La DSP 3 : sécurité et innovation dans l’écosystème des paiements
14 janvier 2025
Face à l’évolution rapide des technologies et aux nouvelles attentes des consommateurs, la Directive sur les Services de Paiement 3 (DSP 3) marque une étape clé dans la régulation des paiements au sein de l’Union européenne. En renforçant la sécurité tout en encourageant l’innovation, elle apparaît comme une opportunité de modernisation du secteur financier, tout en protégeant ses utilisateurs.
L’évolution réglementaire, de DSP 1 à DSP 3
Les Directives sur les Services de Paiement (DSP) sont des régulations européennes avec pour objectif d’encadrer les services de paiement en ligne, et de renforcer la sécurité des transactions électroniques.
Introduite en 2007, la DSP 1 a posé les bases d’un marché unique des paiements au sein de l’UE en encourageant la transparence tarifaire et la concurrence entre les différents acteurs du paiement. Cependant, avec l’explosion des technologies numériques, ce premier cadre a rapidement montré ses limites.
En 2018, la DSP 2 a marqué une avancée significative, notamment par l’introduction de l’Open Banking, qui a obligé les banques traditionnelles à partager leurs données avec des tiers autorisés. Cette directive a ainsi favorisé l’émergence des fintechs, et ainsi renforcé la concurrence et l’innovation. Cependant, elle a également mis en lumière de nouveaux risques, notamment en matière de cybersécurité et de fraude.
L’évolution exponentielle des technologies de paiement a en effet amplifié les vulnérabilités du système : les cyberattaques qui ciblent les transactions financières sont devenues plus sophistiquées, exploitant les failles des systèmes traditionnels et des nouveaux acteurs.
Sur le plan concurrentiel, l’arrivée massive de fintechs et des GAFAM dans l’écosystème du paiement a bouleversé son équilibre. Ces nouveaux acteurs font preuve d’agilité et de maîtrise technologique pour capter une part croissante du marché, laissant les banques traditionnelles face à des défis stratégiques majeurs.
La DSP 3 se positionne donc comme une réponse à ces insuffisances, avec des ambitions fortes.
Les nouveautés introduites par la DSP 3
Avec la DSP 3, dont l’entrée en vigueur est prévue pour 2026, l’Union européenne encourage une adoption plus large de solutions technologiques avancées, comme la biométrie, pour améliorer l’authentification forte. Désormais, l’utilisation de méthodes biométriques telles que l’analyse des empreintes digitales ou la reconnaissance faciale devient une norme, et minimise ainsi les risques liés aux mots de passe traditionnels ou aux codes à usage unique.
De plus, la directive met l’accent sur l’adoption de modèles d’intelligence artificielle pour détecter les comportements inhabituels ou frauduleux. Ces outils permettent une analyse en temps réel des transactions, identifiant des schémas suspects avant même qu’une fraude ne puisse avoir lieu. Cette combinaison de technologies promet une avancée majeure dans la lutte contre les cyberattaques, sans toutefois empiéter sur l’expérience utilisateur.
Les points centraux de la DSP3 sont les suivants :
- Une meilleure gestion des données : les fintechs et tiers prestataires doivent garantir la sécurité des données qu’ils manipulent, tandis que les banques restent responsables de la fiabilité des interfaces fournies.
- Des reportings d’incidents systématiques : la directive impose à tous les acteurs un suivi détaillé des incidents de sécurité et des tentatives de fraude, à transmettre aux régulateurs nationaux.
- Une lutte contre la fraude plus efficace : les acteurs du secteur sont désormais tenus de déployer des systèmes automatisés pour analyser les données transactionnelles en temps réel, ainsi que de signaler immédiatement aux autorités tout incident ou activité suspecte.
La directive prévoit des sanctions significatives pour les acteurs qui ne respecteraient pas ces nouvelles exigences – amendes financières, suspension ou retrait de licence, ou encore signalement public des manquements.
Par cette approche, la DSP 3 vise à favoriser l’émergence d’un écosystème bancaire interconnecté, innovant et sécurisé.
Impacts et défis pour le secteur bancaire européen
La mise en œuvre de la DSP 3 représente un défi de taille pour les banques et les fintechs. Les institutions financières doivent investir massivement dans la modernisation de leurs infrastructures technologiques pour répondre aux nouvelles normes d’innovation et de protection des utilisateurs. Cela inclut :
- La mise à jour des systèmes de gestion des identités pour intégrer les nouvelles exigences en matière de biométrie, pour renforcer l’authentification forte (SCA) introduite par DSP2.
- L’adoption de solutions d’intelligence artificielle et de machine learning pour analyser en temps réel les transactions suspectes.
- La formation continue des employés pour qu’ils maîtrisent les nouveaux outils de sécurité, un aspect crucial alors que les cyberattaques dans le secteur financier ont augmenté de 35% en 2023.
Ces transformations impliquent des coûts importants, ce qui pourrait freiner les acteurs de taille modeste, ou ceux qui opèrent avec des marges faibles. Les fintechs devront également démontrer leur capacité à se conformer à des exigences réglementaires plus strictes.
Bien que la DSP 3 ait pour objectif l’uniformisation des pratiques au sein de l’Union européenne, certaines disparités entre États membres risquent de persister. Les différences dans les approches nationales, les budgets alloués aux régulateurs locaux ou encore le niveau de maturité technologique des acteurs bancaires peuvent entraîner une mise en œuvre inégale. Ces écarts pourraient freiner la compétitivité des acteurs qui opèrent dans plusieurs juridictions.
Vers un écosystème d’Open Finance
La DSP 3, bien que principalement axée sur la régulation, crée un environnement propice à l’innovation. En effet, à travers le Financial Data Access (FIDA), l’Open Banking est voué à être élargie, vers un cadre plus global d’Open Finance, qui ambitionne de démocratiser l’accès sécurisé aux données financières des utilisateurs – assurances, prêts, investissements, épargne – avec le consentement de ceux-ci.
L’Open Finance induit de fait de nouveaux challenges, notamment autour de la gestion du consentement de l’utilisateur. DSP3 et FIDA prévoient la mise en place d’un tableau de bord des consentements, que les détenteurs de données (banques et assurances) devront intégrer dans les espaces digitaux des utilisateurs. Cet outil permettra à chaque citoyen de visualiser clairement les entités qui ont accès à ses données, les produits concernés et les finalités d’utilisation.
Cependant, la transition vers l’Open Finance pourrait être freinée par des inégalités dans l’accès à la technologie ou une maîtrise insuffisante des outils numériques, particulièrement chez les populations plus âgées ou les personnes éloignées des usages digitaux.
Enfin, l’ouverture des données engendre des coûts significatifs pour les acteurs européens, posant un défi stratégique majeur : préserver la souveraineté du marché des paiements face à des géants internationaux comme les GAFA, qui disposent déjà d’une longueur d’avance technologique et financière.
En conciliant sécurité renforcée et ouverture à l’innovation, la DSP 3 s’affirme comme une pierre angulaire de l’évolution des paiements en Europe. Par l’étendue des principes de l’Open Banking vers l’Open Finance et l’introduction de mesures de protection robustes, cette directive offre des opportunités de transformation pour les acteurs financiers, mais aussi des défis technologiques et économiques de taille. Reste à savoir si l’harmonisation des pratiques au sein de l’Union européenne permettra de relever ces enjeux et de garantir en parallèle la souveraineté face à des acteurs globaux toujours plus puissants.
SpinPart accompagne depuis plus de 20 ans ses clients Grands Comptes et ETI de l’industrie financière sur l’ensemble des domaines de la conformité (Sécurité Financière, Anti-corruption, Protection de la clientèle, Intégrité des Marchés…) sur les problématiques suivantes :
➡️ Mise en conformité réglementaire,
➡️ Gouvernance et organisation,
➡️ Performance des processus,
➡️ Sélection et accompagnement à la mise en place de solutions.
N’hésitez pas à nous contacter pour échanger sur vos différentes problématiques.
Article rédigé par Jacques Pama et Lucas Laborie