Les actes de fraudes ont de nombreuses conséquences sur les établissements financiers : ils peuvent notamment entraîner des pertes financières, un risque de sanction ou encore nuire à la réputation de l’établissement. Dans le secteur bancaire, la lutte contre la fraude fait l’objet d’investissements lourds, afin de limiter la survenance de tels incidents.
Le développement d’une éthique d’entreprise et d’actions de sensibilisation, destinées à procurer aux salariés un sentiment d’appartenance, est souvent mis en place au sein des banques, afin de prévenir le risque de fraude interne. Face au risque de fraude externe qui se caractérise par des méthodes de plus en plus sophistiquées (cybercriminalité, malwares/phishing/hacking, fraude e-commerce et m-commerce), une maîtrise de la sécurité du système d’information et la mise en place d’un dispositif de détection et d’évaluation des risques jouent un rôle déterminant, tout autant que la mise en place de procédures adaptées aux nouvelles menaces.
Face aux mutations rapides du secteur des moyens de paiement, la maîtrise du risque de fraude représente un véritable challenge pour les établissements financiers et les entreprises. Tous deux doivent se doter de moyens leur permettant de s’adapter en permanence à cet environnement changeant.
De plus, le législateur cherche à faire de l’Union européenne une zone innovante pour les services de paiement en ouvrant notamment ce marché à de nouveaux acteurs. Cette volonté initiée par la Directive sur les services de paiement en 2009, se confirme notamment par la publication récente de la deuxième Directive sur les services de paiement (DSP2), qui permettra la création de nouveaux acteurs du paiement : les PSP
Les PSP tiers : agrégateur de données et initiateur de paiement
La DSP2 définit l’agrégation de données comme un service de paiement consistant à fournir à un utilisateur des informations consolidées liées à un ou plusieurs comptes de paiement (qui peuvent donc être domiciliés dans des banques ou établissements de paiement différents). Alors que l’initiation de paiement se définit comme un service permettant d’initier un ordre de paiement à la demande de l'utilisateur. À ce jour, le service d’agrégation de données est déjà disponible sur le marché français. Des acteurs comme Linxo ou Bankin’ se sont notamment positionnés sur ce domaine. Le service d’initiation de paiement est quant à lui actuellement très peu développé en France, mais plus récurrent dans d’autres États membres : on peut notamment citer Sofort et IDeal, respectivement leaders sur ce marché en Allemagne et aux Pays-Bas.
Le fonctionnement de ces deux services est basé sur
Se pose alors une vraie problématique de risque liée à la sécurité du système d’information des établissements gestionnaires de comptes, puisque les PSP tiers auront accès aux informations confidentielles des clients et pourront générer des paiements via ces comptes, d’autant plus que la DSP2 indique qu’aucune relation contractuelle ne sera obligatoire entre le PSP tiers et la banque « teneur de
Face à ce risque, les établissements bancaires (établissement de crédit, établissement de paiement et de monnaie électronique) vont devoir déployer des dispositifs afin d’assurer la sécurité de ces activités et encadrer cette relation tripartite.
En favorisant l’émergence de nouveaux acteurs de paiement, la DSP2 initie donc un véritable paradoxe. En effet, bien qu’elle vise à donner plus de choix aux consommateurs, elle augmente également les risques liés à la sécurité des moyens de paiement.
Un cadre strict initié par la DSP2
L’arrivée des PSP tiers sur le secteur des paiements va permettre d’augmenter la concurrence sur ce marché. Les services proposés représenteront des alternatives intéressantes et sont annoncés comme étant plus économiques que les moyens de paiement traditionnels. Ils faciliteront sur de nombreux points la vie des acheteurs et des commerçants. La DSP2 pose un nouveau socle législatif, véritable moteur pour l’innovation financière, mais elle définit également un cadre strict. En effet, des obligations lourdes incomberont aux PSP tiers afin de protéger le consommateur contre la survenance de fraudes.
En France, les PSP tiers devront en premier lieu être agréés par
L’enjeu des guidelines de l’ABE
L’Autorité Bancaire Européenne jouera également un rôle déterminant dans l’encadrement de ces nouveaux services de paiement. En effet, conformément au règlement
La sécurité et la prévention des fraudes liées aux moyens de paiement sont des enjeux majeurs pour l’ABE, qui a notamment publié un ensemble de recommandations destinées à assurer la sécurité des moyens de paiement par
- quelque chose que seul l'utilisateur connaît (mot de passe statique, code, numéro d'identification personnel) ;
- quelque chose que seul l'utilisateur possède (jeton, smart card, téléphone mobile) ;
- quelque chose qui caractérise l'utilisateur (données biométriques : empreintes digitales, etc.).
Face à la révision de la DSP, l’ABE est en charge d’émettre dans les 12 mois à partir de l’entrée en vigueur de la DSP2, des guidelines ayant plusieurs objectifs, dont celui d’assurer la sécurité des nouveaux services de paiement et notamment de protéger les trois parties impliquées dans la relation, contre le risque de fraude. Elle définira notamment les standards sur les aspects de sécurité qui devront être appliqués par les PSP tiers et les établissements « teneurs de compte ».
Le contenu des guidelines de l’ABE sera déterminant : ces normes techniques devront prendre en considération l’éventail des risques inhérents aux nouveaux services de paiement. Elles devront notamment définir de manière stricte les processus d’identification, d’accès aux comptes et d’exécution de paiement, afin de prévenir au maximum la réalisation de fraude. Cependant, ces normes ne devront pas représenter un frein au développement de ces nouvelles activités. Afin d’assurer la réalisation de normes techniques pertinentes pour l’ensemble des parties prenantes, la DSP2 prévoit que l’ABE puisse solliciter les établissements non bancaires concernés, pour l’élaboration de ces normes.
Une évolution contrainte pour les banques
La DPS2 légitimera le développement des services d’initiation de paiement et d’agrégation de données et imposera aux établissements bancaires de respecter un certain nombre de contraintes en faveur de ces nouveaux acteurs. Les banques seront notamment dans l’obligation de transmettre les informations des comptes clients aux PSP tiers. Elles ne seront pas maîtresses de l’organisation du schéma de transfert d’informations, puisqu’elles devront en premier lieu respecter les normes techniques imposées par l’ABE. Les banques vont ainsi devoir se positionner face à l’accroissement du risque de fraude impliqué par ces nouvelles activités. Des modifications du dispositif de contrôle interne et des actions de sensibilisation seront primordiales. L’adaptation des systèmes d’information des banques représentera également un enjeu crucial pour celles-ci, qui n’auront d’autre choix que de permettre à des tiers agréés de venir s’y connecter.
Au-delà de l’aspect sécuritaire, le développement de nouvelles stratégies afin de trouver sa place sur le marché des PSP tiers est capital. Cependant, le choix pour les banques de se positionner sur ce nouveau marché et de concurrencer les PSP tiers n’est pas une évidence. L’initiation
Les mutations envisagées du secteur des services de paiement imposent aux banques de faire preuve de réactivité, afin de s’adapter dans les meilleures conditions aux changements engendrés par l’entrée en vigueur de la DSP2. A minima, pour être prêtes à « servir » les PSP tiers dans le délai imposé par le législateur européen mais aussi pour développer des services innovants qui concurrenceront les services proposés par ces nouveaux acteurs.