Comment se conformer à la PSD2 ?
Dépassez les attentes des autorités de réglementation mondiales en vous appuyant sur nos solutions LCB.
En savoir plusLa DSP2 a déjà eu un impact important sur le secteur des paiements. Mais qu’est-ce que la DSP2 et comment affecte-t-elle la manière dont les entreprises mettent en œuvre la conformité à la LCB ?
La 2ème Directive Européenne sur les Services de Paiement (PSD2) a été adoptée par la Commission européenne en 2015, en remplacement de la première directive sur les services de paiement adoptée en 2007. Comme son prédécesseur, la DSP2 concerne la réglementation des services de paiement dans l’UE et l’Espace économique européen (EEE). Elle a pour objectif d’accroître la concurrence dans le secteur en permettant aux entités qui ne sont pas des banques de participer et d’harmoniser les normes de conformité pour les fournisseurs de services de paiement.
Bien que saluée comme une révolution pour le secteur, la DSP2 a également entraîné de nouveaux défis en matière de conformité, notamment au niveau de la lutte contre le blanchiment d’argent et le financement du terrorisme (LCB/FT). Dans cette optique, il est important que les établissements financiers comprennent bien le fonctionnement de la directive et la manière de se conformer à la réglementation PSD2.
La DSP2 est entrée en vigueur le 13 janvier 2018, élargissant le champ d’application de la directive initiale de plusieurs manières. Plus particulièrement, la portée législative de la DSP2 a été étendue aux paiements en ligne tout en renforçant la protection des consommateurs en ligne et en permettant une plus grande participation des commerçants en ligne au secteur des services de paiement.
Plus concrètement, la DSP2 s’appuie sur la législation précédente et a un impact sur trois domaines du secteur des services de paiement :
Impact en ligne : l’autorisation de l’accès de tiers aux informations de compte brise effectivement un monopole détenu auparavant par les banques et ouvre le secteur des paiements aux commerçants en ligne tels qu’Amazon et Google qui peuvent ainsi développer leurs propres services de paiement.
Avec l’autorisation du client, ces sociétés tierces peuvent désormais récupérer les données du compte directement auprès des banques lorsqu’elles ont besoin de traiter un paiement, sans devoir passer par un fournisseur de services intermédiaire. Ce nouvel accès aux comptes bancaires des clients est géré par des API ouvertes (développées et publiées par les banques elles-mêmes) pour permettre à des tiers de créer un nouveau marché de produits de services financiers par-dessus l’infrastructure existante des banques.
Également connu sous le nom d’Open Banking (système bancaire ouvert), cet accès par des tiers est évidemment soumis étroitement aux réglementations en matière de sécurité et de conformité introduites par la DSP2. La nécessité de lutter contre le blanchiment d’argent et le financement du terrorisme devrait être une préoccupation majeure pour toute législation qui étend la participation au secteur des services de paiement, ce qui se reflète dans les exigences réglementaires renforcées nécessaires pour se conformer à la directive DSP2.
Authentification forte du client : la SCA est le principal mécanisme de lutte LCB/FT de la DSP2. Il introduit essentiellement un processus d’identification du client beaucoup plus puissant appelé « identification à double facteur » pour quasiment tous les paiements électroniques. Dans le cadre du processus de vérification à deux facteurs, les paiements électroniques doivent être vérifiés par au moins deux des trois identifiants suivants :
Approche fondée sur le risque : les commerçants peuvent appliquer une approche basée sur le risque pour se conformer à la PSD2. Si certaines transactions à faible risque peuvent être exemptées du processus de vérification à double facteur, les transactions présentant un risque plus élevé doivent être vérifiées. Les exemptions du processus de vérification à double facteur sont les suivantes :
PISP et AISP : les fournisseurs de services tiers autorisés par la DSP2 à interagir avec les banques (via des API) sont appelés des prestataires de services d’initiation de paiement (PISP) et des prestataires de services d’information sur les comptes (AISP). Les prestataires PISP « poussent » les paiements depuis les comptes bancaires des clients vers les commerçants tandis que les prestataires de services d’information sur les comptes (AISP) regroupent les données financières personnelles (pouvant provenir de plusieurs comptes). Il est important de rappeler que ces nouvelles catégories de prestataires de services seront également soumises à des exigences de conformité en matière de lutte LCB/FT fondée sur le risque allant de l’identification du client via une authentification SCA à deux facteurs à la vérification d’éventuelles sanctions infligées à ce client.
La conformité à la DSP2 est une priorité pour tous les acteurs du secteur des paiements, mais certains aspects de la directive ont pourtant été étudiés par l’UE jusqu’à fin 2019. Pour garder une longueur d’avance sur la réglementation PSD2 et assurer une conformité continue, il est nécessaire de disposer d’une flexibilité institutionnelle et d’adopter une approche proactive de l’intégration de la technologie à une solution de conformité.
Dépassez les attentes des autorités de réglementation mondiales en vous appuyant sur nos solutions LCB.
En savoir plusPublié initialement 24 mai 2022, mis à jour 01 novembre 2022
Avertissement : Ce document est destiné à des informations générales uniquement. Les informations présentées ne constituent pas un avis juridique. ComplyAdvantage n'accepte aucune responsabilité pour les informations contenues dans le présent document et décline et exclut toute responsabilité quant au contenu ou aux mesures prises sur la base de ces informations.
Copyright © 2023 IVXS UK Limited (commercialisant sous le nom de ComplyAdvantage)