Cette nouvelle directive rassemble les banques, les fintechs ainsi que tous les prestataires de services de paiement tiers - PSP - dans un même cadre réglementaire, et pourrait bien être l'une des directives la plus disruptive jamais élaborée. Dans un monde où le consommateur exige « Open Banking » et « mobile-first », son but est avant tout de simplifier les paiements, de les rendre plus transparents et sécurisés, tout en favorisant l'innovation et la concurrence. Pour la toute première fois, les banques devront ouvrir l'accès aux données de leurs clients aux prestataires tiers via des interfaces sécurisées (API).

Afin de sécuriser cet environnement de paiement simplifié, la DPS2 vise également à imposer des normes plus strictes concernant les transactions, afin de réduire la fraude et renforcer la confiance des consommateurs dans les achats en ligne. Notamment, les banques seront tenues d'authentifier de manière sécurisée tous les accès aux comptes, et les autorisations de paiements effectués par leur intermédiaire. Dès lors, les fintechs et autres prestataires de services de paiement feront face à un contrôle réglementaire inédit.

L'accessibilité à présent des informations bancaires des clients autorise désormais les acteurs tiers, y compris les grands noms tels que Facebook, Amazon ou encore Google, à proposer une multitude de nouveaux services aux consommateurs. Il se pourrait même qu'un jour Amazon envoie à un client la meilleure offre de prêt-auto sur la base de ses finances en temps réel, ce qui serait encore plus disruptif, ou bien ferait émerger de nouvelles industries.

Selon une étude du cabinet Accenture, les banques pourraient perdre jusqu'à 43 % de leurs revenus basés sur les transactions d'ici 2020. Mais nombreuses sont celles qui relèvent le défi de l'Open Banking, en simplifiant les opérations internes et en travaillant avec les partenaires fintechs pour déployer de nouveaux services très attractifs, et ainsi tirer parti de leur image de marque. Néanmoins, les plus grands défis pour les banques et les acteurs du paiement en ligne ne seront pas liés à la création de services innovants, mais bien à la sécurité.

Normes techniques règlementaires, standards au cœur de la DSP2

L'Autorité bancaire européenne (EBA) ne cherche pas à savoir qui devrait l'emporter dans cette nouvelle ère, à l'exception des consommateurs qui exigent des transactions rapides, sans frictions et sûres. Toutefois, elle a une idée très claire sur l'identité des perdants : les cybercriminels. Dans cet esprit, les normes techniques règlementaires (RTS) de la directive prévoient, entre autres :

• L'authentification forte des consommateurs (SCA) pour toutes les transactions en ligne initiées par le payeur, telles que les paiements par carte et les virements, à moins qu'elles soient considérées comme étant à faible risque ;
• L'exemption de l'authentification forte utilisant l'authentification basée sur le risque (RBA), tant que les prestataires de services de paiement disposent de systèmes en place pour détecter et prévenir la fraude ;

Dans le cadre des RTS, ces dispositions en matière de sécurité n'ont pas pris effet en même temps que l'entrée en vigueur de la DSP2 dans les États membres ; ce sera le cas en septembre 2019, une bonne nouvelle pour tout l'écosystème qui dispose ainsi de 18 mois pour se conformer. Le bémol ? Ces normes sont technologiquement agnostiques, ce qui confère à chaque pays un dangereux libre arbitre pour les implémenter ...

DSP2, une nouvelle approche du modèle économique

Le niveau de sécurité plus élevé requis par la DSP2 implique pour les banques et les organisations d'adapter leur système et leur business model, et de considérer les principaux éléments suivants :

• Fraude / risque : l'implémentation de l'authentification forte des consommateurs peut créer des frictions et dégrader leur expérience. C'est pourquoi l'authentification basée sur le risque est préconisée, pour les paiements peu sensibles, mais également de façon beaucoup plus étendue dès lors que les prestataires de services de paiement sont capables de prouver des niveaux de fraude bas. De plus, même si les seuils acceptables peuvent paraitre « agressifs » de prime abord, les PSP bénéficieront largement du déploiement combiné de l'authentification forte et de celle basée sur le risque pour prévenir les cybermenaces, tout en offrant des services de qualité et à faible friction.

• Les nouveaux risques générés par la DSP2 : tandis que cette nouvelle directive a été pensée pour améliorer la sécurité globale des transactions, elle pourrait par ailleurs augmenter le risque de fraudes spécifiques, parmi lesquelles la prise de contrôle de comptes via le vol d'identifiants, les malwares visant des applications, ou encore le piratage des API. En 2017, l'activité des botnets a enregistré une hausse autour des comptes de test. Il est possible que ces derniers soient amorcés pour des transactions frauduleuses une fois la DSP2 appliquée. En outre, les entreprises devraient prévoir d'améliorer les opérations au sein des centres d'appels afin de gérer les hausses de paiements bloqués, ainsi que l'impact des systèmes de surveillance automatisés qui ne sont pas correctement calibrés pour les nouveaux processus de transactions.

• Les États seuls n'y arriveront pas : les normes techniques réglementaires n'imposent pas de technologies spécifiques pour répondre aux nouveaux standards dans chaque pays membre. Les entreprises doivent donc s'assurer que leurs systèmes fonctionnent de manière transparente, aussi bien pour les transactions au niveau national, que dans toute l'Europe et au-delà.

Être conforme à la DSP2 d'ici septembre 2019 ne sera pas chose facile, et les problématiques abordées précédemment ne sont que la partie visible de l'iceberg. Les entreprises ne devraient pas avoir de mal à trouver des partenaires capables de les aider à répondre aux exigences des RTS en matière de sécurité, sans avoir à supporter des coûts trop importants en termes d'infrastructure, ni avoir besoin de recourir à des systèmes ou personnel supplémentaires. Néanmoins, il est important de se mettre au travail dès à présent, si ce n'est pas déjà fait, car le compte à rebours est lancé pour être en conformité dans 18 mois.