl’authentification d’un utilisateur par les PSP.

Ceux de référence dans les RTS sont ceux fournis par laBanque gestionnaire du compte.

Si le TPP décide de s’appuyer sur ces proprescrédentials alors il devra contractualiser avec labanque gestionnaire du compte (hors DSP 2).

C O N S E I L E N P A I E M E N T S

E T S E R V I C E S F I N A N C I E R S

POINT 4 : STANDARDS ET PROTOCOLES DE COMMUNICATION ENTRE ACTEURS

8*AF= Authentification Forte

Pas de définition ni d’imposition de standards techniques et réglementaires spécifiques par l’EBA.

Mais définition d’un certain nombre d’obligations :

Fourniture par toute banque d’au moins une interface sécurisée dédiée aux AISP et PISP qui doit être toujours accessible, avec un même niveau de fonctionnalités et de services, etun support technique suffisant, que l’interface de banque en ligne proposée à ses clients par la banque gestionnaire de compte.

L’interface de communication doit s’appuyer sur les procédures d’authentification définies au préalable.

Elle doit être développée selon les standards de communication ouverts, universels, émis par les organisations de normalisation internationales ou européennes. (recommandationde l’utilisation des éléments de la norme ISO 20022.

Les standards de communication sur Internet génériques tels que HTPP, HTPPS, TLS et SSL ont été « rejeté » par l’EBA.

Dans le cadre de l’agrégation de compte, l’AISP a le droit d’accéder au compte à chaque demande réalisée par le client et pas plus de deux fois par jour sans demande express du client.

Modalités d’authentification pour les TPP pour accéder aux informations des utilisateurs de services de paiement :

Consensus autour de l’utilisation de certificats

Option préférentielle retenue lors de groupes de travail : Emission des certificats par un tiers de confiance qualifié.

Assurance par les PSP que leur sous-traitants appliquent/respectent les RTS.

C O N S E I L E N P A I E M E N T S

E T S E R V I C E S F I N A N C I E R S

ADN’co64 rue des Mathurins – 75008 Paris Tél : 01 44 71 90 04 – Fax : 01 44 71 01 03 - E-mail : info@adn-conseil.com

ADN'co SA : SOCIETE ANONYME AU CAPITAL DE 216 000€ - RCS PARIS B 389 663 832 – SIRET 389 663 832 00027