La DSP2 a permis en son temps d’importants progrès en matière de lutte contre la fraude, notamment via l’introduction de l’authentification forte. Les fraudeurs se sont cependant adaptés à ces évolutions en développant des techniques dites d’ingénierie sociale visant à manipuler les clients afin de contourner cette identification. Ces techniques visent à exploiter des faiblesses humaines, en s’appuyant sur des facteurs psychologiques et comportementaux, en particulier la confiance des utilisateurs envers leur banque ou encore le sentiment d’urgence. Ces techniques sont désormais bien connues : appel usurpant le numéro du conseiller bancaire du client, fraude au président, redirection vers de faux sites internet de plus en plus convaincants... La fraude s’appuie également sur les nouvelles technologies et elle est désormais perpétrée par des réseaux organisés liés à la cybercriminalité, qui récoltent de façon illicite les données des utilisateurs.
En dépit de multiples campagnes de prévention, les autorités peinent à endiguer le phénomène, laissant apparaître les limites de la DSP21. Ainsi, le 28 juin 2023, la Commission européenne a dévoilé son projet de réforme de la DSP2 sous la forme d’un « paquet » comprenant à la fois une directive (DSP3) et un règlement (RSP). L’adoption d’un règlement permet d’uniformiser le droit applicable dans l’ensemble des États membres de l’Union européenne. Le règlement s’oppose ainsi à la directive qui doit, elle, être transposée par chacun des États dans son propre droit, offrant à ceux-ci une marge de manœuvre et entraînant bien souvent des divergences d’interprétation. L’un des objectifs principaux de ces nouveaux textes est de renforcer la protection des clients.
Après de longues discussions, les institutions européennes ont annoncé en novembre 2025 avoir trouvé un accord2. Ce dernier doit désormais être formellement adopté par le Parlement et le Conseil européens. Si les textes définitifs ne sont pas encore disponibles, la DSP3 et le RSP doivent permettre d’importantes avancées en matière de lutte contre la fraude.
La modernisation des exigences de sécurité
L’authentification forte reste au cœur du dispositif. Elle voit ainsi son champ d’application élargi à un certain nombre d’opérations nouvelles : connexion, paramétrage de mandat, ajout de bénéficiaire...
Elle est en parallèle supprimée dans d’autres situations qui paraissent moins risquées. Ainsi, dans le cas des abonnements, l’authentification forte sera toujours requise au moment de la mise en place du mandat, mais elle ne sera plus systématiquement demandée lors du paiement de chaque échéance. Le but de cette réforme est de fluidifier le parcours pour les utilisateurs, sans pour autant abaisser le niveau de sécurité.
Concernant les facteurs d’authentification, la notion d’inhérence est précisée : sont visés les éléments qui sont propres à l’utilisateur, en ce compris des caractéristiques environnementales et comportementales telles que la localisation de l’utilisateur, l’heure de l’opération, l’adresse IP de l’appareil, voire les habitudes de dépense ou encore le site internet sur lequel l’achat est effectué. Le RSP met ainsi en place un monitoring comportemental devant permettre de détecter des anomalies dans les habitudes de paiement de l’utilisateur, susceptibles de révéler une tentative de fraude.
Le RSP encourage par ailleurs la coopération entre les prestataires de services de paiement (PSP) en prévoyant que ceux-ci pourront partager entre eux des données liées à la fraude, en particulier les IBAN frauduleux. Pour cela, ils devront disposer d’éléments suffisants pour présumer qu’une opération de paiement illicite a eu lieu. Est notamment ciblé le cas où plusieurs utilisateurs informent un même PSP qu’un IBAN a été utilisé pour effectuer un virement frauduleux. Des dispositifs de partage d’informations seront mis en place et définiront les modalités de participation au système.
Un régime de responsabilité clarifié et élargi
Le RSP introduit une autre avancée majeure : la reconnaissance de la fraude par ingénierie sociale. En cas de fraude par usurpation d’identité, dans laquelle un escroc se fait passer pour un employé du PSP et incite le client à approuver un paiement, le PSP devra procéder à son remboursement dès lors que le payeur a signalé la fraude à la police et l’en a informé. Devraient rester exclus les cas d’agissements frauduleux et de négligence grave du client, la charge de la preuve incombant au PSP. En outre, le RSP responsabilise l’ensemble de la chaîne du paiement, en particulier les prestataires de services techniques, qui pourront désormais être tenus responsables3.
De nouveaux outils à implémenter
Les établissements financiers et les fintechs doivent tirer les conséquences opérationnelles de ces évolutions réglementaires. Ils vont devoir renforcer leurs dispositifs antifraude en y intégrant des outils avancés : analyses comportementales, détection d’anomalies... D’autres initiatives européennes complètent ce mouvement de lutte contre les opérations illicites : on peut notamment citer le règlement sur la LCB-FT (AMLR) et l’arrivée de l’identité numérique européenne, qui doivent, eux aussi, venir renforcer la sécurité des transactions.
En outre, depuis le 9 octobre 2025, les PSP sont obligés de proposer au payeur un service de vérification de la concordance entre le nom du bénéficiaire renseigné par le client ordonnant un virement et l’IBAN du compte destinataire (Verification of Payee, dite « VoP »)4. Si le nom ne correspond pas, le PSP en informe le client, qui a la possibilité de revenir sur son ordre de paiement. Les établissements vont devoir adapter leurs parcours clients pour intégrer ces nouvelles obligations tout en évitant de générer de la friction. Pour ce qui est des fintechs et des prestataires de services techniques, ils vont devoir se mettre à niveau en termes de conformité.
