55logo mikael le bot avocat

Accord européen sur la lutte contre la fraude bancaire : ce que la DSP3 et le RSP changent réellement

  • Droit bancaire

Le 27 novembre 2025, le Parlement européen et le Conseil de l’Union européenne ont trouvé un accord politique concernant la révision de la législation sur les services de paiement, un paquet connu sous le nom de DSP3 (Directive sur les services de paiement) et RSP (Règlement sur les services de paiement). Ce « deal » marque une étape significative dans la procédure législative qui vise principalement à renforcer la protection des consommateurs et à réduire la fraude persistante, considérée comme une préoccupation majeure qui n’était pas suffisamment traitée par la DSP2 actuelle.

Ce nouvel arsenal législatif est une réponse directe à l’augmentation de la fraude sophistiquée, notamment l’ingénierie sociale, qui a réussi à contourner l’Authentification Forte du Client (SCA) de la DSP2.

Voici les implications majeures de cet accord en matière de lutte contre la fraude bancaire :

1. Renforcement de la responsabilité des Prestataires de Services de Paiement (PSP)

L’un des changements les plus radicaux est le transfert d’une partie du fardeau de la perte financière des consommateurs vers les PSP, les obligeant ainsi à mettre en place des mesures de sécurité plus robustes.

Fraude par usurpation d’identité (Spoofing)

Le RSP introduit des règles spécifiques concernant la fraude par usurpation d’identité (ou spoofing), un type de fraude où un tiers malveillant manipule le client pour qu’il autorise un paiement frauduleux, souvent en se faisant passer pour un employé du PSP du consommateur (en utilisant le nom, l’adresse électronique ou le numéro de téléphone du PSP).

Dans ce scénario d’usurpation d’identité :

  1. Le PSP doit rembourser intégralement le consommateur du montant de l’opération de paiement autorisée de façon frauduleuse.
  2. Pour obtenir ce remboursement, le consommateur (qui doit être un consommateur, non une entreprise) doit avoir signalé la fraude à la police sans tarder et informé son PSP.
  3. Le droit au remboursement n’est pas applicable si le consommateur a commis un agissement frauduleux ou une négligence grave.
  4. Cependant, c’est au PSP qu’incombe la charge de prouver l’existence d’un agissement frauduleux ou d’une négligence grave de la part du consommateur.
  5. Si un fraudeur initie ou modifie une transaction, celle-ci sera considérée comme une transaction non autorisée, rendant le PSP responsable du montant frauduleux.

Il est important de noter que le Conseil avait proposé de limiter cette obligation de remboursement aux seuls cas où le fraudeur usurpe l’identité du PSP lui-même, plutôt que d’étendre la responsabilité à l’usurpation de toute entité privée ou publique (ce qui était la proposition initiale du Parlement).

Coopération des services de communication

Étant donné que l’usurpation d’identité utilise souvent les canaux de communication (téléphone, email), les prestataires de services de communications électroniques devront désormais coopérer avec les PSP pour prévenir ces fraudes, notamment en agissant rapidement pour mettre en place des mesures techniques et organisationnelles appropriées afin de préserver la sécurité et la confidentialité des communications, conformément à la Directive 2002/58/CE.

2. Vérification obligatoire du bénéficiaire (IBAN/Nom)

Afin de lutter contre les fraudes aux virements (où les fonds sont envoyés sur un compte différent de celui attendu) et de corriger les erreurs, le RSP introduit l’obligation d’étendre la vérification de la concordance entre l’identifiant unique (l’IBAN) et le nom du bénéficiaire (IBAN/name matching verification services).

  • Champ d’application : Ce service est étendu à tous les virements, y compris les virements réguliers, et pas seulement les paiements instantanés en euros. Il doit être proposé gratuitement aux consommateurs.
  • Alerte et Notification : Si l’identifiant unique (IBAN) et le nom du bénéficiaire ne concordent pas, le PSP du payeur doit notifier au payeur la divergence détectée et son degré avant que ce dernier n’autorise l’opération. Le payeur conserve la liberté d’ignorer cet avertissement et de procéder au virement, mais il doit être informé des conséquences potentielles.
  • Nouvelle Responsabilité : Si le PSP du payeur ne notifie pas une divergence détectée (en violation de l’Article 50(1) du RSP) alors qu’il aurait dû le faire, il sera tenu responsable de la perte financière pour le virement autorisé.
  • Action Récursoire : Si la responsabilité du PSP du payeur est imputable au PSP du bénéficiaire, ce dernier devra indemniser le PSP du payeur pour le préjudice subi.

3. Renforcement de l’authentification (SCA) et du contrôle des opérations

Le cadre maintient et améliore l’Authentification Forte du Client (SCA), tout en introduisant des mécanismes de détection plus sophistiqués pour les paiements en ligne.

  • Mécanismes de Contrôle des Opérations (MCO) : Les PSP devront mettre en place des mécanismes de contrôle des opérations sophistiqués pour prévenir et détecter les fraudes, allant au-delà de la simple application de la SCA. Ces mécanismes doivent être basés sur l’analyse des opérations antérieures et tenir compte des caractéristiques comportementales et environnementales typiques de l’utilisateur (telles que la localisation, l’heure de l’opération, le dispositif utilisé, les habitudes de dépenses et le magasin en ligne).
  • Responsabilité Technique : Les prestataires de services techniques et les opérateurs de schémas de paiement sont responsables de tout préjudice financier causé s’ils n’ont pas fourni les services nécessaires pour permettre l’application de la SCA dans le cadre de leur relation contractuelle.
  • SCA et Cartes Tokenisées : L’application de la SCA est requise lors de l’émission ou du remplacement d’un jeton d’instrument de paiement (par exemple, l’enregistrement d’une carte dans un portefeuille numérique) pour prévenir les risques de fraude.
  • Inclusion : Les PSP devront s’assurer que leurs méthodes de SCA sont accessibles aux utilisateurs vulnérables, tels que les personnes handicapées ou celles ayant de faibles compétences numériques, afin de garantir l’inclusion financière et la protection contre la fraude pour tous.

4. Partage d’informations et sensibilisation collective

La nature évolutive de la fraude (ingénierie sociale, techniques de manipulation) nécessite une approche collective et proactive.

  • Partage de Données de Fraude : Les PSP seront autorisés à échanger volontairement des données à caractère personnel, notamment l’identifiant unique (IBAN) des bénéficiaires, lorsqu’ils disposent d’éléments suffisants pour présumer qu’une opération de paiement frauduleuse a eu lieu.
    • Ce partage doit être effectué dans le cadre de dispositifs de partage d’informations multilatéraux (souvent via des plateformes informatiques spécialisées).
    • Avant d’adopter de tels dispositifs, les PSP doivent réaliser conjointement une Analyse d’Impact relative à la Protection des Données (AIPD) en vertu du RGPD, et consulter l’autorité de contrôle si l’analyse révèle un risque élevé.
  • Sensibilisation du Client : Les PSP ont l’obligation d’alerter leurs clients par des programmes de formation et des campagnes de sensibilisation sur les nouvelles formes de fraude et les risques encourus, en tenant compte des besoins des groupes les plus vulnérables. Ils doivent fournir des indications claires sur la manière d’identifier les tentatives frauduleuses et les précautions à prendre.

Calendrier de mise oeuvre

L’accord politique du Parlement et du Conseil donne le feu vert à la finalisation du texte. Après la révision juridique et linguistique, le texte entrera en vigueur, probablement fin du premier ou début du deuxième trimestre 2026. Une période de transition de 21 mois est prévue avant que le régime ne commence à s’appliquer. Cependant, certaines dispositions essentielles de lutte contre la fraude, comme l’application du service de vérification IBAN/nom, s’appliqueront 24 mois après la date d’entrée en vigueur du règlement.

En conclusion, la DSP3 et le RSP changent fondamentalement l’approche de la fraude en Europe. Au lieu de se fier uniquement aux mesures techniques de défense (SCA) et de laisser la victime supporter le poids de la manipulation, la nouvelle législation impose une obligation de vigilance et de prévention aux institutions financières (PSP) et aux opérateurs techniques. En étendant la responsabilité du remboursement en cas de spoofing et en rendant la vérification IBAN/nom obligatoire pour tous les virements, le cadre législatif cherche à bâtir un écosystème de paiement où la sécurité repose sur la coopération et des mécanismes techniques proactifs.

Si la DSP2 avait pour but de construire un coffre-fort (SCA), la DSP3/RSP reconnaît que les escrocs sont devenus des maîtres de la persuasion. Désormais, non seulement la banque doit améliorer la serrure, mais elle est également responsable si un criminel réussit à se faire passer pour un employé de la banque pour subtiliser l’argent, forçant l’établissement non seulement à mieux verrouiller, mais aussi à surveiller activement qui reçoit les fonds et à éduquer activement ses clients contre les ruses les plus fines.

1521 2281 max

Besoin de conseils juridiques personnalisés ?

Ne restez pas seul face à vos questions. Un avocat peut vous rappeler gratuitement pour faire le point sur votre situation.

Être recontacté par un avocat

Besoin de conseils juridiques personnalisés ?

RGPD :

Articles similaires

cabinet lebot avocat 6

Quand le Banquier Conseiller en Gestion de Patrimoine est-il fautif ? – CA Rennes, 2e ch., 7 oct. 2025, n° 23/01966

La relation entre un client et sa banque, notamment lorsque cette dernière agit en qualité de conseiller en gestion de patrimoine, est encadrée par des ...

assets task 01jxabfhtderwt79q5d8fcjh58 1749473088 img 1

Crédit affecté et dol du vendeur : la nullité du prêt, même sans annulation du contrat principal et sans fraude directe de la banque !

Les crédits affectés, ces financements spécifiquement dédiés à l’acquisition d’un bien ou d’un service, sont par nature liés au contrat principal qu’ils financent. Mais que ...

assets task 01jwrg8hjcen69pzvz5hbfwdx7 1748874082 img 1

Manquement au devoir de vigilance du banquier face aux anomalies intellectuelles : partage de responsabilités 70/30 (CA Grenoble, ch. civ. sect. a, 9 sept. 2025, n° 24/00638)

L’arrêt rendu par la Cour d’appel de Grenoble le 9 septembre 2025 (n° 24/00638) est une confirmation majeure de l’équilibre jurisprudentiel entre le devoir de ...