Paypal, Circle, Skrill, Payza, SolidtrustPay, Payeer, BitPay … les processeurs de paiement explosent depuis peu de temps. Avec la nouvelle directive européenne DSP2, une épreuve de force est lancée entre les sociétés de la Fintech (technologies financières) et les banques traditionnelles. Entre innovations et concurrences accrues, quels sont les risques pour le particulier ?
La tendance est à « l’open banking »
On assiste ces derniers temps à une évolution vers l’open banking qui promet de donner plus de choix et d’offrir plus de services aux clients et pousser, par la force des choses, les acteurs traditionnels, comme les banques, à résister en développant des services compétitifs (mobilité, rapidité, disponibilité instantanée des fonds, offre packagée, agrégation des comptes).
Le 13 janvier 2018, l’application de la directive des services de paiement DSP2 a permis de rendre accessibles, gratuitement, les données des comptes de paiement à des nouvelles catégories d’acteurs comme les initiateurs de service de paiement, autrement dit les processeurs de paiement.
Selon la Commission européenne, le but de ce DSP2 est de « moderniser les services de paiement en Europe au profit tant des consommateurs que des entreprises, de manière à rester en phase avec ce marché en évolution rapide ».
Globalement, il est question d’interdire la sursaturation (surcharging) des cartes de crédit et des cartes de débit (représentant des centaines de millions d’euros par an en Europe), abaisser la franchise en cas de paiement frauduleux, obliger la mise en place de l’authentification forte, mais surtout, ouvrir le marché à de nouveaux acteurs en donnant accès aux informations sur les comptes par un canal de communication sécurisé (après approbation du détenteur du compte).
Donner les clefs du royaume bancaire à la Finntech
Cette directive est un défi pour les banques qui sont, jusqu’ici et à priori, responsables de la sécurité des comptes de leurs clients. Pour donner accès aux comptes de leurs clients (une fois l’approbation du client donnée), les banques devront adapter leur interface bancaire en ligne ou bien créer une interface spécifique (API).
Pour laisser leur le temps de mettre en place un tel arsenal informatique, les processeurs de paiement pourront continuer à accéder aux données en pratiquant la capture d’écran grâce aux codes d’accès du client jusqu’en septembre 2019. Le danger avec l’apparition de ces nouveaux acteurs ? Premièrement, la désintermédiation qui va entraîner une perte de visibilité et de contrôle sur les clients.
Qui sera le garant de la détection des anomalies bancaires ?
Récemment, le rapport de l’OSMP (Observatoire de la Sécurité des Moyens de Paiement, présidé par le gouverneur de la Banque de France et crée avec la loi Sapin 2) souligne que la fraude sur les virements (représentant 87 % de la valeur d’euros échangés en 2017) est de 78 millions d’euros dont les deux tiers sont attribuables à des transactions internationales. 54 % des montants fraudés ont fait l’objet d’attaques informatiques (malware, phishing) pour usurper les identifiants de connexion et 42 % sont attribuables à de l‘ingénierie sociale comme la fraude au président.
Du côté des prélèvements, l’année 2017 cumule 9 millions d’euros de fraudes (contre 40 millions en 2016) avec 70% perdus à cause de créancier frauduleux (émission d’ordre de prélèvement sans mandat) et 26 % à cause de détournement (usurpation d’IBAN). Comment vont évoluer ces chiffres avec l’introduction de nouveaux acteurs bancaires ? Qui sera responsable de veiller aux anomalies bancaires ?
Vers la fin de l’obligation de vigilance ?
Lors de la mise en place de ce DSP 2, banques et sociétés de la fintech ne paraissent pas vouloir progresser main dans la main. Pour preuve : les banques redoutent les risques de piratage et les nouveaux acteurs se plaignent déjà de devoir affronter à l’avenir des difficultés pour avoir accès aux comptes de leurs clients.
On peut donc se demander quelle place aura le client dans ce trio ? Comme nous vous l’avions souligné précédemment, endiguer le phénomène des faux brokers et des entités non régulées vendant des diamants ou bitcoins passera par la prévention auprès des clients potentiels de ce genre de produits mais aussi, par une répression accrue des banques pour manquement à la détection d’anomalies bancaires.
Désormais, avec les processeurs de paiement dans la boucle, qui sera responsable des anomalies bancaires ?