02018R0389 — FR — 12.09.2023 — 002.001
Ce texte constitue seulement un outil de documentation et n’a aucun effet juridique. Les institutions de l'Union déclinent toute responsabilité quant à son contenu. Les versions faisant foi des actes concernés, y compris leurs préambules, sont celles qui ont été publiées au Journal officiel de l’Union européenne et sont disponibles sur EUR-Lex. Ces textes officiels peuvent être consultés directement en cliquant sur les liens qui figurent dans ce document
RÈGLEMENT DÉLÉGUÉ (UE) 2018/389 DE LA COMMISSION du 27 novembre 2017 complétant la directive (UE) 2015/2366 du Parlement européen et du Conseil par des normes techniques de réglementation relatives à l'authentification forte du client et à des normes ouvertes communes et sécurisées de communication (Texte présentant de l'intérêt pour l'EEE) (JO L 069 du 13.3.2018, p. 23) |
Modifié par:
|
|
Journal officiel |
||
n° |
page |
date |
||
RÈGLEMENT DÉLÉGUÉ (UE) 2022/2360 DE LA COMMISSION du 3 août 2022 |
L 312 |
1 |
5.12.2022 |
|
RÈGLEMENT DÉLÉGUÉ (UE) 2023/1650 DE LA COMMISSION du 15 mai 2023 |
L 208 |
1 |
23.8.2023 |
RÈGLEMENT DÉLÉGUÉ (UE) 2018/389 DE LA COMMISSION
du 27 novembre 2017
complétant la directive (UE) 2015/2366 du Parlement européen et du Conseil par des normes techniques de réglementation relatives à l'authentification forte du client et à des normes ouvertes communes et sécurisées de communication
(Texte présentant de l'intérêt pour l'EEE)
CHAPITRE I
DISPOSITIONS GÉNÉRALES
Article premier
Objet
Le présent règlement fixe les exigences auxquelles les prestataires de services de paiement doivent satisfaire pour mettre en œuvre les mesures de sécurité leur permettant d'effectuer les actions suivantes:
appliquer la procédure d'authentification forte du client conformément à l'article 97 de la directive (UE) 2015/2366;
déroger à l'application des exigences de sécurité relatives à l'authentification forte du client, sous réserve de conditions bien définies et limitées fondées sur le niveau de risque, le montant et le caractère récurrent de l'opération de paiement et le moyen utilisé pour l'exécuter;
protéger la confidentialité et l'intégrité des données de sécurité personnalisées de l'utilisateur de services de paiement;
établir des normes ouvertes communes et sécurisées de communication entre les prestataires de services de paiement gestionnaires de comptes, les prestataires de services d'initiation de paiement, les prestataires de services d'information sur les comptes, les payeurs, les bénéficiaires et d'autres prestataires de services de paiement en ce qui concerne la prestation et l'utilisation de services de paiement en application du titre IV de la directive (UE) 2015/2366.
Article 2
Exigences générales en matière d'authentification
Ces mécanismes sont fondés sur l'analyse d'opérations de paiement tenant compte d'éléments qui sont propres à l'utilisateur de services de paiement dans des conditions d'utilisation normale des données de sécurité personnalisées.
Les prestataires de services de paiement veillent à ce que les mécanismes de contrôle des opérations tiennent au moins compte de chacun des facteurs suivants liés aux risques:
les listes d'éléments d'authentification volés ou détournés;
le montant de chaque opération de paiement;
les scénarios connus de fraude lors de la prestation de services de paiement;
les signes d'infection par un logiciel malveillant lors de sessions d'application de la procédure d'authentification;
si le dispositif d'accès ou le logiciel est fourni par le prestataire de services de paiement, un registre d'utilisation du dispositif d'accès ou du logiciel fourni à l'utilisateur de services de paiement, et l'utilisation anormale du dispositif ou du logiciel.
Article 3
Examen des mesures de sécurité
Toutefois, les prestataires de services de paiement qui font usage de la dérogation visée à l'article 18 font l'objet au moins une fois par an d'un audit portant sur la méthodologie, le modèle et les taux de fraude notifiés. L'auditeur qui réalise cet audit possède une expertise dans le domaine de la sécurité informatique et des paiements électroniques et est indépendant sur le plan opérationnel au sein du prestataire de services de paiement ou vis-à-vis de celui-ci. Au cours de la première année où il est fait usage de la dérogation visée à l'article 18, et au moins tous les trois ans ensuite, ou plus fréquemment si l'autorité compétente le demande, cet audit est réalisé par un auditeur externe indépendant et qualifié.
L'intégralité du rapport est mise à la disposition des autorités compétentes à la demande de celles-ci.
CHAPITRE II
MESURES DE SÉCURITÉ POUR L'APPLICATION DE LA PROCÉDURE D'AUTHENTIFICATION FORTE DU CLIENT
Article 4
Code d'authentification
Le code d'authentification n'est accepté qu'une seule fois par le prestataire de services de paiement lorsque le payeur utilise ce code pour accéder à son compte de paiement en ligne, pour initier une opération de paiement électronique ou pour exécuter une action, grâce à un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation abusive.
Aux fins du paragraphe 1, les prestataires de services de paiement prennent des mesures de sécurité garantissant le respect de chacune des exigences suivantes:
aucune information sur l'un des éléments visés au paragraphe 1 ne peut être déduite de la divulgation du code d'authentification;
il n'est pas possible de générer un nouveau code d'authentification en se basant sur un autre code d'authentification généré au préalable;
le code d'authentification ne peut pas être falsifié.
Les prestataires de services de paiement veillent à ce que l'authentification au moyen de la génération d'un code d'authentification intègre chacune des mesures suivantes:
lorsque l'authentification pour accès à distance, paiements électroniques à distance et toute autre action grâce à un moyen de communication à distance susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation abusive n'a pas généré de code d'authentification aux fins du paragraphe 1, il n'est pas possible de déterminer lequel des éléments visés dans ledit paragraphe était incorrect;
le nombre de tentatives d'authentification infructueuses consécutives au bout duquel les actions prévues à l'article 97, paragraphe 1, de la directive (UE) 2015/2366 sont bloquées à titre temporaire ou permanent ne dépasse pas cinq au cours d'une période donnée;
les sessions de communication sont protégées contre l'interception des données d'authentification communiquées durant l'authentification et contre la manipulation par des tiers non autorisés, conformément aux exigences du chapitre V;
le délai maximal d'inactivité du payeur, une fois que celui-ci s'est authentifié pour accéder à son compte de paiement en ligne, ne dépasse pas cinq minutes.
Le payeur est averti avant que le blocage ne devienne permanent.
Lorsque le blocage est rendu permanent, une procédure sécurisée est mise en place pour permettre au payeur d'utiliser à nouveau les instruments de paiement électronique bloqués.
Article 5
Établissement d'un lien dynamique
Lorsqu'ils appliquent la procédure d'authentification forte du client conformément à l'article 97, paragraphe 2, de la directive (UE) 2015/2366, les prestataires de services de paiement, outre les éléments exigés à l'article 4 du présent règlement, prennent également des mesures de sécurité qui satisfont à chacune des exigences suivantes:
le payeur est informé du montant de l'opération de paiement et du bénéficiaire;
le code d'authentification généré est spécifique au montant de l'opération de paiement et au bénéficiaire approuvé par le payeur lors de l'initiation de l'opération;
le code d'authentification accepté par le prestataire de services de paiement correspond au montant spécifique initial de l'opération de paiement et à l'identité du bénéficiaire approuvé par le payeur;
toute modification du montant ou du bénéficiaire entraîne l'invalidation du code d'authentification généré.
Aux fins du paragraphe 1, les prestataires de services de paiement prennent des mesures de sécurité garantissant la confidentialité, l'authenticité et l'intégrité de chacun des éléments suivants:
le montant de l'opération et le bénéficiaire durant l'ensemble des phases de l'authentification;
les informations qui s'affichent pour le payeur durant l'ensemble des phases de l'authentification, y compris la génération, la transmission et l'utilisation du code d'authentification.
Aux fins du paragraphe 1, point b), et lorsque les prestataires de services de paiement appliquent l'authentification forte du client conformément à l'article 97, paragraphe 2, de la directive (UE) 2015/2366, les exigences suivantes sont applicables au code d'authentification:
en ce qui concerne les opérations de paiement liées à une carte pour lesquelles le payeur a donné son consentement quant au montant exact des fonds à bloquer en vertu de l'article 75, paragraphe 1, de ladite directive, le code d'authentification est spécifique au montant au blocage duquel le payeur a donné son consentement et que le payeur a approuvé lors de l'initiation de l'opération;
en ce qui concerne les opérations de paiement pour lesquelles le payeur a donné son consentement à l'exécution d'une série d'opérations de paiement électronique à distance en faveur d'un ou de plusieurs bénéficiaires, le code d'authentification est spécifique au montant total de la série d'opérations de paiement et aux bénéficiaires désignés.
Article 6
Exigences relatives aux éléments appartenant à la catégorie «connaissance»
Article 7
Exigences relatives aux éléments appartenant à la catégorie «possession»
Article 8
Exigences relatives aux dispositifs et logiciels associés à des éléments appartenant à la catégorie «inhérence»
Article 9
Indépendance des éléments
Aux fins du paragraphe 2, les mesures d'atténuation prévoient chacun des éléments suivants:
l'utilisation d'environnements d'exécution sécurisés distincts grâce au logiciel installé sur le dispositif multifonctionnel;
des mécanismes permettant de garantir que le logiciel ou le dispositif n'a pas été altéré par le payeur ou par un tiers;
en cas d'altérations, des mécanismes permettant de réduire les conséquences de celles-ci.
CHAPITRE III
DÉROGATIONS À L'OBLIGATION D'AUTHENTIFICATION FORTE DU CLIENT
Article 10
Accès aux informations sur le compte de paiement directement auprès du prestataire de services de paiement gestionnaire du compte
Les prestataires de services de paiement sont autorisés à ne pas appliquer l’authentification forte du client, sous réserve du respect des exigences définies à l’article 2, lorsqu’un utilisateur de services de paiement accède en ligne à son compte de paiement directement, à condition que cet accès soit limité à l’un des éléments suivants en ligne sans que des données de paiement sensibles soient divulguées:
le solde d’un ou de plusieurs comptes de paiement désignés;
les opérations de paiement exécutées durant les 90 derniers jours par l’intermédiaire d’un ou de plusieurs comptes de paiement désignés.
Par dérogation au paragraphe 1, les prestataires de services de paiement ne sont pas exemptés de l’application de l’authentification forte du client lorsque l’une des conditions suivantes est remplie:
l’utilisateur de services de paiement accède en ligne aux informations visées au paragraphe 1 pour la première fois;
plus de 180 jours se sont écoulés depuis la dernière fois que l’utilisateur de services de paiement a accédé en ligne aux informations visées au paragraphe 1 et que la procédure d’authentification forte du client a été appliquée.
Article 10 bis
Accès aux informations sur le compte de paiement par l’intermédiaire d’un prestataire de services d’information sur les comptes
Les prestataires de services de paiement n’appliquent pas l’authentification forte du client lorsqu’un utilisateur de services de paiement accède en ligne à son compte de paiement par l’intermédiaire d’un prestataire de services d’information sur les comptes, à condition que cet accès soit limité à l’un des éléments suivants en ligne sans que des données de paiement sensibles soient divulguées:
le solde d’un ou de plusieurs comptes de paiement désignés;
les opérations de paiement exécutées durant les 90 derniers jours par l’intermédiaire d’un ou de plusieurs comptes de paiement désignés.
Par dérogation au paragraphe 1, les prestataires de services de paiement appliquent l’authentification forte du client lorsque l’une des conditions suivantes est remplie:
l’utilisateur de services de paiement accède en ligne aux informations visées au paragraphe 1 pour la première fois par l’intermédiaire du prestataire de services d’information sur les comptes;
plus de 180 jours se sont écoulés depuis la dernière fois que l’utilisateur de services de paiement a accédé en ligne aux informations visées au paragraphe 1 par l’intermédiaire du prestataire de services d’information sur les comptes et que la procédure d’authentification forte du client a été appliquée.
Article 11
Paiement sans contact au point de vente
Les prestataires de services de paiement sont autorisés à ne pas appliquer l'authentification forte du client, sous réserve du respect des exigences définies à l'article 2, lorsque le payeur initie une opération de paiement électronique sans contact, pour autant que les conditions suivantes soient remplies:
le montant individuel de l'opération de paiement électronique sans contact ne dépasse pas 50 EUR; et
le montant cumulé des précédentes opérations de paiement électronique sans contact initiées par l'intermédiaire d'un instrument de paiement disposant d'une fonctionnalité sans contact, depuis la date de la dernière authentification forte du client, ne dépasse pas 150 EUR; ou
le nombre d'opérations de paiement électronique sans contact consécutives initiées par l'intermédiaire de l'instrument de paiement disposant d'une fonctionnalité sans contact, depuis la dernière authentification forte du client, ne dépasse pas cinq.
Article 12
Automates de paiement des frais de transport et de parking
Les prestataires de services de paiement sont autorisés à ne pas appliquer l'authentification forte du client, sous réserve du respect des exigences définies à l'article 2, lorsque le payeur initie une opération de paiement électronique à partir d'un automate de paiement afin de régler des frais de transport ou de parking.
Article 13
Bénéficiaires de confiance
Article 14
Opérations récurrentes
Article 15
Virements entre comptes détenus par la même personne physique ou morale
Les prestataires de services de paiement sont autorisés à ne pas appliquer l'authentification forte du client, sous réserve du respect des exigences définies à l'article 2, lorsque le payeur initie un virement pour lequel le payeur et le bénéficiaire sont la même personne physique ou morale et les deux comptes de paiement sont détenus auprès du même prestataire de services de paiement gestionnaire du compte.
Article 16
Opérations de faible valeur
Les prestataires de services de paiement sont autorisés à ne pas appliquer l'authentification forte du client lorsque le payeur initie une opération de paiement électronique à distance, pour autant que les conditions suivantes soient remplies:
le montant de l'opération de paiement électronique à distance ne dépasse pas 30 EUR; et
le montant cumulé des précédentes opérations de paiement électronique à distance initiées par le payeur depuis la dernière authentification forte du client ne dépasse pas 100 EUR; ou
le nombre des précédentes opérations de paiement électronique à distance initiées par le payeur depuis la dernière authentification forte du client ne dépasse pas cinq opérations de paiement électronique à distance individuelles consécutives.
Article 17
Procédures et protocoles de paiement sécurisés utilisés par les entreprises
Les prestataires de services de paiement sont autorisés à ne pas appliquer l'authentification forte du client à l'égard de personnes morales qui initient des opérations de paiement électronique au moyen de procédures ou de protocoles de paiement dédiés qui sont uniquement mis à la disposition de payeurs qui ne sont pas des consommateurs lorsque les autorités compétentes ont acquis la certitude que lesdits procédures et protocoles garantissent des niveaux de sécurité au moins équivalents à ceux prévus par la directive (UE) 2015/2366.
Article 18
Analyse des risques liés à l'opération
Une opération de paiement électronique visée au paragraphe 1 est considérée comme présentant un faible niveau de risque lorsque l'ensemble des conditions suivantes sont remplies:
le taux de fraude pour ce type d'opération, tel que notifié par le prestataire de services de paiement et calculé conformément à l'article 19, est équivalent ou inférieur aux taux de référence en matière de fraude mentionnés dans le tableau figurant en annexe pour les «paiements électroniques à distance liés à une carte» et les «virements électroniques à distance» respectivement;
le montant de l'opération ne dépasse pas la valeur-seuil de dérogation correspondante mentionnée dans le tableau figurant en annexe;
les prestataires de services de paiement n'ont décelé aucun des éléments suivants à l'issue d'une analyse en temps réel des risques:
des dépenses anormales ou un type de comportement anormal du payeur;
des informations inhabituelles concernant l'utilisation du dispositif ou logiciel du payeur à des fins d'accès;
des signes d'infection par un logiciel malveillant lors d'une session de la procédure d'authentification;
un scénario connu de fraude dans le cadre de la prestation de services de paiement;
une localisation anormale du payeur;
une localisation du bénéficiaire présentant des risques élevés.
Les prestataires de services de paiement qui entendent exempter des opérations de paiement électronique à distance de l'authentification forte du client au motif qu'elles présentent un risque faible tiennent au moins compte des facteurs suivants liés aux risques:
les habitudes de dépenses antérieures de l'utilisateur individuel de services de paiement;
l'historique des opérations de paiement de chacun des utilisateurs de services de paiement du prestataire de services de paiement;
la localisation du payeur et du bénéficiaire au moment de l'opération de paiement dans les cas où le dispositif d'accès ou le logiciel est fourni par le prestataire de services de paiement;
l'identification de comportements de paiement anormaux de l'utilisateur de services de paiement par rapport à l'historique de ses opérations de paiement.
L'évaluation du prestataire de services de paiement intègre l'ensemble de ces facteurs liés aux risques dans une note de risque, attribuée à chaque opération individuelle, qui permet de déterminer s'il convient d'autoriser un paiement spécifique sans authentification forte du client.
Article 19
Calcul des taux de fraude
Le taux de fraude global lié à chaque type d'opération est calculé comme étant la valeur totale des opérations à distance non autorisées ou frauduleuses, dont les fonds ont été récupérés ou pas, divisée par la valeur totale de l'ensemble des opérations à distance pour le même type d'opération, authentifiées par une authentification forte du client ou exécutées au titre d'une dérogation visée aux articles 13 à 18, sur une base trimestrielle glissante (90 jours).
Article 20
Suspension des dérogations sur la base de l'analyse des risques liés à l'opération
Article 21
Contrôle
Pour faire usage des dérogations prévues aux articles 10 à 18, les prestataires de services de paiement enregistrent et contrôlent les données suivantes pour chaque type d'opérations de paiement, en les ventilant par opérations à distance et autres opérations, au moins sur une base trimestrielle:
la valeur totale des opérations de paiement non autorisées ou frauduleuses, conformément à l'article 64, paragraphe 2, de la directive (UE) 2015/2366, la valeur totale de l'ensemble des opérations de paiement et le taux de fraude qui en découle, comprenant une ventilation par opérations de paiement initiées grâce à l'authentification forte du client et au titre de chacune des dérogations;
la valeur moyenne des opérations, comprenant une ventilation par opérations de paiement initiées grâce à l'authentification forte du client et au titre de chacune des dérogations;
le nombre d'opérations de paiement pour lesquelles chacune des dérogations a été appliquée et le pourcentage qu'elles représentent par rapport au nombre total d'opérations de paiement.
CHAPITRE IV
CONFIDENTIALITÉ ET INTÉGRITÉ DES DONNÉES DE SÉCURITÉ PERSONNALISÉES DES UTILISATEURS DE SERVICES DE PAIEMENT
Article 22
Exigences générales
Aux fins du paragraphe 1, les prestataires de services de paiement garantissent le respect de chacune des exigences suivantes:
les données de sécurité personnalisées sont masquées lorsqu'elles sont affichées et ne sont pas lisibles dans leur intégralité lorsqu'elles sont entrées par l'utilisateur de services de paiement durant l'authentification;
les données de sécurité personnalisées en format de données ainsi que le matériel cryptographique lié au cryptage des données de sécurité personnalisées ne sont pas conservés en texte clair;
le matériel cryptographique secret est protégé de toute divulgation non autorisée.
Article 23
Création et transmission des données
Les prestataires de services de paiement veillent à ce que la création des données de sécurité personnalisées ait lieu dans un environnement sécurisé.
Ils réduisent les risques d'utilisation non autorisée des données de sécurité personnalisées ainsi que des dispositifs et du logiciel d'authentification à la suite de leur perte, vol ou copie avant leur livraison au payeur.
Article 24
Association avec l'utilisateur de services de paiement
Aux fins du paragraphe 1, les prestataires de services de paiement garantissent le respect de chacune des exigences suivantes:
l'association de l'identité de l'utilisateur de services de paiement avec les données de sécurité personnalisées et les dispositifs et le logiciel d'authentification a lieu dans des environnements sécurisés relevant de la responsabilité du prestataire de services de paiement, comprenant au moins les locaux du prestataire de services de paiement et l'environnement internet fourni par le prestataire de services de paiement, ou d'autres sites internet sécurisés similaires utilisés par ce dernier et par ses services de retrait à des distributeurs automatiques de billets, et tenant compte des risques liés aux dispositifs et composants sous-jacents utilisés au cours du processus d'association qui ne sont pas sous la responsabilité du prestataire de services de paiement;
l'association, grâce à un moyen de communication à distance, de l'identité de l'utilisateur de services de paiement avec les données de sécurité personnalisées et les dispositifs ou le logiciel d'authentification est effectuée à l'aide d'une authentification forte du client.
Article 25
Livraison des données ainsi que des dispositifs et du logiciel d'authentification
Aux fins du paragraphe 1, les prestataires de services de paiement appliquent au moins chacune des mesures suivantes:
des mécanismes de livraison efficaces et sécurisés garantissent que les données de sécurité personnalisées ainsi que les dispositifs et le logiciel d'authentification sont livrés à l'utilisateur de services de paiement légitime;
des mécanismes permettent au prestataire de services de paiement de vérifier l'authenticité du logiciel d'authentification livré à l'utilisateur de services de paiement grâce à l'internet;
des dispositions garantissent que, lorsque la livraison des données de sécurité personnalisées a lieu en dehors des locaux du prestataire de services de paiement ou grâce à un moyen de communication à distance:
aucun tiers non autorisé ne peut obtenir plus d'un élément des données de sécurité personnalisées ou des dispositifs ou du logiciel d'authentification lorsque la livraison est effectuée grâce au même moyen de communication;
les données de sécurité personnalisées ou les dispositifs ou le logiciel d'authentification doivent être activés avant de pouvoir être utilisés;
des dispositions garantissent que, si les données de sécurité personnalisées ou les dispositifs ou le logiciel d'authentification doivent être activés avant leur première utilisation, cette activation est effectuée dans un environnement sécurisé conformément aux procédures d'association visées à l'article 24.
Article 26
Renouvellement des données de sécurité personnalisées
Les prestataires de services de paiement veillent à ce que le renouvellement ou la réactivation des données de sécurité personnalisées respecte les procédures applicables à la création, à l'association et à la livraison de ces données et des dispositifs d'authentification conformément aux articles 23, 24 et 25.
Article 27
Destruction, désactivation et révocation
Les prestataires de services de paiement veillent à mettre en place des procédures efficaces en vue d'appliquer chacune des mesures de sécurité suivantes:
la destruction, la désactivation ou la révocation sécurisée des données de sécurité personnalisées et des dispositifs et du logiciel d'authentification;
lorsque le prestataire de services de paiement distribue des dispositifs et logiciels d'authentification réutilisables, la réutilisation sécurisée d'un dispositif ou logiciel est établie, décrite par écrit et mise en œuvre avant sa mise à disposition d'un autre utilisateur de services de paiement;
la désactivation ou la révocation des informations liées aux données de sécurité personnalisées conservées dans les systèmes et bases de données du prestataire de services de paiement et, le cas échéant, dans des registres publics.
CHAPITRE V
NORMES OUVERTES COMMUNES ET SÉCURISÉES DE COMMUNICATION
Article 28
Exigences relatives à l'identification
Article 29
Traçabilité
Aux fins du paragraphe 1, les prestataires de services de paiement veillent à ce que toute session de communication avec l'utilisateur de services de paiement, d'autres prestataires de services de paiement et d'autres entités, y compris des commerçants, s'appuie sur chacun des éléments suivants:
un identifiant unique de la session;
des mécanismes de sécurité pour l'enregistrement détaillé de l'opération, y compris le numéro de l'opération, les horodatages et toutes les données pertinentes de l'opération;
des horodatages qui sont fondés sur un système unifié de représentation du temps et qui sont synchronisés conformément à un signal horaire officiel.
Article 30
Obligations générales relatives aux interfaces d'accès
Un prestataire de services de paiement gestionnaire de comptes qui propose à un payeur un compte de paiement accessible en ligne met en place au moins une interface qui remplit chacune des exigences suivantes:
les prestataires de services d'information sur les comptes, les prestataires de services d'initiation de paiement et les prestataires de services de paiement qui émettent des instruments de paiement liés à une carte sont en mesure de s'identifier auprès du prestataire de services de paiement gestionnaire du compte;
les prestataires de services d'information sur les comptes sont en mesure de communiquer de manière sécurisée afin de demander et de recevoir des informations concernant un ou plusieurs comptes de paiement désignés et les opérations de paiement associées;
les prestataires de services d'initiation de paiement sont en mesure de communiquer de manière sécurisée pour initier un ordre de paiement à partir du compte de paiement du payeur et de recevoir toutes les informations sur l'initiation de l'opération de paiement et toutes les informations auxquelles le prestataire de services de paiement gestionnaire du compte a accès concernant l'exécution de l'opération de paiement.
L'interface remplit au moins l'ensemble des exigences suivantes:
un prestataire de services d'initiation de paiement ou un prestataire de services d'information sur les comptes est en mesure de donner instruction au prestataire de services de paiement gestionnaire du compte de commencer l'authentification sur la base du consentement de l'utilisateur de services de paiement;
les sessions de communication entre le prestataire de services de paiement gestionnaire du compte, le prestataire de services d'information sur les comptes, le prestataire de services d'initiation de paiement et tout utilisateur de services de paiement concerné sont établies et maintenues tout au long de l'authentification;
l'intégrité et la confidentialité des données de sécurité personnalisées et des codes d'authentification transmis par ou via le prestataire de services d'initiation de paiement ou le prestataire de services d'information sur les comptes sont garanties.
Les prestataires de services de paiement gestionnaires de comptes veillent également à ce que les spécifications techniques des interfaces fassent l'objet d'une documentation mentionnant une série de routines, de protocoles et d'outils dont les prestataires de services d'initiation de paiement, les prestataires de services d'information sur les comptes et les prestataires de services de paiement qui émettent des instruments de paiement liés à une carte ont besoin pour permettre l'interopérabilité de leurs logiciels et applications avec les systèmes des prestataires de services de paiement gestionnaires de comptes.
Au minimum, les prestataires de services de paiement gestionnaires de comptes, au moins six mois avant la date d'application visée à l'article 38, paragraphe 2, ou avant la date prévue pour le lancement sur le marché de l'interface d'accès lorsque ce lancement a lieu après la date visée à l'article 38, paragraphe 2, mettent gratuitement à disposition cette documentation à la demande des prestataires agréés de services d'initiation de paiement, de services d'information sur les comptes et de services de paiement qui émettent des instruments de paiement liés à une carte ou des prestataires de services de paiement qui ont demandé l'agrément nécessaire à leurs autorités compétentes, et publient sur leur site internet un résumé de cette documentation.
Les prestataires de services de paiement décrivent par écrit les situations d'urgence dans lesquelles les modifications ont été mises en œuvre et mettent cette documentation à la disposition des autorités compétentes sur demande.
Aucune information sensible n'est toutefois partagée par l'intermédiaire du dispositif d'essai.
Article 31
Options des interfaces d'accès
Les prestataires de services de paiement gestionnaires de comptes établissent l'interface ou les interfaces visées à l'article 30 en mettant en place une interface dédiée ou en permettant l'utilisation par les prestataires de services de paiement visés à l'article 30, paragraphe 1, des interfaces servant à l'authentification et à la communication avec les utilisateurs de services de paiement des prestataires de services de paiement gestionnaires de comptes.
Article 32
Obligations applicables à une interface dédiée
Article 33
Mesures d'urgence applicables à une interface dédiée
À cet effet, les prestataires de services de paiement gestionnaires de comptes veillent à ce que les prestataires de services de paiement visés à l'article 30, paragraphe 1, puissent être identifiés et s'appuyer sur les procédures d'authentification proposées par le prestataire de services de paiement gestionnaire du compte à l'utilisateur de services de paiement. Lorsqu'ils utilisent l'interface visée au paragraphe 4, les prestataires de services de paiement visés à l'article 30, paragraphe 1:
prennent les mesures nécessaires pour garantir qu'ils n'accèdent pas à des données ou qu'ils ne conservent ou ne traitent pas de données à des fins autres que la prestation du service demandé par l'utilisateur de services de paiement;
continuent à se conformer aux obligations découlant respectivement de l'article 66, paragraphe 3, et de l'article 67, paragraphe 2, de la directive (UE) 2015/2366;
enregistrent les données auxquelles ils ont accès par l'intermédiaire de l'interface exploitée par le prestataire de services de paiement gestionnaire de comptes pour ses utilisateurs de services de paiement et fournissent ce registre, sur demande et sans retard injustifié, à leur autorité nationale compétente;
justifient dûment auprès de leur autorité nationale compétente, sur demande et sans retard injustifié, l'utilisation de l'interface mise à la disposition des utilisateurs de services de paiement pour accéder directement à leur compte de paiement en ligne;
informent en conséquence le prestataire de services de paiement gestionnaire du compte.
Les autorités compétentes, après avoir consulté l'ABE pour assurer l'application cohérente des conditions suivantes, exemptent les prestataires de services de paiement gestionnaires de comptes qui ont choisi une interface dédiée de l'obligation de mettre en place le mécanisme d'urgence décrit au paragraphe 4 lorsque l'interface dédiée remplit l'ensemble des conditions suivantes:
elle est conforme à l'ensemble des obligations applicables aux interfaces dédiées, telles qu'énoncées à l'article 32;
elle a été conçue et testée conformément à l'article 30, paragraphe 5, à la satisfaction des prestataires de services de paiement qui y sont mentionnés;
elle a été largement utilisée pendant au moins trois mois par des prestataires de services de paiement en vue de proposer des services d'information sur les comptes et des services d'initiation de paiement et de confirmer la disponibilité des fonds pour des paiements liés à une carte;
tout problème lié à l'interface dédiée a été résolu sans retard injustifié.
Article 34
Certificats
Aux fins du présent règlement, les certificats qualifiés de cachet électronique ou d'authentification de site internet visés au paragraphe 1 contiennent, dans une langue usuelle dans la sphère financière internationale, des attributs spécifiques supplémentaires concernant chacun des éléments suivants:
le rôle du prestataire de services de paiement, qui peut consister en une ou plusieurs des fonctions suivantes:
la gestion de comptes;
l'initiation de paiements;
l'information sur les comptes;
l'émission d'instruments de paiement liés à une carte;
le nom des autorités compétentes auprès desquelles le prestataire de services de paiement est enregistré.
Article 35
Sécurité des sessions de communication
Les prestataires de services d'information sur les comptes, les prestataires de services d'initiation de paiement et les prestataires de services de paiement qui émettent des instruments de paiement liés à une carte avec le prestataire de services de paiement gestionnaire du compte indiquent des références claires à chacun des éléments suivants:
l'utilisateur ou les utilisateurs de services de paiement et la session de communication correspondante, afin d'opérer une distinction entre plusieurs demandes émanant du ou des mêmes utilisateurs de services de paiement;
pour les services d'initiation de paiement, l'opération de paiement initiée, identifiée de manière unique;
pour la confirmation de la disponibilité des fonds, la demande identifiée de manière unique portant sur le montant nécessaire pour l'exécution de l'opération de paiement liée à une carte.
En cas de perte de confidentialité des données de sécurité personnalisées relevant de leur compétence, ces prestataires informent sans délai l'utilisateur de services de paiement qui leur est associé, ainsi que l'émetteur des données de sécurité personnalisées.
Article 36
Échanges de données
Les prestataires de services de paiement gestionnaires de comptes remplissent chacune des exigences suivantes:
ils fournissent aux prestataires de services d'information sur les comptes les mêmes informations provenant des comptes de paiement désignés et des opérations de paiement associées que celles qui sont mises à la disposition de l'utilisateur de services de paiement en cas de demande directe d'accès aux informations sur le compte, pour autant que ces informations ne comportent pas de données de paiement sensibles;
immédiatement après avoir reçu l'ordre de paiement, ils fournissent aux prestataires de services d'initiation de paiement les mêmes informations sur l'initiation et l'exécution de l'opération de paiement que celles qui sont fournies ou mises à la disposition de l'utilisateur de services de paiement lorsque ce dernier initie directement l'opération;
sur demande, ils fournissent immédiatement aux prestataires de services de paiement la confirmation, sous la forme d'un simple «oui» ou «non», que le montant nécessaire à l'exécution d'une opération de paiement est disponible ou non sur le compte de paiement du payeur.
Lorsque le prestataire de services de paiement gestionnaire du compte propose une interface dédiée conformément à l'article 32, l'interface prévoit que des messages de notification des erreurs ou événements imprévus soient transmis par tout prestataire de services de paiement qui décèle l'événement ou l'erreur aux autres prestataires de services de paiement participant à la session de communication.
Les prestataires de services d'information sur les comptes sont en mesure d'accéder aux informations provenant des comptes de paiement désignés et des opérations de paiement associées qui sont détenues par les prestataires de services de paiement gestionnaires de comptes aux fins de la prestation des services d'information sur les comptes dans l'une des situations suivantes:
chaque fois que l'utilisateur de services de paiement demande spontanément ces informations;
si l'utilisateur de services de paiement ne demande pas spontanément ces informations, au maximum quatre fois par période de 24 heures, sauf si une fréquence plus élevée est convenue entre le prestataire de services d'information sur les comptes et le prestataire de services de paiement gestionnaire du compte, avec le consentement de l'utilisateur de services de paiement.
CHAPITRE VI
DISPOSITIONS FINALES
Article 37
Réexamen
Sans préjudice de l'article 98, paragraphe 5, de la directive (UE) 2015/2366, l'ABE réexamine pour le 14 mars 2021 les taux de fraude visés à l'annexe du présent règlement ainsi que les dérogations octroyées au titre de l'article 33, paragraphe 6, concernant les interfaces dédiées et, le cas échéant, soumet à la Commission les projets de mise à jour de celles-ci, conformément à l'article 10 du règlement (UE) no 1093/2010.
Article 38
Entrée en vigueur
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
ANNEXE
|
Taux de référence en matière de fraude (en %) pour: |
|
Valeur-seuil de dérogation |
Paiements électroniques à distance liés à une carte |
Virements électroniques à distance |
500 EUR |
0,01 |
0,005 |
250 EUR |
0,06 |
0,01 |
100 EUR |
0,13 |
0,015 |
( 1 ) Directive 2013/36/UE du Parlement européen et du Conseil du 26 juin 2013 concernant l'accès à l'activité des établissements de crédit et la surveillance prudentielle des établissements de crédit et des entreprises d'investissement, modifiant la directive 2002/87/CE et abrogeant les directives 2006/48/CE et 2006/49/CE (JO L 176 du 27.6.2013, p. 338).