La directive sur les services de paiement (DSP2) a pour objectif de favoriser l’innovation, la concurrence et l’efficience. Elle instaure notamment des normes de sécurité plus strictes pour les paiements en ligne. Et cela afin de renforcer la confiance des consommateurs dans les achats en ligne.

Cette directive s’applique à tous les services de paiement en ligne, ainsi qu’aux prestataires de services, dans toute l’Union européenne (UE) ainsi que l’Espace économique européen (EEE).

Pour les banques, la DSP2 présente des enjeux importants. Elle les oblige notamment à mettre en œuvre l’authentification forte à plusieurs facteurs et à s’ouvrir aux prestataires de services de paiement tiers (PSP). Désormais, les banques ne sont plus les seuls intermédiaires entre le commerçant et son client.

Les prestataires de services tiers sont des fintechs qui grâce à leur technologie proposent de nouveaux services aux consommateurs.

Avant la directive, ces entités n’avaient pas accès aux données des banques. Afin d’exercer leurs services, elles « demandaient » les codes d’accès de banques aux utilisateurs et se connectaient à travers des robots à leur compte bancaire afin de récupérer les informations nécessaires à l’exécution de leurs services.

Cette technique de « web scraping » empêche les banques de différencier s’il s’agit du client actuel ou du prestataire de service tiers (information / paiement).

Les normes techniques prévues dans la directive DSP2 font de l’authentification forte la condition de base. Et ce pour que le client puisse accéder à son compte de paiement ou effectuer des paiements en ligne. Cela implique que, pour prouver son identité, l’utilisateur devra répondre au moins à deux des trois conditions suivantes :

• Un mot de passe ou un code que seul l’utilisateur connaît,
• Un appareil (téléphone mobile, carte à puce, etc.) que seul l’utilisateur possède,
• Une caractéristique personnelle du client (empreinte digitale, reconnaissance vocale, ou faciale).