DSP2 implique la mise en œuvre de mécanismes anti-fraude plus solides

Les Fintech, nouveaux intermédiaires sur le marché des paiements, prennent de plus en plus d’importance et modifient en profondeur ce secteur. La DSP2 a pour objectif de déterminer des règles pour encadrer ces nouveaux acteurs. Cette réglementation permettra de favoriser l’innovation et la concurrence, mais au travers de ces changements dans les moyens de paiement, il est légitime de s’interroger sur les nouveaux risques encourus et comment les couvrir.

Les nouveaux services encadrés par DSP2

Prévue d’être appliquée par les pays membres au plus tard fin novembre 2017, la DSP2 (2ème  version de la directive Européenne sur les services de paiement) vise à encadrer les services plus communément connus sous l’appellation Fintech (Financial Technologies) qui, jusqu’à la mise en place de cette réglementation, ne l’étaient pas.

 

* * * * * *

Retrouvez-nous à SAS Forum pour approfondir et échanger sur ce thème

* * * * * *

 

La DSP2 segmente ces services en deux catégories :

 

  • Le service d’initiation de paiement (PIS – Payment Initiation Services) consistant à initier un ordre de paiement à la demande d’un client d’une banque à partir d’un compte de paiement détenu auprès d’un autre prestataire de services de paiement (PSP), un service encore peu développé en France.
  • Le service d’information sur les comptes (AIS – Account Information Services) permettant à un usager bancaire d’avoir une vision consolidée de l’ensemble de ses informations bancaires au travers d’une seule interface. Les plus connus sont Bankin’ ou Linxo, certains établissements adoptent cette stratégie comme Boursorama qui a acquis une Fintech proposant ces offres : Fiduceo.

 

La valeur ajoutée de ces services

Nos voisins, comme l’Allemagne où les Pays-Bas, sont plus avancés que nous dans le domaine des PIS : Sofort en Allemagne, iDeal dans les Pays-Bas qui sont des solutions qui permettent de sécuriser les paiements pour les entreprises.

En ce qui concerne les AIS, la vision centralisée de ses informations apporte d’ores et déjà au client un service de valeur que les établissements bancaires ne proposaient pas. En complément, ces prestataires offrent des services administratifs et financiers, à valeur ajoutée, comme la gestion des dépenses et le conseil en investissement visant à simplifier la vie de leurs utilisateurs. Cette gestion simplifiée se fait grâce aux analyses basées sur les données collectées et les comportements.

 

De nouvelles problématiques en termes de sécurité

Avec l’accès aux données et aux informations relatives aux paiements, les risques de fraude et de non-respect des obligations en termes de protection des données, accrus par la directive GDPR, sont très forts. De nouvelles typologies de fraude peuvent apparaître. L’interconnexion de ses différents services crée de nouvelles failles potentielles dans les processus de paiement.

C’est un enjeu majeur pour les banques qui vont devoir donner accès à leurs systèmes, avec une nécessité de maîtriser les risques de fraude et de sécurité. Cela va nécessairement avoir une incidence sur les processus de contrôles, la formation des salariés et l’évolution des systèmes d’information.

La DSP2 aborde toutefois un volet sécurité pour répondre, en partie, à ces risques.

 

Le volet sécurité de la DSP2

L’enjeu est d’authentifier l’identité du consommateur lors de la validation des paiements en ligne. Les paiements sont, notamment, validés par SMS, empreinte digitale sur certains smartphones, voire par « selfie » vidéo. La DSP2 a généralisé l’authentification « forte » ou renforcée par une double identification.

 

Les répercussions de cette approche sur le parcours client

C’est une mesure majeure qui a longtemps été débattue car elle peut entraver le parcours du client. En effet, plus le processus d’achat est long et complexe, plus le taux de transformation s’affaiblit. La révision de la DSP2 impose de catégoriser les transactions selon leur profil de risque – faible/ moyen/élevé – et d’exempter les transactions ayant un faible risque du SCA (« Strong Customer Authentication ») : paiements vers des bénéficiaires de confiance, paiements me-to-me et paiements de petits montants. Une partie des transactions sont ainsi whitelistées pour éviter la gêne pour les clients connus ayant un comportement habituel.

 

Les challenges « volent toujours en escadrille »

Au-delà de la DSP2, les prestataires de services de paiement et les institutions financières vont également devoir mettre en place le dispositif « Single Euro Payments Area (SEPA) Instant Credit Transfer (SCT Inst) » pour novembre 2017. En quelques mots, il s’agit de l’obligation d’exécuter les paiements en temps réel pour les 34 pays SEPA (principalement zone euro, Grande Bretagne, Suisse, Suède), pour des montants, jusqu’à 15 000 €.

 

En conclusion, il va falloir que les établissements financiers ainsi que les Fintechs mettent en place des systèmes de surveillance et de détection dynamique de fraude (basés sur les règles et les anomalies) et les traiter, détecter et bloquer dans une fenêtre de temps pertinente (« Instant Payment »).

 

Accéder au livre blanc

 

* * * * * *

Retrouvez-nous à SAS Forum pour approfondir et échanger sur ce thème

* * * * * *

 

En complément :

Un article sur la digitalisation du métier de la banque et ses conséquences,

et un autre sur les moyens de combattre la fraude bancaire à l’aide des big data.