Directive sur les Services de Paiement (DSP2) Normes techniques de réglementation sur l authentification et la communication

Documents pareils
BANQUE CENTRALE EUROPÉENNE

SF ou ECS: quel statut choisir? Le reporting prudentiel des SF

BANQUE CENTRALE EUROPÉENNE

Principales dispositions du projet de règlement

Charte de contrôle interne

Pôle commun ACPR/AMF Rapport annuel 2013

La surveillance Sid Noma Murielle Minougou

Reporting AIFM : quelles obligations pour quels gestionnaires? Guide pratique pour répondre aux exigences de la directive AIFM

XBRL, Solvabilité II et l Autorité de Contrôle Prudentiel

Participaient à la séance : Olivier CHALLAN BELVAL, Hélène GASSIN, Jean-Pierre SOTURA et Michel THIOLLIERE, commissaires.

Alerte regulatory Le dispositif de gouvernance et de contrôle interne des établissements bancaires Novembre 2014

Le crowdfunding : Cadre réglementaire et conditions d immatriculation des conseillers en investissements participatifs (CIP)

Les nouvelles règles de fonctionnement des Services de Paiement

Eléments de débat ACPR. Vous trouverez dans ce document :

Avant-propos 5. Introduction 6

SEVRES ESPACE LOISIRS

SEPA L Espace unique de paiement en euro

L UNION BANCAIRE 1. LE MÉCANISME DE SURVEILLANCE UNIQUE (MSU) 1.1. PRÉPARATION

Crowdfunding. Présentation conférence EIFR -18 décembre2014

ALERTE AIFM - 23 AVRIL 2013

Votre résidence fiscale est en France. B8 Impôt sur la fortune (Mise à jour mai 2013)

AIFM/MIFID :vers une harmonisation règlementaire?

LE CHAMP D APPLICATION

Etablissant des exigences techniques pour les virements et les prélèvements en euros et modifiant le règlement (CE) n 924/2009

COMPLEMENTAIRES SANTE ET DEDUCTIONS SOCIALES ET FISCALES : LES MUTUELLES UMC ET FIDAL VOUS EXPLIQUENT LES CONTRATS «RESPONSABLES»

ARCHIVES DEPARTEMENTALES DU NORD

Recours aux entreprises extérieures

ARCHITECTURE ET FONCTIONNEMENT DE LA NORMALISATION. Journée du sur la Normalisation dans les Transports Publics

Passation des marchés

GUIDE DU FINANCEMENT PARTICIPATIF (CROWDFUNDING) A DESTINATION DES PLATES-FORMES ET DES PORTEURS DE PROJET

Marquage CE Mode d emploi SOMMAIRE : I. Les produits concernés

Courtier Logistique 1

La supervision des banques et des assurances par l Autorité de contrôle prudentiel : Défis et opportunités dans un environnement en mutation

RECUEIL DE LEGISLATION. S o m m a i r e PROFESSIONELS DU SECTEUR DES ASSURANCES

GUIDE OEA. Guide OEA. opérateur

CHAPITRE I ER NÉGOCIATION DE BRANCHE

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

PARCOURS FORMATION VEILLE TECHNOLOGIQUE. Formations LYNKS Veille Janvier 2013

PSA Professionnels du secteur d assurance

C F O N B. Comité Français d Organisation et de Normalisation Bancaires. LE VIREMENT SEPA «SEPA Credit Transfer»

GUIDE POUR LA MISE SUR LE MARCHÉ DE DISPOSITIFS MÉDICAUX SUR MESURE APPLIQUE AU SECTEUR DENTAIRE

Les aspects paiements de la loi sur l ouverture à la concurrence du marché des jeux d argent et de hasard en ligne

S informer sur le nouveau cadre applicable au financement participatif (crowdfunding)

LIVRET SERVICE. Portail Déclaratif Etafi.fr

Réussir votre migration à SEPA. Mode d emploi à destination des entreprises

Dimanche 02 septembre 2012 de 09h à 18h00*

Retour sur un statut juridique atypique : la société de financement à double agrément

LOI N portant Code des Postes

Le ccsf vous informe : bien utiliser le virement sepa dans toute l europe

PROJET DE LOI DE SEPARATION ET DE REGULATION DES ACTIVITES BANCAIRES DEUXIEME LECTURE APRES L ADOPTION DU TEXTE DE LA COMMISSION

INSIGHT. Challenges et enjeux du nouveau FINREP

L ACCES AU CREDIT BANCAIRE DES ENTREPRISES

Racine: N.I.U: Responsable relation: Contrat MultiLine

Projet de Loi de Finances Les principales réformes

La réglementation Mardi de la DGPR. sur les produits biocides 05/04/2011

LIVRET D ÉPARGNE SALARIALE

Position AMF n Notions essentielles contenues dans la directive sur les gestionnaires de fonds d investissement alternatifs

DÉCLARATION PAR UN RÉSIDENT

Bonnes pratiques de l'ocde pour la gestion des sinistres d assurance

PRESTATIONS DE NETTOYAGE DES LOCAUX COMMUNAUX DE COUPVRAY CAHIER DES CLAUSES ADMINISTRATIVES PARTICULIÈRES (C.C.A.P)

NIC BURKINA FASO - CHARTE DE NOMMAGE DU POINT BF ******* REGLES D'ENREGISTREMENT POUR LES NOMS DE DOMAINE SE TERMINANT EN.BF

Guide synthétique de la comptabilité des dépenses engagées

Quelles nouveautés pour les rapports à présenter à l assemblée générale ordinaire annuelle?

Sécurisation des paiements en lignes et méthodes alternatives de paiement

SERVICE INFORMATIQUE CAHIER SPECIAL DES CHARGES. relatif à la maintenance des systèmes centraux THEATRE ROYAL DE LA MONNAIE.

Le Parlement Wallon a adopté et Nous, Gouvernement, sanctionnons ce qui suit :

Ce texte est une version provisoire. Seule la version qui sera publiée dans la Feuille officielle

1. QUELS SONT LES MARCHES CONCERNES? QUELS SONT LES INSTRUMENTS FINANCIERS CONCERNES? QUI DOIT DECLARER?... 2

«AMICALE DES CADRES DE LA POLICE NATIONALE ET DE LA SECURITE INTERIEURE» «ACPNSI»

CONDITIONS GENERALES D ACHAT

Michel STORCK 17. Le dispositif de la finance participative repose sur l intervention de trois acteurs :

CHARTE ETHIQUE ACHATS

Directive sur les services de paiement

Le compte épargne temps

RENCONTRES. Autour de S PA. Le 3 juin 2013 à destination des Experts-comptables Le 26 juin 2013 à destination des Entreprises

Credit Suisse Invest Le nouveau conseil en placement

3URSRVLWLRQ UHODWLYH j OD ILVFDOLWp GH O psdujqh TXHVWLRQVVRXYHQWSRVpHV (voir aussi IP/01/1026)

Archiver dans une entreprise privée commerciale Fiche 4 : au moins 5 ans

COMPTE EPARGNE TEMPS REGLEMENT INTERIEUR

Comité National SEPA. SEPA est une obligation : comment préparer votre migration? Guide pour réussir vos tests fonctionnels

LES NOUVELLES CONTRAINTES EN MATIERE DE MARCHES PUBLICS

exigences des standards ISO 9001: 2008 OHSAS 18001:2007 et sa mise en place dans une entreprise de la catégorie des petites et moyennes entreprises.

L assurance vie de droit luxembourgeois Aspects juridiques

Votre droit au français

L espace SEPA comprend les Etats membres de l Union européenne ainsi que l Islande, le Liechtenstein, la Norvège et la Suisse.

FLEGT Note d Information

E 5919 TEXTE SOUMIS EN APPLICATION DE L ARTICLE 88-4 DE LA CONSTITUTION PAR LE GOUVERNEMENT, À L ASSEMBLÉE NATIONALE ET AU SÉNAT.

PRESENTATION DU PROJET DATAWAREHOUSE MARCHE DU TRAVAIL

«NOTICE» MODALITÉS DE CALCUL DES RATIOS PRUDENTIELS DANS LE CADRE DE LA CRDIV

LACOURTE NOTE FISCALE OCTOBRE 2012

Sécuriser et gérer le risque de change à l export. Les solutions Coface. Clermont Ferrand - 11 Décembre 2014

Le gestionnaire de transports reçoit d'importantes responsabilités, ce qui va conduire à en faire un acteur de premier plan au sein de l'entreprise.

DPS 14 septembre 06. Bilan de l avancée de la démarche à 6 mois AIPST Caen

PROPOSITION DE LOI N 2 ( ) RELATIVE AUX CONTRATS D ASSURANCE SUR LA VIE. Examen en commission : Mercredi 31 mars 2010 A M E N D E M E N T

Contrôle interne Le nouveau cadre prudentiel

ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001 DE L AGENCE POUR LA RECHERCHE ET L INNOVATION EN CHAMPAGNE-ARDENNE - CARINNA

VIREMENTS ET PRÉLÈVEMENTS

la séparation totale des activités des postes et télécommunications;

Transcription:

Directive sur les Services de Paiement (DSP2) Normes techniques de réglementation sur l authentification et la communication (Final draft EBA RTS on SCA & CSC) Jérôme Fanouillère Antoine Lhuissier Alexandre Stervinou Service de la surveillance des moyens de paiement scripturaux Espace conférence de la Banque de France Auditorium 13 mars 2017

1. Contexte et calendrier 2. Authentification forte et dérogations 3. Protection des données de sécurité personnalisées et normes communes et sécurisées de communication 2

Un cadre juridique harmonisé en Europe (1) Les apports de la DSP1 en Europe 1 Accroître la concurrence 2 Ouvrir le secteur bancaire à de nouveaux entrants Protéger les consommateurs Droit à remboursement sous 13 mois.. La DSP2 la confirme et apporte de nouveaux éléments 1 Améliorer la sécurité 2 Généralisation de l authentification forte du payeur (SCA) Réguler de nouveaux acteurs Initiateurs de paiement (PIS) et agrégateurs d information (AIS) 3

Un cadre juridique harmonisé en Europe (2) Une évolution de l approche réglementaire européenne: vers plus de flexibilité DSP1 (2007) Regulatory Technical Standards & Guidelines (Niveau 2, 2016-2019) DSP2 (Niveau 1 : 2016-2018) 4

Sécurité des paiements Le renforcement des exigences règlementaire en Europe 2013 2014 2015 2016 2017 2018 Recommandations sur la sécurité des paiements sur internet (BCE) Orientations sur la sécurité des paiements sur internet (ABE) Entrée en vigueur des recos BCE puis des orientations ABE 2 ème directive sur les services de paiement DSP2 Date limite de transposition de la DSP2 (13 janvier 2018) Normes techniques réglementaires sur l authentification forte et l interface sécurisée (ABE, en cours) 5

La 2 ème directive sur les Services de Paiement Mandat donné à l EBA concernant le RTS SCA & CSC (1/2) La DSP2 (art. 98) a confié à l ABE le soin de rédiger des normes techniques de réglementation (RTS) concernant l authentification forte et la communication : s adressant aux prestataires de services de paiement (i.e. EC, EME, EP) et précisant : les exigences relatives à l authentification forte du client (SCA) lorsqu il : accède à son compte de paiement en ligne initie une opération de paiement électronique exécute une action, grâce à un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse les dérogations à l application de l authentification forte du client ( ) 6

La 2 ème directive sur les Services de Paiement Mandat donné à l EBA concernant le RTS SCA & CSC (2/2) et précisant (suite) : les exigences afin de protéger la confidentialité et l intégrité des données de sécurité personnalisées de l utilisateur de services de paiement les exigences applicables aux normes ouvertes communes et sécurisées de communication (CSC) aux fins de l identification, de l authentification, de la notification et de l information entre : les prestataires de services de paiement gestionnaires du compte (ASPSP) les prestataires de services d initiation de paiement (PISP) les prestataires de services d information sur les comptes (AISP) les payeurs, les bénéficiaires et d autres prestataires de services de paiement 7

RTS SCA & CSC Démarche de travail retenue par l EBA L EBA a organisé deux consultations publiques dans le cadre des travaux préparatoires : un Discussion Paper entre décembre 2015 et février 2016 pour recueillir le point de vue des acteurs de marché sur plusieurs points clés préalablement identifiés un Consultation Paper entre août et octobre 2016 sur le projet de RTS lui-même : 224 réponses reçues (un record pour une consultation de l EBA) 300 propositions distinctes analysées La version finale du projet de RTS a été communiquée à la Commission Européenne le 22 février 2017 et rendue publique sur le site de l EBA le 23 février 8

RTS SCA & CSC Adoption du texte par la Commission européenne La Commission européenne : dispose désormais de 3 mois pour analyser le texte et proposer des amendements doit, en cas d amendements, recueillir l avis de l EBA (6 semaines) soumettre ensuite le texte aux Conseil et Parlement européens (3 mois) recueillir, en cas d amendements supplémentaires, à nouveau l avis de l EBA (6 semaines) avant de pouvoir l adopter en qualité d acte délégué (probablement en oct. 2017) L entrée en vigueur du RTS interviendra ensuite 18 mois après sa publication, soit probablement à partir d avril 2019 9

DSP2 vs. RTS SCA & CSC Période transitoire Authentification forte du payeur : pas de décalage entre l entrée en vigueur du RTS SCA & CSC et celle de l authentification forte du payeur car l Art. 97 de la DSP2 entre en vigueur en même temps que le RTS SCA & CSC (cf. Art. 115.4 de la DSP2) Normes communes et sécurisées de communication : les AISP et PISP pourront obtenir un agrément dès janvier 2018 l entrée en vigueur des exigences concernant les mesures de sécurité interviendra 18 mois après la publication du RTS, soit probablement à partir d avril 2019 10

1. Contexte et calendrier 2. Authentification forte et dérogations 3. Protection des données de sécurité personnalisées et normes communes et sécurisées de communication 11

La 2 ème directive sur les Services de Paiement Rappel sur l authentification forte du payeur Pour toute transaction initiée par voie électronique, la DSP2 introduit le recours à l authentification forte du payeur Conjonction de deux facteurs d authentification de natures différentes, parmi les trois catégories suivantes : Inhérence Possession Connaissance Pour les paiements à distance, la DSP2 impose de plus l établissement d un lien entre les éléments d authentification et les données de la transaction (montant, bénéficiaire) 12

Authentification forte du client La version finale du projet de RTS de l EBA prévoit que : les PSP devront monitorer toutes les opérations, qu elles fassent l objet d une authentification forte du client ou d une dérogation, en prenant en compte, entre autres, le comportement habituel du payeur et du payé (historique des transactions), les signes de compromission et les scénarios de fraude connus le PSP du payeur et le PSP du payé pourront chacun décider d exercer une dérogation à l authentification forte du client : le PSP du payeur conservant cependant le dernier mot pour demander une authentification forte ou refuser l opération 13

Dérogations à l authentification forte du client (1/3) La version finale du projet de RTS de l EBA prévoit que les PSP pourront déroger à l application de la SCA dans les cas suivants : consultation en lecture seule des informations du compte de paiement, sans communication de données confidentielles de paiement : authentification forte obligatoire lors de la 1ère connexion puis a minima tous les 90 jours ensuite [contre 30 jours dans le Consultation Paper] paiement sans contact en point de vente de moins de 50 le cumul des opérations précédentes ne devant pas dépasser 150 ou 5 opérations paiement sur un automate situé à un péage routier, un parking ou pour accéder aux transports en commun [initialement non prévue dans le Consultation Paper] ( ) 14

Dérogations à l authentification forte du client (2/3) ( ) paiement récurrent vers le même bénéficiaire sauf pour le premier paiement de la série paiement vers un bénéficiaire inscrit dans une liste blanche maintenue par le payeur l authentification forte est requise lors de l ajout d un nouveau bénéficiaire à la liste blanche virement entre deux comptes appartenant à la même personne et détenus par un seul et même PSP paiement internet de moins de 30 [contre 10 dans le Consultation Paper] ( ) le cumul des opérations précédentes ne devant pas dépasser 100 ou 5 opérations 15

Dérogations à l authentification forte du client (3/3) ( ) paiement internet considéré comme peu risqué sur la base d une analyse des risques de la transaction (TRA) conduite par le PSP : inférieur à 500 avec un encadrement par des taux de fraude à ne pas dépasser : Tranche de montant du paiement Taux de fraude de référence (%) Paiement par carte sur internet Virement en ligne Entre 250 et 500 0,01 0,005 Entre 100 et 250 0,06 0,010 < 100 0,13 0,015 un suivi trimestriel de l évolution des taux de fraude (PSP émetteur et PSP acquéreur) 16

1. Contexte et calendrier 2. Authentification forte et dérogations 3. Protection des données de sécurité personnalisées et normes communes et sécurisées de communication 17

Common & Secure communication Des exigences fixées par la DSP2 visant à la fois à : faciliter l innovation et les nouveaux usages Augmenter le niveau de sécurité de l accès au compte et des opérations à distance Des divergences de position constatées entre la vision des ASPSPS et des AIS/PIS à l occasion des réponses au «consultation paper», notamment sur : La fréquence de connexion sur l ASPSP Le type d identification et de communication entre les acteurs: web scrapping vs interface Les dispositifs prévus en cas de dysfonctionnement de l interface 18

Common & Secure communication Le RTS répond à l ensemble des préoccupations des acteurs de marché Les AISP proposant une consultation en lecture seule des informations du compte de paiement, sans communication de données confidentielles de paiement pourront bénéficier d une exemption d authentification renforcée, sous réserve: d une authentification forte obligatoire lors de la 1ère connexion puis a minima tous les 90 jours ensuite [contre 30 jours dans le Consultation Paper] Les AISP pourront récupérer les informations de compte du PSU au maximum 4 fois par jour (versus 2/j dans la version initiale). Cette fréquence peut être modulée afin de réduire le nombre de connections inutiles par exemple dans le cas où l ASPSP proposerait un système de notification (push) lors de toute nouvelle opération disponible online. 19

Common & Secure communication Tout ASPSP doit fournir a minima une interface d accès aux AISP/PISP/PII. Cette interface doit permettre aux tiers : de s identifier vis-à-vis de l ASPSP de s appuyer sur le mécanisme d authentification du PSU proposé par l ASPSP d initier un ordre de paiement et de recevoir les informations relatives à l exécution de l opération de paiement Les exigences applicables à la fois aux AISP, PISP et ASPSP concernent: L obligation d identification entre acteurs par un mécanisme de signature électronique répondant aux exigences européennes (règlement UE 910/2014 dit e-idas) des échanges sécurisés par un mécanisme de chiffrement conforme à l état de l art garantissant la confidentialité et l intégrité des données 20

Common & Secure communication Les obligations relatives à l interface de communication font l objet de contraintes clairement spécifiées, en particulier: Fourniture des spécifications techniques permettant d implémenter et configurer la connexion à l interface Obligation de communiquer à l avance (3 mois) tout changement important des spécifications de l interface Utilisation de standards internationaux (de type ISO 20022) Mise à disposition d un environnement de test 21

Common & Secure communication L interface proposée par l ASPSP est encadrée par deux obligations fortes de fournir: le même niveau de performance (temps de réponse) et de disponibilité que celui fourni directement au PSU le même niveau de secours (délai de rétablissement notamment) que celui mis en œuvre pour les services proposés au PSU Tout dysfonctionnement constaté relatif à la disponibilité et à la performance de l interface pourra être remonté aux autorités compétentes (art 28.d) 22

Merci de votre attention Des questions? 23

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back