La DSP2 et les défis pour les prestataires de services de paiement

Avec l'entrée en vigueur de la PSD2 en janvier 2018, les prestataires de services d'initiation de paiement et d'information sur les comptes ont été pour la première fois soumis à une réglementation et à une surveillance uniforme de la part de la Bafin. Cela pose divers défis aux prestataires de services de paiement.

L'introduction de la deuxième directive sur les services de paiement, la directive (UE) 2015/2366 (PSD2), soulève un certain nombre de questions juridiques intéressantes pour les paiements numériques. En particulier, les nouvelles exigences en matière de gestion des risques informatiques et les demandes accrues d'authentification du payeur par une authentification forte du client, une authentification à deux facteurs consistant en la connaissance, la possession ou l'héritage, posent des défis aux prestataires de services de paiement.

Les innovations numériques dans les opérations de paiement numérique

Outre l'amélioration de la protection des utilisateurs de services de paiement et le renforcement de la sécurité informatique, l'objectif déclaré de la législation PSD2 a toujours été de créer un espace pour les innovations numériques dans les opérations de paiement numérique. Cela devait se faire notamment en réglementant les services d'initiation des paiements (SIP) et les services d'information sur les comptes (SIA).

Cependant, les objectifs ne sont pas encore pleinement atteints car les procédures ne passent pas l'épreuve pratique. Trop de questions de mise en œuvre restent en suspens et seront examinées ci-dessous. Le futur sujet des paiements numériques est le paiement instantané, pour lequel une base uniforme sera créée avec l'introduction du recueil de règles SEPA correspondant. En outre, la question se pose de savoir si la technologie de la chaîne de blocs ou du grand livre distribué (DLT) va modifier les opérations de paiement. À cet égard, la section suivante examinera les obstacles juridiques qui doivent encore être surmontés.

AIS et PIS - L'ouverture de la banque

Avec l'entrée en vigueur de la directive PSD2 le 13 janvier 2018, les fournisseurs d'AIS et de PIS seront pour la première fois soumis à une réglementation et à une surveillance uniforme de la part de l'autorité fédérale allemande de surveillance financière. Cette évolution, qui jusqu'à présent reposait essentiellement sur le droit de la concurrence en Allemagne, va maintenant s'appuyer sur une base solide en termes de contrôle et de droit civil.

Les prestataires de SIA et de SIP seront à l'avenir soumis à une obligation d'enregistrement (SIA) ou d'autorisation (SIP), à moins qu'ils ne soient déjà autorisés à fournir tous les services de paiement en tant qu'établissements de monnaie électronique ou de crédit. La réclamation de droit civil de l'utilisateur de services de paiement contre son agence de tenue de compte, généralement sa banque habituelle, pour l'utilisation d'un AIS ou d'un PIS est assortie d'exigences de contrôle selon lesquelles l'agence de tenue de compte doit accorder aux prestataires d'AIS et de PIS l'accès au compte.

En d'autres termes, les fournisseurs de SIA et de PIS peuvent utiliser gratuitement l'infrastructure des banques pour leurs services. Toutefois, cela ne signifie en aucun cas "banque ouverte" dans le sens où le fournisseur d'AIS ou de PIS se verrait accorder des droits de lecture et d'accès complets. Le règlement exige plutôt que la succursale titulaire du compte fournisse les informations pertinentes requises par le règlement. En outre, les fournisseurs d'AIS et de PIS sont soumis à certaines obligations de conduite, notamment en ce qui concerne le traitement des données qui ne peuvent être utilisées qu'aux fins prévues. Toutefois, cela n'est pas nécessairement en contradiction avec les modèles commerciaux qui veulent utiliser les données des clients si le client est seulement d'accord.

Il est à craindre que les nouvelles réglementations sur l'accès aux comptes s'avèrent être le point névralgique pour l'AIS et le PIS. Avec les normes d'application pour l'authentification forte des clients et la communication sécurisée (ABE RTS) développées par l'Autorité bancaire européenne (ABE), qui ont été publiées dans le projet final dès février 2017 (ABE/RTS/2017/02) mais qui sont encore en cours de coordination entre l'ABE et la Commission européenne, les spécifications techniques abstraites pour la communication entre l'entité chargée de la tenue de compte et les fournisseurs des nouveaux services ont été créées.

Toutefois, cela ne change rien au fait que la fragmentation technique existe. Chaque banque peut proposer sa propre prise. Cette fragmentation, qui existe sur la base des exigences juridiques actuelles, ne peut être modifiée que par une normalisation pilotée par le marché. La BCE, par exemple, pourrait être un facteur déterminant à cet égard. En attendant, les prestataires de services techniques pourraient constituer une solution provisoire en regroupant les différentes normes.

Haute importance des paiements instantanés

Prêts en novembre 2017, le recueil de règles pour les virements instantanés SEPA élaboré par le Conseil européen des paiements (EPC) est entré en vigueur. Les payeurs peuvent donc transférer des paiements en euros jusqu'à un montant de 15 000 euros à un bénéficiaire dans un délai de 10 secondes. Certains acteurs du marché s'attendent à ce que les paiements instantanés deviennent très importants, en particulier lorsqu'ils sont liés à un PIS.

D'un point de vue juridique, les paiements instantanés s'intègrent parfaitement dans la PSD2. Ils doivent être traités comme n'importe quel autre virement bancaire. En particulier, les règles de responsabilité et les autres dispositions relatives à la conception de l'ordre de paiement (par exemple, sur la révocabilité d'un paiement) peuvent être facilement couvertes par les règlements existants.

Des difficultés sont donc susceptibles de survenir dans la mise en œuvre, moins d'un point de vue juridique que technique. Tous les processus qui jouent un rôle informatique dans le traitement d'un paiement doivent être mis en œuvre dans le petit délai prévu par le règlement. À ce stade, les exigences légales jouent à nouveau un rôle, car le droit de surveillance exige la surveillance des transactions. Cela inclut notamment le contrôle conformément à la loi sur le blanchiment d'argent (LBA).

Bien que certaines de ces exigences aient déjà existé dans le passé, la PSD2 et le SRT de l'ABE augmenteront encore les exigences imposées aux prestataires de services de paiement. Le projet ABE sur le RTS prévoit que les prestataires de services de paiement doivent également établir des processus dans le cadre de la surveillance des transactions afin de pouvoir détecter d'éventuelles fraudes aux paiements (par exemple, des signes d'infection par des logiciels malveillants).

Alors que ces exigences s'appliquent à toutes les procédures de paiement. Dans le cas du paiement instantané, cependant, en raison du court délai d'exécution, la question de la mise en œuvre technique se posera avec une urgence différente. Le cadre réglementaire pour les solutions de chaîne de blocs

Tandis que le paiement instantané s'appuie sur l'infrastructure existante pour les transferts, la technologie de chaîne de blocs ou de grand livre distribué tente d'innover complètement (et pas seulement) dans les opérations de paiement. En termes très simples, le DLT n'utilise pas de stockage central de données. Au lieu de cela, les transactions sont saisies de manière décentralisée et ne sont pas seulement vérifiées par un bureau central. L'objectif est de permettre des transactions entre les différents participants sans qu'un tiers n'agisse en tant qu'intermédiaire.

Une distinction doit être faite entre la technologie et les crypto-monnaies telles que Bitcoin, qui est actuellement son cas d'utilisation le plus connu. Contrairement à ce qui est parfois suggéré, les solutions de chaînes de blocs (et notamment les offres de crypto-monnaie) ne fonctionnent pas dans un vide juridique. Le droit (de surveillance) est neutre sur le plan technologique, c'est-à-dire qu'il n'est généralement pas lié à l'utilisation d'une technologie particulière. Le facteur décisif est plutôt l'objet de l'activité. Par exemple, une solution de paiement par chaîne de blocs, dans laquelle les unités de valeur stockées sont émises/activées ou gérées par un bureau central contre paiement d'un montant monétaire, est régulièrement de la monnaie électronique. La forme de stockage (centralisé ou décentralisé) n'est pas importante à cet égard.

Les pièces de monnaie électronique qui sont créées "de l'intérieur", c'est-à-dire sans émetteur central, ne sont généralement pas de la monnaie électronique. Cela ne signifie pas pour autant que les Bitcoins évoluent dans un espace "non réglementaire". Les Bitcoins, par exemple, sont plutôt des unités de compte (numériques) qui, en tant qu'instruments financiers, sont soumis à une réglementation stricte en vertu de la loi sur les opérations de bourse.

Pour la mise en œuvre de projets de chaînes de blocs, cela signifie que les participants, qu'ils soient actuellement considérés comme supervisés ou non, doivent s'occuper de la classification réglementaire de la solution prévue afin de pouvoir mettre en œuvre les questions de licence et autres exigences en premier lieu.

Conclusion : le droit et la technologie doivent interagir

Il sera donc d'une importance capitale pour les futurs sujets abordés ci-dessus de savoir comment les exigences légales peuvent être techniquement mises en œuvre. Une interaction étroite entre le droit et la technologie est donc essentielle lors de l'introduction de nouvelles solutions de paiement.