Les grands principes de la dsp2
Grands Principes de la DSP2
La DSP2 est une réglementation européenne qui vise à moderniser les services de paiement électronique, renforcer la sécurité des transactions, et promouvoir l’innovation dans les services financiers.
Rôle de la DSP2
La DSP2 joue un rôle essentiel en :
- Renforçant la Sécurité : Elle introduit la Strong Customer Authentication (SCA) pour sécuriser les paiements en ligne.
- Protégeant les Consommateurs : Elle établit des règles strictes pour les prestataires de services de paiement en faveur des consommateurs.
- Promouvant l’Innovation : Elle ouvre l’accès aux données de paiement pour les fournisseurs de services tiers, encourageant l’innovation.
Fonctionnement Global de la DSP2
La DSP2 s’applique à toutes les transactions de paiement électronique au sein de l’Union Européenne (UE) :
- La SCA est requise pour les paiements en ligne, impliquant généralement deux des trois éléments d’authentification forte.
- Les interfaces PIS (Initiation de Paiement) et AIS (Information sur le Compte) permettent aux tiers d’accéder aux données de paiement des clients.
L’Autorité de Régulation
L’autorité de régulation varie d’un pays à l’autre au sein de l’UE. En France, par exemple, c’est l’Autorité de Contrôle Prudentiel et de Résolution (ACPR) qui supervise l’application de la DSP2.
Documentation Officielle
Vous pouvez en savoir plus sur la DSP2 en consultant la documentation officielle :
- Texte Officiel de la DSP2
- Normes Techniques de Réglementation (RTS) de l’EBA sur la SCA
- Autorité de Contrôle Prudentiel et de Résolution (ACPR) en France
Qu’est-ce que la Strong Customer Authentication (SCA) ?
L’authentification forte dite « SCA » est une nouvelle exigence européenne, mise en place pour améliorer la sécurité des paiements en ligne. C’est une fonctionnalité qui consiste à rajouter des niveaux d’authentification au moment d’un achat.
Dans le passé, les clients pouvaient simplement entrer leur numéro de carte et le code CVC. Mais avec la directive DSP2, plus d’informations seront nécessaires. Il existe cependant des exemptions, qui seront listées plus bas dans cet article.
Comment la DSP2 définit les nouvelles normes d’authentification ?
Avant la mise en place de l’authentification forte et du protocole 3DSecure 2, les banques émettrices vérifiaient l’identité des acheteurs avec un mot de passe. Un mot de passe dont les clients devaient se souvenir. Et bien sûr, les mots de passe sont facilement oubliés.
Désormais, des données plus personnelles seront utilisées pour vérifier l’identité des acheteurs. Ainsi, au lieu de compter sur le traditionnel« Quelque chose que vous savez » (ce fameux mot de passe toujours oublié), un client peut combiner« Quelque chose qu’ils possède », comme leur smartphone, avec« Quelque chose qu’il est », comme une empreinte digitale. Cette approche est souvent appelée « l’authentification à deux facteurs ».
Les transactions exemptées de SCA
Face à la pression des différents acteurs du marché en ligne, la directive DSP2 s’est assouplie progressivement et a introduit des règles d’exceptions liées au SCA. Certaines de ces règles, listées ci-après, répondent directement à des contraintes techniques liées au paiement :
| Type d'Exemption | Description |
|---|---|
| Transaction faible risque. Transaction Risk Analysis (TRA) | Certains acquéreurs (PSP) examinent le risque lié à chaque transaction « dans le champ d'application », pour se conformer aux exigences TRA. Si l'acquéreur pense qu'une transaction présente un faible risque, il peut demander une «exemption TRA» pour essayer d'ignorer la SCA. Mais cela n'est possible que si les taux de fraude de l'acquéreur ou de l'émetteur sont inférieurs aux seuils suivants : - 0,13% pour les montants entre 0 € et 100 € EUR - 0,06% pour les montants entre 100 € et 250 € EUR - 0,01% pour les montants entre 250 € et 500 € EUR En fin de compte, l'émetteur décide d'accepter cette demande d'exemption ou de continuer à appliquer la SCA. |
| Transactions faibles valeurs | Les transactions inférieures à 30 € EUR sont exonérées de SCA. Mais la banque émettrice gardera une trace du nombre de paieme nts effectués en utilisant cette exemption. Un SCA est requis si le montant total tenté sur la carte est supérieur à 100 € EUR, et toutes les cinq transactions. |
| Bénéficiaires de confiance | Les clients peuvent affecter des entreprises à une liste blanche de « bénéficiaires de confiance ». Cette liste est maintenue pa r leur banque. Les commerçants sur liste blanche, quel que soit le montant de la transaction, peuvent être exemptés de SCA. Cela permet aux clients réguliers d'ignorer la plupart du temps SCA ave c les entreprises qu'ils ont choisies de mettre sur liste blanche. |
| Transactions récurrentes | Les opérations récurrentes à montant fixe seront exonérées à partir de la deuxième opération. Seule la transaction initiale n éce ssite un SCA. Mais, si le montant de la transaction change, un SCA sera requis pour chaque nouveau montant. |
| Transactions B2B | Les paiements effectués entre deux sociétés peuvent être exemptés de SCA. Mais cela n'est possible que lorsque le mode de pai eme nt est un instrument de paiement dédié à effectuer de tels paiements B2B. |
Les transactions hors scope SCA
| Type d'Exemption | Description |
|---|---|
| Les transactions MOTO | Les commandes par mail et par téléphone (MOTO) sont exemptées de SCA dans tous les cas. Les transactions MOTO ne sont pas considérées comme des paiements « online » et sont donc hors du champ d'application. |
| Les Merchant Initiated Transactions ( MITs) | Les transactions initiées par le commerçant (MIT) sont des transactions qui n'impliquent pas directement le client. Le paiement est prélevé sur une carte enregistrée avec l'accord préalable du client à une date convenue. Par exemple, certains produits ont un coût variable en fonction de l'utilisation, comme les contrats d'énergie. Le premier paiement, ou le premier enregistrement de la carte, doit toujours être authentifié. Mais les paiements suivants peuvent ignorer la SCA s'ils sont marqués comme une "transaction initiée par le marchand". |
| Transaction Inter regionales (OLO) | Les transactions interrégionales, également appelées « one leg », sont des paiements pour lesquels l'émetteur ou l'acquéreur de la carte n'est pas basé dans l'EEE, à Monaco ou au Royaume Uni. Ces types de transactions sont également considérés comme hors scope. Cela signifie que les entreprises européennes peuvent accepter les paiements d'acheteurs non européens sans les exigences PSD2 SCA. Voir note de l’EBA 2019_4866 |