Révision de la Directive sur les Services de Paiement (DSP2) Septembre 2016 CONSULTING ORGANISATION 64 rue des Mathurins 75008 Paris Tél : 01 44 71 90 04 Fax : 01 44 71 01 03 E-mail : info@adn-conseil.com ADN'co SA : SOCIETE ANONYME AU CAPITAL DE 216 000 - RCS PARIS B 389 663 832 SIRET 389 663 832 00027
A RETENIR Réaffirmation du principe de recours à l Authentification Forte, reposant sur l authentification à double facteurs Définition des exemptions à l Authentification Forte Accès au compte sous condition Paiement sans contact exonéré (50 /transaction et 150 cumulés) Protection de la confidentialité et de l intégrité des PSC de l utilisateur Approche basée sur édiction de principes Détaillée dans les Guidelines : Security Measures Calendrier : JANVIER 2016 Entrée en vigueur DSP Une transposition pour janvier 2018 Une entrée en vigueur des standards au plus tard en septembre 2018. JANVIER 2017 Projet de RTS sur AF et communications sécurisées SEPTEMBRE 2018 Entrée en vigueur du RTS sur l AF et communications sécurisées Communication entre les différents PSP (TPP et Banques gestionnaires de comptes) : Pas de définition ni d imposition de standards techniques et réglementaires spécifiques par l EBA Obligation pour les banques d avoir une interface dédiée sécurisée (autre ou banque en ligne) avec le même niveau de services, fonctionnalités et accessibilité Développée selon les standards de communication ouverts, universels, émis par les organisations de normalisation internationales ou européennes Emission des certificats par un tiers de confiance qualifié retenue pour l authentification des TPP pour accéder aux informations des utilisateurs de services de paiement AOÛT OCTOBRE 2016 Consultation publique JANVIER 2018 Fin du délai de Transposition DSP 2 2
CHAMP D APPLICATION DE LA DSP 2 DSP 1 COMPLÉMENTS DSP 2 1 Introduction de nouveaux acteurs : 2 Elargissement du droit des EP Emetteurs d instruments de DSP 2 encadre, régule et fait entrer dans son champ d application 2 activités existantes qui n étaient pas précédemment régulées : Agrégation de comptes et Initialisation de paiement paiement : Autorisation à interroger la Banque gestionnaire du compte pour connaitre la disponibilité des fonds mise en cohérence avec les nouveaux statuts d acteurs AISP Comment? Création de 2 nouveaux statuts : Account Information Service Providers Agrégation de compte par accès direct au compte des clients via la banque en ligne PISP Payment Initiation Service Providers Initiation de paiement par accès direct au compte du client via la banque en ligne 3 Élargissement du champs d application aux transactions n impliquant qu un seul PSP situé dans l UE (il suffit d un seul.) Procédure d agrément EP spécifique 4 Réaffirmation des principes du recours à l AF* pour les transactions à distance et cadrage des règles d exemption Sécurité des données Authentification des utilisateurs de données Interfaces d accès aux comptes de paiement et échanges entre PSP Responsabilité en cas de fraude * Authentification Forte 3
Sécurité Sécurité Autorisation Registre Protection du Consommateur Coordination supervision CONCRÈTEMENT COMMENT CELA SE TRADUIT? DSP 1 COMPLÉMENTS DSP 2 1 Introduction de nouveaux acteurs 3 Élargissement du champs d application 2 Élargissement des droits des EP 4 Réaffirmation de l AF* RENFORCEMENT RÔLE DE L EBA MANDAT POUR ÉDITER LES STANDARDS TECHNIQUES Surveiller les activités financières existantes et nouvelles Harmoniser les règles prudentielles Assurer la coordination entre les autorités de supervision nationales Elaborer les projets de normes techniques de règlementation, de nomes d exécution et d orientation et recommandation (RTS) Arbitrer en cas de conflits d interprétation entre les autorités de tutelles nationales Centraliser les reporting relatifs à la gestion des risques et statistiques fraudes Gérer le registre central électronique relatif aux PSP agréés au sein de l EEE. Comply or Explain Force d application Guidelines PI Insurance for PSPs Compliants Procedures Autorisation des EP RTS Soumis à la CE Force de loi Passeporting notification & supervision Central Contact Point RTS/ITS on EBA Register Reporting/notification des incidents Mesures sécuritaires Authentification forte et communication sécurisée 4 * Authentification Forte
POINT 1: EXIGENCES DE L AUTHENTIFICATION FORTE Champ d application de l AF* Applicable au payeur et requise dans les cas suivants : Accès à son compte de paiement en ligne Initialisation d une opération de paiement en ligne Réalisation/exécution de toute action à distance (tout support) impliquant un risque de fraude. Moyens de paiement concernés Virements Prélèvements (avec mandat électronique) Paiement électronique Paiement par carte RAPPEL : AUTHENTIFICATION FORTE AU MOINS 2 FACTEURS DES 3 FACTEURS Ce que l on sait (connaissance) Ce que l on est (inhérence) Ce que l on possède (possession) Indépendance des éléments Réaffirmation des principes de l AF* basée sur une authentification à double facteur Pas de définition plus poussée par l EBA Les données comportementales ne peuvent pas être considérées comme un élément d authentification forte (inhérence) Réaffirmation du principe d utilisation prioritaire des credentials de la Banque gestionnaire du compte Ainsi le modèle de référence proposé par l EBA repose sur les credentials de la Banque, teneuse de comptes. Reconnaissance du principe de neutralité dans le modèle décrit par l EBA en terme de business models et de technologies Les PSP doivent assurer la confidentialité et l intégrité des credentials de la banque gestionnaire du compte ainsi que de tous les moyens d authentification (devices et software) L authentification est à double facteur avec génération d un code à usage unique Dans le cadre d un paiement, ce code doit être lié au montant et bénéficiaire de la transaction («Dynamic linking») Cela n exonère pas les acteurs de mettre en place en amont des dispositifs de prévention, détection et de blocage des transactions de paiement frauduleuses. Possibilité à terme d utiliser les services de types cartes d identité électroniques émises par l état comme des éléments d authentification Protéger la confidentialité des données *Authentification Forte 5
POINT 2 : EXEMPTIONS Dérogations /exemptions Basées sur les critères suivants : Niveau de risque lié au service fourni Montant et / ou fréquence de l opération Canal utilisé pour exécuter l opération Liste d exemptions applicables dans la version finale des RTS Services de consultation des données de paiement non sensibles (sauf 1ère connexion et 1 fois par mois) Paiement sans contact POS : 50 /opération et 150 cumulés Virement vers une liste de bénéficiaires de confiance Virement de compte à compte d un même PSU ouvert auprès d un même PSP Paiement électronique à distance : les opérations de <10 en montant unitaire et 100 en montant cumulés Pas d exemption prévue par l EBA à l obligation de protection, des données de sécurité personnalisées Précisions sur les conditions d exemption pour lesquelles le recours à l Af* n est pas appliqué Non application des exemptions uniquement au choix de la Banque gestionnaire de comptes Responsabilité de l authentification Décision d appliquer ou non l exemption. Dans le cadre de services exclusivement de consultation (AISP), l exemption à l utilisation de l AF* ne s appliquera que si les 2 conditions suivantes sont réunies : Le service de consultation est limité à des informations de paiement non sensibles Il ne s agit pas de la 1 ère connexion au service et cette connexion est réalisée dans le délai d un mois après la dernière connexion authentifiée. Définition des données de paiement sensibles : «données incluant les crédentials qui peuvent être utilisées pour commettre des transactions frauduleuses» Le nom et le numéro de compte ne sont pas considéré comme des données de paiement sensibles dans le cadre d initialisation de paiement et d agrégation de comptes. Sont exemptées les transactions sans contact au point de vente dans la limite de 50 par opération et de 150 cumulés Réaffirmation du principe que les moteurs d analyses des transactions ne constituent pas des réponses/alternatives à l AF* *AF= Authentification Forte 6
POINT 3 : PROTECTION DE LA CONFIDENTIALITÉ ET DE L INTÉGRITÉ DES PSC DE L UTILISATEUR PSC Personalised Security Credentials : Éléments personnalisés de sécurité permettant l authentification d un utilisateur par les PSP. Ceux de référence dans les RTS sont ceux fournis par la Banque gestionnaire du compte. Si le TPP décide de s appuyer sur ces propres crédentials alors il devra contractualiser avec la banque gestionnaire du compte (hors DSP 2). Obligation d informer les utilisateurs qu il y a un risque de confier ses credentials Approche basée sur l édiction de principes demandant aux PSP de mettre en place des dispositifs /mesures visant à protéger la création, l association avec les utilisateurs de services de paiement, la livraison et la destruction des credentials, tout en garantissant : La confidentialité et l intégrité des credentials Et leur livraison ou leur possession auprès des utilisateurs de services de paiement. Cf. Guidelines «Security Measures» *AF= Authentification Forte 7
POINT 4 : STANDARDS ET PROTOCOLES DE COMMUNICATION ENTRE ACTEURS Pas de définition ni d imposition de standards techniques et réglementaires spécifiques par l EBA. Mais définition d un certain nombre d obligations : Fourniture par toute banque d au moins une interface sécurisée dédiée aux AISP et PISP qui doit être toujours accessible, avec un même niveau de fonctionnalités et de services, et un support technique suffisant, que l interface de banque en ligne proposée à ses clients par la banque gestionnaire de compte. L interface de communication doit s appuyer sur les procédures d authentification définies au préalable. Elle doit être développée selon les standards de communication ouverts, universels, émis par les organisations de normalisation internationales ou européennes. (recommandation de l utilisation des éléments de la norme ISO 20022. Les standards de communication sur Internet génériques tels que HTPP, HTPPS, TLS et SSL ont été «rejeté» par l EBA. Dans le cadre de l agrégation de compte, l AISP a le droit d accéder au compte à chaque demande réalisée par le client et pas plus de deux fois par jour sans demande express du client. Modalités d authentification pour les TPP pour accéder aux informations des utilisateurs de services de paiement : Consensus autour de l utilisation de certificats Option préférentielle retenue lors de groupes de travail : Emission des certificats par un tiers de confiance qualifié. Assurance par les PSP que leur sous-traitants appliquent/respectent les RTS. *AF= Authentification Forte 8
ADN co 64 rue des Mathurins 75008 Paris Tél : 01 44 71 90 04 Fax : 01 44 71 01 03 - E-mail : info@adn-conseil.com ADN'co SA : SOCIETE ANONYME AU CAPITAL DE 216 000 - RCS PARIS B 389 663 832 SIRET 389 663 832 00027