En France, on estime à 10-15 %, le nombre d’acheteurs en ligne victimes chaque année de fraudes à la carte bancaire. En 2018, la fraude a atteint plus d’un milliard d’euros, avec un coût moyen de 860 euros par foyer victime. Face à cette situation, il était nécessaire de renforcer les dispositifs afin de sécuriser davantage les paiements en ligne et les opérations bancaires au sein de l’UE. Pour cela, la Directive sur les Services de Paiement 2e version (DSP2) est entrée en application le 13 janvier 2018. De quoi s’agit-il exactement ? Quels sont les objectifs de cette directive ? De quels certificats a-t-on besoin pour vous y conformer ? Quelles sont ses implications pour l’Open Banking ?
Qu’est-ce que la DSP2 ?
Avant l’adoption de la DPS2, il existait déjà une première version de cette directive européenne, appelée DSP1. Cette dernière a été mise en application en 2007 et transposée en droit français en juillet 2009. Elle a apporté des changements notables dans le secteur de la banque et de la finance. Depuis l’entrée en vigueur de cette première version, des institutions financières non bancaires peuvent offrir des prestations bancaires comme la fourniture de certains moyens de paiements :
- Cartes ;
- Virements ;
- Porte-monnaie électroniques ;
- Services de paiement par téléphone ou Internet…
Cependant, avec les usages numériques qui ont bouleversé de nombreux secteurs, dont celui de la banque, il fallait impérativement revoir ou améliorer cette première directive. D’où l’adoption de la DSP2, une nouvelle version en accord avec les réalités actuelles du monde digital et qui tient compte des avancées technologiques.
Quels sont les objectifs de la DSP2 ?
L’objectif principal de la DSP2 est de renforcer la sécurité des paiements en ligne. Dans le détail, la directive porte sur 3 points essentiels :
- La sécurisation des données ;
- L’ouverture du marché à d’autres acteurs ;
- L’amélioration de l’accessibilité des données bancaires.
Sécuriser les données
Avec l’essor fulgurant des outils numériques et des applications connectés qui simplifient les transactions, il est devenu primordial de protéger les consommateurs ainsi que leur vie privée. C’est à ce besoin que répond principalement la DSP2. Son application permet de relever le niveau des exigences de sécurité (lors des transactions) afin de protéger les données. La mise en place d’un système d’authentification forte est l’une des obligations qui découlent de l’entrée en vigueur de cette directive.
Désormais, avant de se connecter à son compte bancaire, de valider une opération ou d’accéder à ses informations sensibles, tout client doit confirmer son identité. Il doit notamment fournir à la machine au moins 2 facteurs d’authentification parmi les 3 suivants :
- Un facteur mémoriel que l’utilisateur est le seul à connaître (mot de passe, code PIN, réponse à une question sécrète…) ;
- Un facteur matériel que le client a en sa possession (téléphone, ordinateur, clé USB, appareil connecté…) ;
- Un facteur corporel indissociable de l’utilisateur (empreinte digitale, vocale, reconnaissance faciale…).
Il faut l’admettre, le risque zéro n’existe pas. Mais, toutes ces mesures permettent de rendre les transactions électroniques plus sûres.
Ouvrir le marché à d’autres acteurs
La DSP2 a permis l’entrée d’institutions financières non bancaires dans le secteur de la banque. Le deuxième objectif de la directive porte donc sur les communications sécurisées entre les établissements bancaires et les acteurs du secteur financier, dont les sociétés de technologie financières (les Fintechs).
La DSP2 réglemente les prestataires de services de paiement tiers (PSP tiers). Ces derniers peuvent accéder aux comptes des utilisateurs, utiliser leurs données et ordonner l’exécution d’opérations de paiement. Le but est de favoriser la concurrence, la transparence et l’innovation. Mais la question qui se pose est alors la suivante : ces PSP tiers, qui sont-ils exactement ? Ils comprennent :
- Les Prestataires de Services d’Initiation de Paiement (PSIP) ;
- Les agrégateurs et Prestataires de Services d’Information sur les Comptes (PSIC).
Les PSIP proposent aux clients d’initier le paiement pour leur compte. Cela permet de rassurer les détaillants. Quant aux (PSIC), ils offrent à leurs clients une vue d’ensemble des comptes et soldes disponibles.
Accroître l’accessibilité des données bancaires
La DSP2 a permis d’accroître l’accessibilité des données bancaires. Pour protéger ces informations et réduire les risques de piratage, la création d’un canal de communication sécurisé s’imposait. Les API (Interface de Programmation Applicative) ont donc fait leur apparition. Ces interfaces permettent aux commerçants, aux Fintechs et aux banques de communiquer librement. Elles permettent également aux banques de partager leurs données avec des PSP tiers.
La DSP2, les certificats requis
La DSP2 garantit un niveau élevé de sécurité. Cependant, pour s’y conformer, il faut s’équiper de 2 certificats électroniques :
- Le certificat eIDAS Qualified Website Authentication Certificate (QWAC) ;
- Le certificat eIDAS Qualified Electronic Seal Certificate (Qseal).
Grâce au certificat eIDAS QWAC, les serveurs d’un PSP et d’une banque ont la possibilité de s’authentifier mutuellement et de maintenir les communications chiffrées. C’est un certificat SSL/TLS qualifié. Son utilisation réduit considérablement la vulnérabilité des transactions aux cyberattaques.
Le certificat eIDAS Qseal permet aux serveurs d’un PSP et d’une banque de sceller le contenu d’une transaction. Les données n’étant pas modifiables, l’intégrité de chaque échange est préservée. Ce certificat permet également aux banques et aux prestataires tiers de s’assurer qu’une transaction a été initiée par un organisme certifié avant d’y donner une suite.
En somme, les certificats DSP2 permettent aux acteurs de l’Open Banking de sécuriser les transactions et les données de compte de paiement. Seuls les prestataires de services de confiance qualifiés (Qualified Trust Service Provider) et audités pour la norme ETSI TS 119 495 sont habilités à les délivrer.
Les implications de la DSP2 pour l’Open Banking
Depuis 2018, tous les acteurs du paiement peuvent communiquer à travers un canal sécurisé. Cela favorise la mise en place d’un système Open Banking de confiance. Ce dernier améliore l’interopérabilité entre tous les acteurs. Au fil du temps, il devrait donner naissance à des services de plus en plus innovants.
On assiste déjà à une révolution dans ce secteur avec la large gamme de services innovants que proposent les nouveaux acteurs en s’appuyant sur les données fournies par les banques. Ce nouvel écosystème inspire une grande confiance aux utilisateurs puisque les exigences sécuritaires sont très élevées.
NetExplorer, la solution pour la sécurisation des données bancaires
Avec l’entrée en vigueur de la DSP2, la sécurisation des données bancaires est devenue le cheval de bataille de toutes les agences qui interviennent dans le secteur de la banque (et des assurances). Pour vous accompagner dans ce sens, NetExplorer met à votre disposition diverses solutions que vous pouvez exploiter pour stocker, gérer et transférer en toute sécurité les données sensibles de vos clients :
- Plateforme centralisée pour la réception des fichiers clients ;
- Data centers situés en France (pour l’hébergement des documents conformément à la législation française) ;
- Application responsive, personnalisable et optimisée pour le travail collaboratif ;
- Accès aux données sécurisées par la certification PCI DSS.
Notre offre certifiée PCI DSS de niveau 3 vous donne droit à un serveur dédié qui garantit l’intégrité et l’inviolabilité de vos données. Vous profitez également d’une prestation d’infogérance renforcée, comme l’exigent les normes sécuritaires de la PCI (Payment Card Industry). Cet écosystème normatif peut être mis en œuvre conjointement avec les certificats eIDAS QWAC et Qseal pour un niveau de sécurité accru.
N’hésitez pas à nous contacter pour en savoir plus.