« Ce n’est pas la plus forte ni la plus intelligente des espèces qui survivra, mais celle qui est la plus apte à changer. » ~ Charles Darwin
La Commission européenne décrit les nouvelles propositions pour la troisième directive sur les services de paiement (DSP3) comme une évolution par rapport à la DSP2. Mais cette évolution aura-t-elle une incidence fondamentale sur la prestation de services de paiement en Europe?
Selon le dernier sondage de The Global Treasurer sur les transactions bancaires, mené en collaboration avec CGI, les paiements et les services de gestion de trésorerie restent les principaux éléments différenciateurs pour les entreprises. Les fournisseurs de services de paiement subissent de fortes pressions pour assurer un réseau en temps réel, améliorer la visibilité des paiements et faciliter les transactions complexes.
Cet article de blogue analyse les catalyseurs de la DSP3 et du Règlement sur les services de paiement (RSP1) qui l’accompagne. Je présenterai un bref résumé des changements et j’aborderai les principaux aspects à prendre en compte pour que votre organisation adopte la bonne approche pour assurer sa mise en conformité. Je décrirai également les principaux défis et opportunités en matière de conformité et, bien sûr, je proposerai des solutions.
Quels sont les catalyseurs de l’évolution de la DSP2?
La DSP2 a largement contribué à façonner le système des paiements en Europe et au Royaume-Uni. Elle est considérée comme une grande réussite, mais la Commission européenne a conclu qu’il restait encore beaucoup à faire. Les principaux éléments à prendre en compte sont connus :
- La fraude change, mais ne disparaît jamais. Malgré le succès de l’authentification rigoureuse des clients, la fraude évolue au même rythme que les systèmes de paiement. Les consommateurs restent exposés au risque d’une augmentation de la fraude, notamment sur les paiements directs autorisés (APP) et l’usurpation d’identité. Pour maintenir la confiance des consommateurs, la réponse à la fraude doit continuer à évoluer.
- Le système bancaire ouvert a fait sentir ses effets, mais pas autant qu’on le pensait. Cela est dû en partie aux obstacles qui subsistent, tels que l’accès aux données et la fiabilité des API bancaires.
- L’incohérence du marché est une autre question qui doit être abordée. Le marché européen des paiements est fragmenté en raison des différentes interprétations et mises en œuvre de la DSP2 dans les États membres de l’Union européenne (UE). Cela a conduit au phénomène d’« élection de juridiction », les prestataires de services de paiement (PSP) cherchant à obtenir la mise en œuvre de la DSP2 la plus favorable pour eux.
- Enfin, en raison de l’incertitude et de l’incohérence réglementaire, les règles du jeu restent inégales entre les prestataires de services de paiement bancaires et non bancaires.
Comment la DSP3 relève-t-elle ces défis?
La DSP3 reste une directive de l’UE axée sur la définition des licences et des règles applicables aux établissements de paiement. Par conséquent, elle devra être adoptée dans le cadre du droit national de l’UE. En revanche, le nouveau RSP1 est un règlement européen qui s’applique directement aux États membres de l’UE, sans qu’il soit nécessaire de le mettre en œuvre au niveau national.
De nombreux points méritent d’être soulignés, notamment :
- Passage d’une directive à un règlement : La DSP2 deviendra un règlement (RSP1), garantissant une mise en œuvre cohérente sur les marchés nationaux.
- API de meilleure qualité : Le RSP1 (article 54 et suivants) contient de nouvelles règles sur les fonctionnalités et les performances de base que les API des prestataires de services de paiement doivent prendre en charge. Le règlement prévoit également des API « hauts de gamme », dont l’accès peut être payant. Il s’agit là d’une grande opportunité, et il sera intéressant de voir comment les banques réagiront.
- Meilleure authentification des utilisateurs (en particulier pour les clients du système bancaire ouvert) : Les parcours d’authentification des utilisateurs vont être simplifiés dans le cadre du RSP1. Le règlement donne des exemples de difficultés à éviter. Par exemple, les prestataires de services de paiement titulaires d’un compte peuvent exiger des prestataires de services d’initiation de paiement de limiter les paiements aux seuls bénéficiaires figurant sur la liste des bénéficiaires du payeur ou aux bénéficiaires nationaux. Et il y en a beaucoup d’autres.
- Accès direct aux systèmes de paiement pour les prestataires de services de paiement ne détenant pas de compte : Dans le cadre de la proposition de DSP3 publiée l’été dernier, la Commission européenne a inclus une modification de la directive sur le caractère définitif du règlement (DCDR) qui donne aux établissements de paiement et de monnaie électronique le droit d’accéder directement à l’infrastructure de règlement (à condition, bien sûr, qu’ils puissent satisfaire aux exigences des systèmes de paiement en matière de risque, etc.).
- Renforcement des mesures de lutte contre la fraude sur les paiements : Le RSP1 va étendre les exigences relatives au numéro de compte bancaire international (IBAN) et à la vérification du nom (qui seront mises en place par la réglementation sur les paiements instantanés) à toutes les formes de virements. Il précise également que les prestataires de services de paiement sont tenus de s’assurer que les coordonnées du compte du bénéficiaire fournies par le payeur correspondent à celles du compte du destinataire.
- Fusion des établissements de monnaie électronique et des établissements de paiement : La DSP3 propose d’intégrer les régimes de licences des établissements de paiement et le mode de versements mensuels égaux (VME). Cela permettra de réduire considérablement les différences entre les régimes (même si quelques différences résiduelles subsistent).
La publication de la DSP3 est prévue pour fin 2024, après quoi les États membres disposeront d’une période de transition de 18 mois pour intégrer la directive dans leur législation. Cela signifie que la DSP3 et le RSP1 entreront probablement en vigueur en 2026.
Paiements européens – Évolution ou révolution?
Je vais prédire une évolution plutôt qu’une révolution, car la DSP3 poursuit les mêmes objectifs que la DSP2. Toutefois, cela ne signifie pas qu’il n’y aura pas des gagnants et des perdants.
Si les banques, en tant que fournisseurs de comptes de paiement, doivent se conformer aux nouvelles exigences de la DSP3 et du RSP1, des opportunités vont s’offrir à celles qui seront suffisamment flexibles pour en tirer parti. Par exemple, en se conformant aux nouvelles exigences en matière de fraude et de vérification des comptes, les banques pourront tirer parti de l’intelligence artificielle, et ainsi se différencier nettement en matière d’expérience client et réduire leurs coûts internes.
Il demeure nécessaire de disposer de systèmes de paiement flexibles, construits sur des architectures qui permettent de modifier des parties distinctes, telles que les microservices et les architectures basées sur les API, pour éviter de compromettre et de perturber l’ensemble. En outre, les PSP devraient envisager de revoir leurs stratégies de paiement globales pour s’assurer de ne pas simplement réagir à la nouvelle législation, mais d’en tirer pleinement parti. Ils devraient également rechercher des opportunités d’adoption de nouvelles technologies telles que l’IA ou le passage à l’informatique en nuage.
Qu’en est-il du Royaume-Uni? Bien que le Royaume-Uni ne soit pas formellement lié par la DSP3, les paiements sont une activité internationale et il sera donc sans aucun doute nécessaire d’évaluer comment son approche (légèrement différente) va se conformer à celle de l’Europe. Cela pourrait se faire en partie par la mise en place d’une nouvelle architecture des paiements au Royaume-Uni.
Pour les institutions financières qui ne sont pas formellement liées par la DSP3, il convient de prendre en compte le fait que les paiements sont une activité internationale et qu’ils sont en constante transformation. Des initiatives réglementaires dans d’autres juridictions financières, telles que la nouvelle architecture des paiements du Royaume-Uni, seront probablement évaluées en fonction de la DSP3 et du RSP1, voire calquées sur eux.
Chez CGI, nous sommes au cœur de la technologie et du conseil en matière de paiements depuis des décennies, en collaboration avec plusieurs des plus grandes banques d’Europe et du Royaume-Uni, ainsi qu’avec des banques de premier plan dans le monde entier. Si vous êtes intéressé par ce sujet, nous serions ravis d’en discuter avec vous. N’hésitez pas à m’appeler ou à nous rencontrer lors de l’événement EBAday et d’autres congrès cette année.