logo
Azzana est un cabinet de conseil spécialisé dans les domaines de la trésorerie d’entreprise, du cash management et des paiements.
31 rue d'Amsterdam 75008 PARIS
France : +33 (0) 1 44 65 33 84
Belgium : +32 (0) 2 673 64 30
Singapour : +33 (0) 1 44 65 33 84
Mail : info@azzana.net
Linkedin

DSP2 : la nouvelle version des RTS satisfera-t-elle les utilisateurs ?

DSP2 : la nouvelle version des RTS satisfera-t-elle les utilisateurs ?

L’Autorité Bancaire Européenne (EBA) a publié ce jeudi 23 février, la dernière version des standards techniques et réglementaires (RTS) pour l’authentification forte et la communication entre les Prestataires de Services de Paiement (PSP). Pour rappel, ces RTS font suite à la publication en novembre 2015 de la seconde Directive des Services de Paiement (DSP2), et ont été développés en étroite collaboration avec la Banque Centrale Européenne (BCE).

Le principe d’authentification forte a été assoupli

Après avoir reçu un nombre important de contestations de la part des différents acteurs économiques sur le principe de l’authentification forte systématique, jugé trop strict pour les paiements, l’EBA a finalement accepté d’assouplir la règle. Ainsi, l’EBA a introduit deux nouvelles exemptions à ce principe, la première repose sur une analyse des risques relatifs aux transactions, et l’autre concerne les paiements effectués sur des terminaux de paiement autonomes, en général utilisés dans les transports en commun ou les parkings. A noter toutefois que l’exemption relative à l’analyse des risques d’une transaction est liée à un niveau prédéfini de fraude et est assujettie à une clause de révision, 18 mois après la date d’application des RTS.

La communication entre PSP

Un des autres points faisant débat concernait la communication entre les établissements teneurs de compte (ASPSP), et les deux nouveaux acteurs réglementés à savoir les prestataires de services d’information sur les comptes (AISP) et les prestataires de services d’initiation de paiement (PISP). L’EBA a conservé sa position initiale sur le sujet et l’obligation pour les ASPSP d’offrir au moins une interface pour les AISP et PISP pour accéder aux comptes est donc maintenue. Cette décision est en lien avec le fait que la DSP2 interdit désormais à ces acteurs d’accéder directement aux comptes de leur client, sans identification préalable. On rappelle que cette règle s’appliquera une fois que les RTS entreront en vigueur, à la fin de la période de transition prévue par la DSP2. Toutefois, afin de répondre aux préoccupations de certains acteurs, les RTS précisent désormais que les ASPSP proposant une interface dédiée doivent offrir le même niveau de disponibilité et de performance que sur l’interface réservée à leurs propres clients.

Une neutralité technologique assumée

Enfin, il faut souligner que l’ABE a également supprimé toutes références relatives à la norme ISO 27001, ou encore aux caractéristiques spécifiques de l’authentification forte afin de ne pas limiter les innovations futures. En effet, bien que plusieurs acteurs réclamaient un certain niveau de détail pour répondre aux enjeux élevés de sécurité, l’EBA a préféré édicter des normes à un niveau plus macro pour laisser plus d’amplitude à l’innovation dans l’industrie.

Azzana vous accompagne

Fort de son expertise dans ce domaine, Azzana vous accompagne dans le cadre d’une réflexion autour de la stratégie à adopter suite à la publication de la DSP2, des actions sécuritaires à entreprendre que vous soyez acteur de la sphère bancaire ou de celle de l’entreprise ou encore de votre business model, notamment pour les PSP teneur de compte qui devront offrir au moins une interface de communication gratuite aux TPP.

Vous souhaitez en savoir plus ? Entrez simplement votre e-mail ci-dessous: