Le 28 juin 2023, la Commission européenne a publié plusieurs propositions importantes sur les paiements et l’accès aux données financières, parmi lesquelles les propositions de règlement sur les services paiements (DSP 3 « package ») et Financial Data Access (FiDA). Les volets portant sur le partage de données financières et la gestion de la fraude annoncent des échanges nourris avec les parties prenantes dans les prochaines semaines, tant les impacts pour les établissements bancaires sont significatifs.
Quel bilan faites-vous de la DSP 2 en matière de gestion de la fraude sur les paiements ?
La DSP 2 a participé à la sécurisation des moyens de paiement, en particulier en imposant l’authentification forte et en précisant le régime de responsabilité pour le remboursement des paiements non autorisés. Dans la pratique, et ce malgré les précisions apportées par les exigences techniques en 2020, les fraudeurs ont adapté leurs méthodes à ces dispositifs de sécurité, et l’interprétation des règles par les différents acteurs concernés nécessitait d’être clarifiée. Des travaux ont donc été menés depuis 2022 dans le cadre de l’Observatoire de la sécurité des moyens de paiement (OSMP), aboutissant à une compréhension commune des textes existants. Pour le groupe Crédit Mutuel, ces travaux vont dans le bon sens, en clarifiant le régime de protection des victimes construit autour d’un équilibre entre la banque et le consommateur.
Pour autant, la Commission européenne a souhaité apporter de nouveaux outils dans la gestion de la fraude, dans le cadre de sa proposition de règlement sur les services de paiement...
Effectivement, la Commission européenne souhaite renforcer les actions de prévention de la fraude sur les paiements, en imposant au prestataire de service de paiement (PSP) du bénéficiaire du paiement (art. 50) l’accomplissement, pour l’ensemble des opérations en crédit, d’une vérification de correspondance entre l’identifiant unique et le nom du bénéficiaire. La proposition de règlement prévoit un nouveau régime de responsabilité relatif à cet outil de vérification (art. 57). En cas de dysfonctionnement de l’outil ou de notification insuffisante d’une erreur de correspondance, la responsabilité serait partagée entre le PSP du bénéficiaire et celui du payeur suivant les cas.
En tant que banque PSP, nous considérons que ces nouveaux outils, également prévus dans le cadre du règlement sur les paiements instantanés en cours d’adoption, peuvent constituer des solutions efficaces pour parer au risque d’erreur de destinataire. De là à en faire un remède absolu contre la fraude sur virement, légitimant une nouvelle extension du régime de responsabilité des PSP, nous restons prudents et attendrons les effets concrets dans le temps sur la protection effective de nos clients et sociétaires.
Les fraudes avec usurpation de l’identité du PSP (spoofing) font désormais l’actualité des tribunaux. La proposition de la Commission européenne apporte-t-elle de nouvelles mesures sur ces cas de fraude ?
Tout d’abord, il faut rappeler que, dans les cas de spoofing, il y a bien deux victimes, selon des bases légales différentes : le client, qui peut subir un préjudice financier conséquent par manipulation de la confiance qu’il accorde à sa banque, mais aussi la banque elle-même, dont on usurpe l’identité et dont on atteint l’image à des fins d’escroquerie.
Cette usurpation d’identité se traduit, dans la plupart des cas, par l’utilisation non autorisée des numéros de téléphone de la banque, alors même que la loi Naegelen du 24 juillet 2020, entrée en vigueur le 1er mars 2023, prévoit des mesures à destination des opérateurs télécoms pour sécuriser l’utilisation desdits numéros. Or, dans le cadre de la proposition de règlement sur les services de paiements parue le 28 juin, la responsabilité totale et exclusive des PSP est prévue (art. 59), allant même au-delà des cas d’usurpation du numéro ou de l’e-mail de la banque, en intégrant également l’usurpation du seul nom de la banque ! Ce nouveau régime de responsabilité en cas d’usurpation de l’identité du PSP, établissant d’office une charge de remboursement total aux PSP, nous semble totalement démesuré et pourrait même, à terme, encourager les fraudeurs à poursuivre ces pratiques. Nous appelons les autorités à revenir sur cet article dans le cadre des discussions à venir sur cette proposition de règlement, afin d’élaborer un régime permettant de responsabiliser l’ensemble des acteurs concernés par ces cas de fraude, et d’éviter que les banques supportent tous les risques.
La proposition de règlement sur les services de paiement revient sur une autre thématique de DSP 2, portant sur le partage de données. Comment accueillez-vous les nouveautés sur ce volet ?
En premier lieu, il faut reconnaître que les pratiques de partage de données ont bénéficié, avec DSP 2, d’un encadrement plus sécurisé, via des interfaces techniques dites « API Open banking » développées par les parties prenantes. S’il fallait porter l’attention sur une disposition du nouveau texte, nous restons vigilants sur l’abandon de l’obligation pour les PSP de faire fonctionner, de manière permanente, une interface de secours en parallèle des API, dite interface « fallback » (art. 35). Introduite par la DSP 2, cette obligation faisait l’objet d’un cadre d’exemption validé par l’ACPR, permettant aux établissements qui en bénéficient de ne pas développer de système de secours. Le retrait de cette obligation nous semble donc une généralisation logique et bienvenue de l’exemption à la main du superviseur national qui bénéficiait de fait à la plupart des acteurs en France.
Pour autant, dans l’article 38 du même texte, cette fin d’obligation est accompagnée d’une disposition contradictoire, qui prévoit de maintenir la possibilité pour un tiers de demander, ponctuellement et sans délai, la mise à disposition d’une solution alternative aux API bancaires. Les établissements qui bénéficiaient jusqu’à présent de l’exemption de l’ACPR devraient, dans les faits, fournir l’accès à une telle solution à la demande, et donc in fine réintroduire et maintenir techniquement, en coulisses, une interface de secours, avec les coûts associés.
Au-delà des données de paiement, la Commission européenne a également publié une proposition de règlement portant sur l’accès aux données financières. Que pense le Crédit Mutuel de ce texte ?
Dans FiDA, la Commission européenne poursuit un objectif très théorique d’innovation pour les consommateurs, en permettant aux intermédiaires d’agréger l’ensemble des données financières du citoyen : solde, conditions et opérations sur hypothèques/caution, comptes d’épargne et crédits, données sur l’épargne personnelle et professionnelle, instruments financiers souscrits, produits d’assurance – non-vie –, crypto-actifs, investissements immobiliers, données collectées pour établir un score de risque lors d’une demande de crédit par une entreprise, etc. Ce périmètre nous semble trop large et ambitieux, et donc irréaliste, en le conjuguant au mode de partage prévu, en continu et en temps réel, et au délai de mise en œuvre de dix-huit mois laissé au marché. Compte tenu de la lourdeur des procédures à mettre en place et de l’intrusion que ce partage implique, l’avantage réel pour les consommateurs n’est pas démontré. En tant que banque mutualiste, nous sommes très attachés à garantir et à protéger l’intimité numérique de nos clients et sociétaires. À ce titre, nous considérons qu’après ouverture par DSP 2 des comptes de paiement, laisser les tiers accéder à un éventail de données bien plus ample doit répondre à un besoin avéré des consommateurs, avant de se précipiter sur un chantier d’une ampleur technique sans précédent.
