L’évaluation ex post de la DSP2 a amené la Commission européenne à proposer, le 28 juin 2023, des modifications législatives visant à en améliorer le fonctionnement. Deux nouvelles propositions ont ainsi été présentées : une directive relative aux services de paiement et aux services de monnaie électronique (DSP3) ; et un règlement portant sur les services de paiement dans l’Union Européenne (UE) (RSP1).
L’Union européenne entend, à l’aide de ces deux textes, apporter une réponse à l’un des principaux défis du marché des paiements dans l’UE – à savoir, le risque de fraude auquel sont exposés les consommateurs, ainsi que leur manque de confiance dans les transactions électroniques, et ce, malgré le succès de la DSP2. La DSP3 et le RSP1 visent notamment à remédier à cela par l’adoption de nouvelles mesures d’atténuation de la fraude.
Nous vous proposons de passer en revue certaines de ces mesures.
Amélioration dans la mise en œuvre de l’authentification forte
Les Prestataires de Services de Paiement (PSP) devront mettre en place des mécanismes de contrôle des opérations qui permettent aux PSP de prévenir et de détecter les opérations de paiement potentiellement frauduleuses, y compris les opérations impliquant des services d’initiation de paiement. Ces mécanismes de contrôle des opérations seront fondés sur l’analyse des opérations de paiement antérieures et de l’accès aux comptes de paiement en ligne.
Adoption d’une base juridique pour le partage de données
Les PSP pourront échanger l’identifiant unique d’un bénéficiaire avec d’autres PSP adhérant à des dispositifs de partage d’informations lorsque le PSP disposera d’éléments suffisants pour présumer qu’une opération de paiement frauduleuse a eu lieu. L’existence d’éléments suffisants pour partager des identifiants uniques sera présumée lorsqu’au moins deux utilisateurs différents de services de paiement qui sont des clients du même PSP auront informé qu’un identifiant unique d’un bénéficiaire a été utilisé pour effectuer un virement frauduleux. Les PSP ne devront pas conserver les identifiants uniques obtenus à la suite de l’échange d’informations plus longtemps que nécessaire.
Obligation d’information des risques de fraude
Les PSP devront alerter leurs clients par tous les moyens, et en utilisant tous les médias appropriés, en cas d’apparition de nouvelles formes de fraude en matière de paiement, tout en tenant compte des besoins de leurs groupes de clients les plus vulnérables (catégorisation des clients).
Ils devront, par ailleurs, donner à leurs clients des indications claires sur la manière d’identifier les tentatives frauduleuses et les avertir des mesures nécessaires et des précautions à prendre pour éviter d’être victimes d’actions frauduleuses pouvant les viser.
Extension de la vérification du code IBAN
Le PSP du bénéficiaire devra vérifier gratuitement, à la demande du PSP du payeur, la concordance entre l’identifiant unique et le nom du bénéficiaire fournis par le payeur et communiquer le résultat de cette vérification au PSP du payeur. Si l’identifiant unique et le nom du bénéficiaire ne concordent pas, le PSP du payeur devra notifier au client toute divergence détectée et l’informer du degré de cette divergence. En termes de responsabilité, le client initiateur du paiement ne devra supporter aucune perte financière pour un virement autorisé dans le cas où le PSP du payeur ne lui aurait pas notifié la divergence détectée entre l’identifiant unique et le nom du bénéficiaire communiqués.
Élargissement des droits de remboursement des consommateurs
Paiements non autorisés
En cas de paiement non autorisé, le PSP du client payeur devra rembourser à son client le montant de cette opération immédiatement après avoir pris connaissance de l’opération non autorisée ou après en avoir été informé, et, en tout état de cause, au plus tard à la fin du premier jour ouvrable suivant, sauf si le PSP du client payeur a des motifs raisonnables de soupçonner que ce dernier a commis une fraude et s’il communique ces motifs par écrit à l’autorité nationale concernée.
Usurpation d’identité
Lorsqu’un consommateur, utilisateur de services de paiement, a été manipulé par un tiers prétendant être un employé du PSP du consommateur en utilisant illégalement le nom, l’adresse électronique ou le numéro de téléphone de ce PSP, et que cette manipulation a donné lieu ultérieurement à des opérations de paiement autorisées de façon frauduleuse, le PSP rembourse au consommateur le montant total des opérations de paiement autorisées de façon frauduleuse, sous réserve que le consommateur ait, sans tarder, signalé la fraude aux autorités nationales compétentes et informé son PSP.
Amélioration de l’accessibilité de l’authentification forte du client
Les PSP devront veiller à ce que tous leurs clients – y compris les personnes handicapées, les personnes âgées, les personnes ayant de faibles compétences numériques et celles qui n’ont pas accès aux canaux ou aux instruments de paiement numériques -, disposent au moins d’un moyen, adapté à leur situation spécifique, leur permettant de procéder à une authentification forte du client. Pour ce faire, les PSP ne devront pas subordonner l’exécution de l’authentification forte du client à l’utilisation exclusive d’un moyen unique d’authentification et ne pourront pas faire dépendre l’exécution de l’authentification forte du client, explicitement ou implicitement, de la possession d’un smartphone. Les PSP devront, en effet, mettre au point diverses modalités pratiques d’authentification forte du client afin de tenir compte de la situation spécifique de tous leurs clients.
Amélioration de la disponibilité des espèces
Lorsqu’un consommateur versera des espèces sur un compte de paiement auprès du PSP, dans la devise de ce compte de paiement, ce dernier devra veiller à ce que le montant versé soit mis à sa disposition et qu’il reçoive la preuve de la date de valeur immédiatement après la réception de ces fonds.
Améliorations relatives aux droits et information des utilisateurs
Les PSP ne devront pas empêcher les utilisateurs de services de paiement d’avoir recours aux services d’un prestataire de services d’initiation de paiement (externe) pour initier un paiement directement depuis leurs comptes. De la même façon, les PSP ne devront pas empêcher les utilisateurs de services de paiement d’avoir recours aux services d’information sur les comptes qui permettent de collecter et de consolider les informations de plusieurs comptes de paiement détenus auprès de différents prestataires.