Fraude, API, fusion des agréments… qu'attendent les fintechs du paiement de la DSP3 ?
Présentée en juin 2023 par la Commission européenne, la DSP3 (directive sur les services de paiement) a pour but d'améliorer le fonctionnement de l'open banking en corrigeant les faiblesses de sa petite sœur, la DSP2. La version définitive de ce texte, actuellement discutée au Parlement européen, devrait intervenir au premier semestre de 2025.
Fusion des agréments : éviter des démarches trop lourdes
La mesure n'a pas encore fait beaucoup de bruit. Elle est pourtant loin d'être anecdotique. En effet, la DSP3 prévoit une fusion des agréments établissement de paiement (EP) et établissement de monnaie électronique (EME). Pour mettre en place une telle initiative, deux possibilités sont étudiées : soit les fintechs concernées devront monter un nouveau dossier, soit elles devront simplement apporter quelques informations pour compléter leur dossier initial. Selon Fintecture, qui a participé aux discussions souterraines avec le régulateur, l'option numéro deux devrait être privilégiée. Une bonne nouvelle selon Faysal Oudmine, CEO de cette fintech spécialiste du virement : "Personne n'a intérêt à ce que la DSP3 privilégie l'option qui implique de déposer un nouveau dossier. Ni le régulateur car sa charge de travail serait trop importante. Ni les fintechs qui se retrouveraient à mobiliser des ressources importantes en conformité au détriment d'enjeux business prioritaires, notamment dans un contexte économique sous tension".
Définir un cadre clair du compte à compte
La DSP2 a permis l'essor du paiement compte à compte. Mais selon Aude Vicaire, CEO de la plateforme de paiement Market Pay, cette pratique souffre de l'absence d'un "cadre commercial qui définit les droits et les devoirs de chaque acteur impliqué dans le paiement compte à compte, comme c'est le cas avec le paiement par carte". Au lendemain de la DSP2, Market Pay avait ajouté le virement à sa plateforme de paiement… avant de le retirer, faute "de standards clairs qui sont pourtant indispensables au développement d'une pratique à grande échelle". Si la DSP3 introduit ce fameux cadre pour le compte à compte, la fintech n'écarte pas de revenir sur sa décision.
API bancaires : plus de communication… et plus de sanctions ?
Les API bancaires, voilà un véritable sujet de crispation entre les banques et les fintechs qui initient des virements. Une fintech comme Bridge réclame plus de communication et de transparence de la part des banques quand celles-ci refusent de déclencher un virement : "84% des rejets ne sont pas justifiés", regrette Alexis Roque, directeur général de cette fintech spécialiste de l'open banking. Par ailleurs, le texte pourrait instaurer des sanctions pour punir les banques dont les API ne respectent pas "un standard de qualité minimale", fait savoir Faysal Oudmine. "Est-ce que la mise en place de sanctions permettra de dénouer des situations ?", s'interroge Alexis Roque. "On ne peut pas que punir. Je préfère qu'on rassemble les différents acteurs concernés et qu'on trouve des business models communs".
Renforcer les dispositifs anti-fraude
Cette attente a déjà été en partie prise en compte. En effet, la DSP3 est accompagnée du PSR (règlement sur les services de paiement) dont l'article 83 impose les entités régulées à "partager entre elles les informations relatives à la fraude". Concrètement, en cas de suspicion d'attaque, les équipes anti-fraude des banques et fintechs devront partager entre elles plusieurs éléments comme le montant de la transaction suspecte, des caractéristiques sur le comportement du payeur, ou encore l'IBAN de ce dernier. "On a participé à l'élaboration de cet article", se félicite Faysal Oudmine."On gère des transactions par virement dont le panier moyen est 20 fois supérieur à celui de la carte bancaire donc on veut vraiment maximiser nos chances de lutter contre la fraude".
Toujours sur la question de la fraude, Aude Vicaire espère que la DSP3 repense le système d'authentification forte : "Avec elle, le consommateur victime d'une attaque est toujours déclaré fautif. On lui enlève un moyen de défense. Il faudrait qu'on le protège davantage sans rajouter trop de frictions dans le parcours de paiement car si c'est le cas, les commerçants paieront les pots cassés". L'équation semble dure à résoudre. Mais la CEO de Market Pay insiste : "La DSP3 doit faire grandir tous les acteurs du paiement car la fraude est de plus en plus sophistiquée".
Un tremplin vers l'open finance
La DSP3 vise à améliorer la DSP2 qui a mis en place l'open banking. Logiquement, son but est d'améliorer le fonctionnement de ce dernier. Mais les fintechs en attendent davantage. Au moins du côté de Bridge si l'on se fie à son directeur général Alexis Roque : "On espère que le texte sera un tremplin pour préparer au mieux FiDA et l'open finance". Pour rappel, ce règlement, qui prévoit la circulation de toutes les données financières (et pas seulement bancaires comme la DSP2 et la DSP3) a été voté par les députés européens en avril et son adoption devrait intervenir courant 2025.