logo
Azzana est un cabinet de conseil spécialisé dans les domaines de la trésorerie d’entreprise, du cash management et des paiements.
31 rue d'Amsterdam 75008 PARIS
France : +33 (0) 1 44 65 33 84
Belgium : +32 (0) 2 673 64 30
Singapour : +33 (0) 1 44 65 33 84
Mail : info@azzana.net
Linkedin

Quels standards sécuritaires pour la DSP2 ?

Quels standards sécuritaires pour la DSP2 ?

Dans le cadre de la Directive des Services de Paiements (DSP2), c’est l’Autorité Bancaire Européenne (EBA) qui s’est vu confiée la lourde tâche d’édicter les standards techniques et règlementaires (RTS) pour l’authentification forte et la communication entre les Prestataires de Services de Paiement (PSP). En août dernier, un premier draft des RTS a été soumis aux acteurs du marché afin de recueillir leurs avis. Durant cette phase consultative, qui s’est terminée le 12 octobre 2016, plusieurs acteurs ont fait part de leurs préoccupations sur le texte.

Et si le calendrier de publication des RTS était trop tardif ?

Selon le calendrier définit, la publication définitive des RTS est prévue pour janvier 2017, avec une date d’application fin 2018. Or, on rappelle que la DSP2 est déjà entrée en vigueur depuis le 12 janvier 2016 et que les Etats membres ont 2 ans pour la transposer en droit national, soit jusqu’au 13 janvier 2018. Nous avons donc deux calendriers d’application distincts pour un même sujet global.
Etant donné que les RTS sont sensés établir les bases du fonctionnement sécuritaire de la DSP2, on peut légitimement se poser la question du fonctionnement de l’industrie avant la publication définitive de ces RTS. Les banques pourront-elles, par exemple, refuser de travailler avec certains acteurs tant que les RTS ne sont pas entrés en vigueur ?

 

Un niveau de détail qui fait débat au sein des acteurs de la place

Le niveau de détail des RTS constitue un challenge de taille pour l’EBA. En effet, d’un côté l’EBA se doit d’assurer un certain niveau de détail pour répondre aux enjeux élevés de sécurité, mais de l’autre, promouvoir de nouveaux moyens de paiement et faciliter l’innovation suggère que l’EBA devrait au contraire édicter ces normes à un niveau macro pour laisser plus d’amplitude à l’industrie.
Ainsi, les acteurs sont partagés sur le niveau de détail fournit par l’EBA qui parfois est trop important et parfois ne l’est pas assez. En effet, les banques ont besoin d’un cadre technique plutôt détaillé pour pouvoir développer leurs systèmes, alors que les Fintechs préfèrent avoir plus de liberté pour innover.

A titre d’exemple, l’EBA indique que chaque PSP teneur de compte doit offrir au moins une interface de communication permettant une communication sécurisée avec les prestataires de paiement tiers (TPP), que cette interface doit être documentée et accessible gratuitement sur le site du PSP teneur de compte, et doit utiliser les normes communes et ouvertes développées par les organisations de standardisation Européennes et Internationales, comme ISO20022. Cette mesure plutôt généraliste, laisse le champ libre à l’innovation. Cependant le manque de détail technique n’est pas nécessairement vu d’un bon œil par l’industrie. En effet, le calendrier serré combiné à l’absence d’interface de communication standard et au nombre élevé d’acteurs peut conduire à une fragmentation du marché ce qui va à l’encontre des objectifs premiers de la DSP2.

Des RTS très axés sur la sécurité au détriment de l’expérience client

En voulant privilégier une sécurité forte, l’EBA a parfois trop complexifié les développements nécessaires, limitant l’innovation et rendant le parcours client fastidieux.
A titre d’exemple, l’EBA indique au sujet de la procédure d’authentification forte, que le canal, le périphérique ou l’application mobile à travers lequel les informations reliant la transaction à un montant spécifique et à un bénéficiaire spécifique sont affichées, doit être indépendant ou séparé du canal, du périphérique ou de l’application mobile utilisé pour initier la transaction. Cette mesure représente un vrai challenge technique et commercial pour les PSP qui doivent veiller à cette séparation (en obligeant par exemple le consommateur à installer une nouvelle application – indépendante de celle depuis laquelle ils vont initialiser le paiement) tout en assurant un parcours client simple et peu couteux.

Azzana vous accompagne

Fort de son expertise dans ce domaine, Azzana vous accompagne dans le cadre d’une réflexion autour de la stratégie à adopter suite à la publication de la DSP2, des actions sécuritaires à entreprendre que vous soyez acteur de la sphère bancaire ou de celle de l’entreprise ou encore de votre business model, notamment pour les PSP teneur de compte qui devront offrir au moins une interface de communication gratuite aux TPP.

Si vous souhaitez en savoir plus, n’hésitez pas à renseigner votre e-mail ci-dessous: