La 2ème Directive Européenne sur les Services de Paiement, en vigueur dans l’Union Européenne depuis le 13 janvier 2018, comporte un ensemble de dispositions règlementaires visant à renforcer la sécurité des paiements, et relevant du champ de compétences de la Banque de France au niveau national.

Notifications à la Banque de France

La 2ème Directive Européenne sur les Services de Paiement, en vigueur dans l’Union Européenne depuis le 13 janvier 2018, comporte un ensemble de dispositions règlementaires visant à renforcer la sécurité des paiements, et relevant du champ de compétences de la Banque de France au niveau national.

La transposition de la directive prévoit en particulier que les prestataires de services de paiement (PSP) notifient à la Banque de France la survenance de certains événements spécifiques :

  • a) en application de l’article L. 133-17-1 du Code Monétaire et Financier, lorsqu’un PSP gestionnaire de compte bloque l’accès d’un compte de paiement en ligne qu’il gère à un PSP tiers en raison d’un accès non autorisé ou frauduleux ;
  • b) en application de l’article L.133-18 du Code Monétaire et Financier, lorsqu’un PSP n’effectue pas le remboursement immédiat d’une opération de paiement non autorisée au motif qu’il soupçonne une fraude de l’utilisateur ;
  • c) en application de l’article L. 521-10 du Code Monétaire et Financier et de l’art 249-1 de l’arrêté sur le contrôle interne, les incidents majeurs de sécurité.

Les notifications au titre du a) sont à déclarer par le prestataire de services de paiement générateur de l’évènement par mail.

Depuis le 1er janvier 2020 les notifications au titre du b) doivent être déclarées sur une base mensuelle par le prestataire de services de paiement ou son délégataire au travers du portail ONEGATE – OSCAMPS (portail de collecte de la Banque de France), par conséquent la remise de fichiers au format Excel n’est plus acceptée.

L’accès au portail de collecte s’effectue sans certificat d’authentification ; la création d’un compte remettant et son accréditation à la déclaration s’effectuent directement en ligne.

Les notifications au titre du c) sont à transmettre par le biais d’une interface sécurisée dédiée, conformément aux orientations de l’Autorité Bancaire Européenne en la matière. Les PSP sont invités à transmettre toute demande de documentation par mail.

Exigences en matière de sécurité définies par l’Autorité Bancaire Européenne

La directive a mandaté l’Autorité Bancaire Européenne pour élaborer, en étroite coopération avec la Banque Centrale Européenne, deux autres textes règlementaires portant sur la sécurité des paiements :

  • des normes techniques de réglementation (RTS) définissant les exigences de sécurité applicables aux prestataires de services de paiement relatives à l’authentification des transactions, à la protection des identifiants d’accès en ligne aux services de paiement et aux interfaces d’échanges entre PSP ;
  • des orientations (guidelines) portant sur les mesures de sécurité à mettre en œuvre par les prestataires de services de paiement en vue de maitriser leurs risques opérationnels et de sécurité.

Interface dédiée d’accès aux comptes de paiement et mécanisme d’exemption

Les modalités d’application des RTS définies par le décret n° 2018-1228 du 24 décembre 2018 prévoient l’ensemble des rapports et des notifications à déclarer auprès de l’Autorité de contrôle prudentiel et de résolution.

En particulier, les prestataires de services de paiement gestionnaires de comptes qui souhaitent bénéficier de l’exemption d’obligation de mettre en place un mécanisme d’urgence doivent adresser un rapport attestant de la conformité de l'interface dédiée aux dispositions sur la sécurité prévues par les RTS et détaillées par un référentiel sur la sécurité établi par la Banque de France en application de l'article L. 521-8 du Code Monétaire et Financier.

Ce rapport est réalisé par un centre d'évaluation agréé par l'Agence nationale de la sécurité des systèmes d'information conformément aux dispositions du décret n° 2002-535 du 18 avril 2002, c’est-à-dire un Centre d’évaluation de la sécurité des technologies de l’information (CESTI).

Liste des procédures et protocoles exemptés d’authentification forte en application de l’article 17 du règlement délégué (UE) 2018/389

En application du 4ème alinéa du I de  l’article L. 141-4 du code monétaire et financier, la Banque de France s’assure de la sécurité des moyens de paiement scripturaux. À ce titre, elle veille au respect par les prestataires de services de paiement de l’obligation d’appliquer l’authentification forte du client prévue à l’article L. 133-44 du code monétaire et financier, dont les exigences et les exemptions sont précisées par le règlement délégué (UE) 2018/389.

L’Article 17 de ce règlement délégué relatif aux procédures et protocoles de paiement sécurisés utilisés par les entreprises, prévoit que « les prestataires de services de paiement sont autorisés à ne pas appliquer l'authentification forte du client à l'égard de personnes morales qui initient des opérations de paiement électronique au moyen de procédures ou de protocoles de paiement dédiés qui sont uniquement mis à la disposition de payeurs qui ne sont pas des consommateurs lorsque les autorités compétentes ont acquis la certitude que lesdits procédures et protocoles garantissent des niveaux de sécurité au moins équivalents à ceux prévus par la directive (UE) 2015/2366 ».

Pour l’application de l’article 17 du règlement délégué (UE) 2018/389, les protocoles et procédures suivants bénéficient de l’exemption d’authentification forte du client :

  • EBICS-TS dans les versions 2.4 et suivantes ;
  • SWIFTNet.