DSP 3 : des promesses et des points à clarifier
Présentée en juin 2023 par la Commission européenne, la DSP3 (directive sur les services de paiement) a pour but d'améliorer le fonctionnement de l'open banking en corrigeant les faiblesses de sa petite sœur, la DSP2. Le texte est actuellement discuté au Parlement européen. On ne connait donc pas encore sa version définitive, ni sa date d'entrée en vigueur.
Des estimations semblent toutefois possibles : "La version définitive du texte devrait intervenir pour la fin de l'année ou pour début 2025", prédit Benjamin Tubiana, avocat pour le cabinet Haas. "Ensuite, les Etats auront 26 mois pour transposer la directive dans leur droit national". Traduction, l'entrée en vigueur de la DSP 3 ne devrait pas arriver avant 2027.
Si le texte final n'est pas encore rédigé, on connait déjà ses grandes lignes. La DSP3 porte une attention particulière à la lutte contre la fraude. Les banques et les PSP (prestataire de services de paiement) pourront "partager entre eux n'importe quelle information relative à une fraude", indique Benjamin Tubiana. On ne sait pas encore comment, mais le texte prévoit aussi de renforcer les règles d'authentification des clients. La DSP3 promet également d'étendre les cas où le consommateur victime d'une fraude sera remboursé. Mais là encore, aucun exemple concret ne vient illustrer ce propos. Enfin, tous les acteurs qui initient des virements (aussi bien les banques que les fintechs) devront mettre en place un système de vérification de la correspondance entre le numéro IBAN du bénéficiaire et le nom du compte.
Sanction des API peu performantes ?
La DSP3 promet par ailleurs plus de transparence pour les consommateurs sur les frais de tenues de compte et sur les frais de gestion des distributeurs automatiques de billets. Mais s'il y a bien une partie du texte qui sera scrutée par les professionnels du paiement, c'est celle que la Commission européenne appelle "uniformiser davantage les conditions de concurrence entre les banques et les non-banques".
Pour cela, la DSP3 garantit aux PSP l'accès à tous les systèmes de paiement de l'Union européenne, et notamment à la plateforme "Target" de la BCE, déjà utilisée par les banques pour exécuter des paiements en temps réel. Par ailleurs, la DSP3 est complétée par un règlement nommé PSR (règlement sur les services de paiement). L'article 32 de ce règlement précise que lorsqu'une banque refuse qu'un PSP ouvre un compte chez elle, elle doit préciser les raisons de ce refus. Pour rappel, certaines fintechs qui proposent des infrastructures de paiement ouvrent chez une banque ce qu'on appelle un compte de cantonnement pour dissocier ses propres fonds de ceux du bénéficiaire du paiement.
Il s'agit là de belles promesses pour les fintechs. Mais ces dernières aimeraient sans doute que le texte aborde d'autres points qui ont pu provoquer chez elles certaines crispations, comme l'absence de communication des banques qui refusent les virements qu'elles souhaitent initier ou la qualité des API bancaires. D'après nos informations, la version finale de la DSP3 pourrait justement se pencher sur le sujet de la qualité des API bancaires en permettant aux régulateurs locaux de sanctionner les banques qui ne jouent pas le jeu.