Sélectionner une page
Quelle conformité LCB-FT pour les AISP et PISP ?

Quelle conformité LCB-FT pour les AISP et PISP ?

Temps de lecture estimé : 13 min

Rédaction WEB : JUST DEEP CONTENT

Les AISP et PISP sont soumis à la règlementation LCB-FT des établissements financiers mais leur activité spécifique nécessite une adaptation particulière. Explications

 

 

La DSP2 (Directive Européenne sur les Services de Paiement 2) entérine l’intégration de nouveaux acteurs dans la chaîne de paiement : les Third Party Provider (TPP).

Ces nouveaux établissements de paiement sont généralement des fintechs proposant les services d’accès aux informations bancaires (AISP : Account Information Services Provider) et d’initiation de paiement (PISP : Payment Initiation Services Provider).

Ces établissements, ayant un accès aux données bancaires, sont soumis à la réglementation en matière de Lutte contre le Blanchiment et le Financement du Terrorisme (LCB-FT).

De par leurs activités innovantes, basées sur l’Open Banking et la fluidité des parcours utilisateurs (l’UX, User Experience), ces prestataires de services se doivent de faire preuve d’adaptabilité afin de conformer leurs activités  aux exigences réglementaires. Leur clientèle pouvant être volatile, les AISP et PISP inventent et/ou réinventent la connaissance client et le suivi de la relation d’affaire afin de ne pas perdre leurs utilisateurs avec des parcours d’accompagnement, dits « onboarding », trop lourds.

Le point sur la réglementation applicable aux AISP et PISP en matière de connaissance client et de suivi de la relation d’affaires et son impact sur leurs activités.

aisp et pisp :  quelle réglementation lcb-ft ?

Il n’y a pas de réglementation spécifique aux AISP et PISP. Comme les autres professions dans le champ d’application de la réglementation, ils doivent composer entre exigences réglementaires, pratiques de place, guidelines des régulateurs et beaucoup d’imagination !

La réglementation applicable pour les AISP et PISP est donc celle à laquelle tous les établissements financiers sont soumis. Toutefois, le régulateur tend à prendre en compte les spécificités de ces activités notamment dans les dernières orientations sectorielles du 1er mars 2021.

les aisp et psip : la réglementation lcb-ft générale

La 5e Directive Européenne du Parlement européen et du Conseil du 30 mai 2018 relative à la prévention de l’utilisation du système financier aux fins du blanchiment d’argent de capitaux ou le financement du terrorisme (BC/FT) est applicable aux AISP et PISP en leur qualité d’établissement de paiement.

Ces intervenants relèvent de l’article L.561-2 du Code monétaire et financier (CMF), comme établissement de paiement ainsi que du champ d’application des articles L.561-1 et suivants du CMF sur la lutte contre le blanchiment de capitaux et le financement du terrorisme.

Les établissements de paiement devront donc, comme l’ensemble des établissements soumis à la LCB-FT, mettre en place des dispositifs basés sur les exigences suivantes :

  • connaissance de la clientèle
  • classification des risques BC/FT
  • filtrage des clients sur la base des listes de gel des avoirs et de PPE (Personnes Politiquement Exposés) ainsi que les pays sous embargo ou considéré à haut risque par le GAFI (Groupe d’Action Financière)
  • détection et le traitement des opérations suspectes
  • formation du personnel

les spécificités sectorielles de l’eba du 1er mars 2021

Pour connaître les spécificités des AISP et PISP, il est indispensable de comprendre leurs activités en pratique.

Que font exactement les AISP et PISP ?

Les AISP (Account Information Services Providers) sont des établissements proposant un service d’accès aux informations sur les comptes bancaires.

Ces établissements accèdent, via des moyens sécurisés mis à disposition par les banques, aux données bancaires disponibles dans les banques en ligne des utilisateurs.

Ces accès leurs permettent d’agréger plusieurs comptes bancaires de banques différentes sur une même interface afin d’avoir une vision complète des comptes bancaires d’une même personne.

En BtoC (Business to Consumer) ce service est proposé directement aux utilisateurs (particulier et/ou professionnel), sous forme d’application, afin qu’ils puissent avoir une vision 360° sur leurs comptes bancaires.

Ces établissements proposent également des fonctionnalités de catégorisation des données bancaires afin d’apporter une vision précise des différents types de dépense, dans un objectif de meilleure gestion des revenus et du budget du client.

Ces établissements peuvent proposer également des astuces et conseils afin d’optimiser les budgets et mettre en relation les utilisateurs avec des partenaires afin d’optimiser certaines dépenses.

En BtoB (Business to Business), les AISP proposent la collecte des données bancaires et leur catégorisation à des experts comptables, à des sociétés de gestion de logiciels comptables sous forme d’API (Application Programming Interface), à des établissements de crédit pour l’obtention de prêt ainsi qu’à des sociétés limitant les cas de fraude aux identifications bancaires (identité, identification bancaire …).

Les PISP (Payment Initiative Services Providers) sont des établissements proposant un service d’initiation d’ordre de paiement.

Ces établissements, via des accès sécurisés mis à disposition par les banques, initient des ordres de paiement que les banques exécutent.

Ces établissements proposent plusieurs types de paiement qui, lorsqu’ils sont conjugués aux services AIS (Account Information Services) permettent d’élaborer des produits différents.

Par exemple, un produit AIS couplé à un produit PIS permettra de proposer un virement sur la liste de bénéficiaire de confiance de la banque. Tandis qu’un produit uniquement PIS est seulement utilisé pour faire du paiement marchand.

Les AISP et PISP sont également appelés TPP (Third Party Providers).

Devant le caractère spécifique de ces établissements, l’EBA (European Banking Authority) a formulé récemment des orientations sectorielles relatives aux facteurs de risques de BC/FT propres aux prestataires de services d’initiation de paiement (PIS, Payment Initiation Services) et d’accès à l’information sur les comptes (AIS, Account Information Services) ( EBA Guidelines du 1er mars 2021).

Ces orientations consacrent en particulier :

  • le caractère limité du risque inhérent de BC/FT associé aux activités PIS et AIS compte tenu du fait que ces prestataires n’exécutent pas eux-mêmes d’opérations de paiement et qu’ils ne détiennent pas les fonds des utilisateurs
  • l’existence de facteurs de risque spécifiques liés aux clients, aux canaux de distribution et aux pays ou zones géographiques
  • l’applicabilité de la notion de « client » aux personnes morales utilisant les services PIS pour leurs clients finaux
  • le principe de procédures de vigilance basées sur des typologies tierces ou propres pour la détection de transactions inhabituelles ou suspectes selon les risques qu’elles représentent
  • l’applicabilité, lorsque le risque associé à une relation d’affaire est a priori faible, de mesures de vigilance simplifiées à l’égard de la clientèle.

Ces orientations ont été largement appréciées par les TPP (Third Party Provider). Aucun régulateur n’avait apporté autant de précisions sur la déclinaison opérationnelle d’exigences règlementaires.

aisp / pisp : une connaissance client spécifique

Les particularités des AISP et PISP, reprises dans les dernières orientations de l’EBA, ont un impact sur la qualification de la clientèle de manière générale, le processus de connaissance des clients et le suivi des transactions propres aux PISP.

la qualification de la clientèle pour les aisp et les pisp

La qualification de la clientèle d’un TPP dépendra de son business plan, de son positionnement sur le marché et de sa stratégie de distribution.

Les conséquences de la position de marché

En matière de positionnement commercial, les TPP peuvent se situer sur le marché du BtoB et/ou le marché du BtoC.

  • En BtoB, il existe deux typologies de clients en fonction du produit :
      • Pour les produits AIS :
        • les utilisateurs finaux, clients de services AIS mis en relation par un client partenaire
        • le client partenaire qui propose à ses clients/utilisateurs la possibilité d’utiliser le service AIS de l’AISP.
        • Pour les produits PIS : seuls les clients partenaires sont considérés comme clients.

    En effet, l’EBA, dans ces orientation du 21 mars 2021, a précisé que les utilisateurs finaux PIS, initiant des virements, ne sont pas des clients ( EBA/GL/2021/02, article 18.8).

    • En BtoC, les clients sont les utilisateurs de l’application proposant les services AIS et/ou PIS.

    Cette première qualification pourra également évoluer en fonction de la distribution des services de paiement.

    Les conséquences de la stratégie de distribution des AISP et PISP

    La distribution pourra se faire selon plusieurs méthodes : le choix du modèle contractuel ainsi que le canal de distribution.

    • Pour les modèles contractuels, il existe plusieurs schémas pouvant impacter la qualification de la clientèle :
      • le modèle “Tiers Utilisateur”, principe standard des établissements de paiement permettant aux AISP d’être mis en relation par un client (BtoB) sans transfert de clientèle, et de conserver son autonomie et sa responsabilité sur son activité.
        L’AISP signe un contrat avec le client « tiers utilisateur » ainsi qu’avec l’utilisateur final. Il a donc deux types de clients : le client partenaire et l’utilisateur final.
    Source : Bankin’
    • le modèle “agent”:  dans ce cadre, le client partenaire exerce son activité sous la responsabilité et l’agrément de l’AISP. Le client de l’AISP sera donc l’agent ou autrement dit le client partenaire. Les utilisateurs finaux seront les clients de l’agent soumis aux exigences LCB-FT sous la responsabilité de l’AISP.
    Source : Bankin’
    • le modèle PSEE (Prestataires de Services Essentiels Externalisés) : dans ce schéma, un établissement régulé contractualise avec l’AISP pour une prestation technique. L’AISP agira, sur le périmètre du contrat, sous la responsabilité de l’établissement client régulé. Dans ce modèle, l’établissement régulé est le client de de l’AISP et l’utilisateur final des services AIS est client de l’établissement régulé.
    Source : Bankin’
    • Pour le canal de distribution, la qualification de client dépendra du moyen de distribution mis en place :
      • soit une distribution en direct,

    L’une des pratiques de marché actuelle est de passer par des intermédiaires. Dans ce cas, les intermédiaires sont les clients des TPP.

    Ces intermédiaires distribuent les produits en tant qu’indicateur d’affaire ou IOBSP à d’autres entreprises qui seront également clientes de l’AISP et qui elles-mêmes proposeront les services à des utilisateurs finaux (entreprise ou consommateurs).

    L’utilisateur final pourra être également client de l’AISP en fonction du modèle contractuel choisi.

    Les schémas de distribution peuvent être relativement complexes. Cette qualification de la clientèle en fonction du business model est donc indispensable pour identifier les clients ainsi que le niveau de vigilance qui devra être appliqué.

    aisp, pisp : les spécificités d’une connaissance digitalisée en vigilance simplifiée

    Comme précisé par l’EBA, de par leur activité, les TPP sont en vigilance simplifiée, ce qui permet d’optimiser le processus de connaissance client.

    Qu’est-ce que la vigilance simplifiée ?

    Les mesures de vigilance à l’égard de la clientèle s’appliquent avant d’entrer en relation d’affaires. Elles portent sur :

    • l’identification et la vérification de l’identité du client et, le cas échéant, de son représentant, puis éventuellement du bénéficiaire effectif
    • la connaissance de l’objet, de la nature de la relation d’affaires et le recueil de tout autre élément d’information pertinent.

    En l’absence de tout soupçon BC/FT, les TPP bénéficient d’une exception à la mise en œuvre de ces obligations, au titre des mesures de vigilance dites « simplifiées », en application du 2° de l’article L. 561-9 du CMF. Les activités PIS et AIS présentent en effet un risque inhérent de BC/FT limité.

    Cette exception autorise l’application de mesures de vigilance dites « simplifiées » qui permettent de :

    • s’appuyer sur les données d’identification accessibles via les connecteurs bancaires pour prouver l’identité du client, lorsque les coordonnées de son compte de paiement sont connues et que ce compte est détenu auprès d’un établissement réglementé établi dans l’EEE (Espace Economique Européen).
    • reporter la vérification de l’identité du client à une certaine date après l’établissement de la relation d’affaires
    • présumer la nature et l’objet de la relation d’affaires.

    En cas de soupçon, les AISP se devront de mettre en place des mesures d’identification et de vérification adéquates, afin de leur attribuer un niveau de vigilance pertinent en fonction du risque.

     AISP, PISP : un processus de connaissance clients adapté à leur typologie

    Les TPP, comme l’ensemble des entreprises soumises à la LCB-FT appliquent la méthode standard :

    • identification du client et recueil de la documentation
    • vérification de l’identité du client et de filtrage
    • revue périodique.

    Toutefois, le recueil des informations et la vérification seront spécifiques à la qualification du client, selon qu’il s’agit de clients partenaires professionnels ou de clientèle de détail.

    La connaissance des clients partenaires

    Pour la connaissance des clients partenaires, le processus de collecte de la documentation, se fera en fonction du produit :

    • de manière digitalisée,
    • ou manuellement avec des processus de vérification les plus automatisés possibles.

    Pour ces clients, la vigilance simplifiée requiert un recueil de pièces, qui pourra se faire a posterori de la contractualisation.

    La connaissance de la clientèle de détail

    Pour les clients utilisateurs finaux, les mesures de vigilance simplifiées permettent aux AISP et PISP de :

    • collecter et s’appuyer sur les données d’identification accessibles via les connecteurs bancaires pour prouver l’identité du client
    • reporter la vérification de l’identité du client jusqu’à l’obtention des coordonnées de son compte de paiement
    • présumer la nature et l’objet de la relation d’affaires sur la base des conditions générales de ventes soumises à l’approbation de l’utilisateur concernant les services AIS et PIS.

    Ce processus digitalisé permet de se baser sur les données considérées comme fiables afin de proposer un KYC (Know Your Costumer) adaptée à l’activité des AISP et les PISP.

    les spécificités du suivi des transactions applicables aux pisp

    Les PISP sont soumis aux exigences de KYC de leur client partenaire mais également au suivi des transactions bancaires.

    Ce suivi des transactions bancaires permet d’identifier les comportements frauduleux pouvant être liés aux blanchiment et financement du terrorisme.

    La méthode doit répondre aux exigences des différents régulateurs européen et national, sur le besoin de filtrage des acteurs du paiement ainsi que la pertinence des règles.

    Le besoin de filtrage des acteurs du paiement

    En matière de transaction, les PISP se doivent en plus de connaitre leurs clients, de détecter les opérations frauduleuses mais aussi de détecter toutes transactions à destination ou émise par une personne ou entité dont les avoirs ont été gelés (Lignes directrices conjointes de la Direction Générale du Trésor et de l’Autorité de contrôle prudentiel et de résolution du 16 juin 2021).

    Dans cette orientation, la CCLBFT (Commission consultative de lutte contre le Blanchiment et le financement du terrorisme de l’ACPR) a rappelé qu’une obligation de résultat s’impose aux établissements assujettis sur « la mise en place d’un dispositif qui doit permettre la détection de toute opération au bénéfice des personnes ou entités dont les avoirs sont gelés ».

    Pour ce faire, le dispositif doit reposer sur deux critères :

    • le caractère exhaustif de la détection de ces opérations
    • une mise en œuvre des obligations en matière de gel des avoirs et d’interdiction ne relevant pas d’une approche par les risques.

    Les PISP se doivent donc de filtrer les acteurs du paiement selon le registre de gel des avoirs, ce dès le premier euro et en amont de l’envoi de l’ordre à l’établissement bancaire.

    Les initiateurs du paiement n’étant pas leurs clients et donc n’ayant pas fait l’objet d’un KYC, les PISP sont dans l’obligation de filtrer le destinataire et le bénéficiaire des paiements.

    Ce filtrage engendre un risque de perte de fluidité et d’instantanéité de l’opération qu’il s’agira d’adresser avec habileté, afin de concilier obligation réglementaire et performance du processus de paiement.

    La pertinence des règles de détection des transactions atypiques

    En plus du filtrage, les PISP ont pour obligation d’identifier les transactions atypiques afin d’être en mesure de détecter les cas de fraude et/ou les cas de blanchiment et de financement du terorrisme.

    D’après les orientations sectorielles de l’EBA, les prestataires AIS et PIS doivent a minima considérer les facteurs de risques suivants, comme susceptibles de contribuer à une augmentation du risque :

    • un client transfère au même bénéficiaire des fonds provenant de différents comptes de paiement ou reçoit de la part du même donneur d’ordre des fonds sur différents comptes de paiement qui, ensemble, représentent une somme importante sans justification économique ou légitime claire, ou qui donnent au prestataire des motifs raisonnables de soupçonner que le client essaie d’éviter des seuils de contrôle particuliers
    • un client initie un paiement (PIS) ou reçoit/envoie des fonds (AIS) en provenance ou à destination d’un pays ou territoire associé à un risque plus élevé de BC/FT ou en provenance ou à destination d’un pays tiers à haut risque, ou au bénéfice d’une personne ayant des liens connus avec de tels pays ou territoires, ou bien encore le client relie des comptes de paiement détenus au nom de plusieurs personnes dans plusieurs pays ou territoires.

    Les établissements doivent ainsi identifier des règles sur les critères suivants :

    • zone géographique
    • montants en fonction des sommes qu’ils ont l’habitude d’initier
    • fréquence des transactions
    • indices spécifiques de fraude qu’ils auraient identifiés (ex: l’adresse IP (Internet Protocol), le device ID (Device identification) pour pouvoir identifier les cas de fraude dites « sim swap »).

    Selon ces règles, les processus de contrôle vont :

    • générer des alertes a priori
    • déclencher un seuil permettant une gestion efficace de ces alertes ( priorisation des alertes et déclenchement d’ astreintes )
    • bloquer des transactions en fonction d’une limite de risque préalablement identifiée.

    En plus de la détection des alertes a priori, les PISP peuvent également mettre en place des analyses a posteriori afin d’obtenir une cartographie des flux de paiement et identifier de nouveaux scénarios de risques.

    Ces deux mécanismes de filtrage et de détection des transactions sont essentiels aux services PIS, tout comme à la connaissance des clients KYC.

    Ces dispositifs ont néanmoins des impacts financiers importants pour les établissements, au niveau des ressources humaines pour traiter les alertes, mais aussi des dispositifs techniques à mettre en place. A ces investissements, s’ajoute la potentielle perte d’utilisateurs si les parcours et/ou processus de paiement ne sont pas performants.

     

     

     

    Les orientations de l’EBA viennent clarifier le besoin en matière de vigilance sur les activités des AISP et les PISP. Ces orientations sont très appréciées par les professionnels de la conformité car elles apportent des précisions concrètes aux établissements proposant des services innovants.

    Toutefois, selon le projet de réforme de la 6ème Directive LCB-FT dont la procédure législative aura lieu pendant la gouvernance française de la commission européenne, les établissements proposant des services d’AIS pourraient être soumis également aux analyses de suivi des transactions.

    Aux obligations de connaissance client et de suivi de la relation d’affaire, viendrait ainsi s’ajouter pour les AISP l’analyse des transactions à l’image des PISP.

    Le législateur considère en effet que ces établissements, accédant à l’ensemble des informations sur les comptes des personnes, sont en mesure de détecter les potentielles anomalies transactionnelles pouvant être qualifiées de blanchiment et/ou de financement de terrorisme.

    Il est vrai que ces établissements seraient en mesure d’avoir une certaine visibilité sur les différents flux bancaires des personnes. Toutefois, cela supposerait de réaliser une analyse financière des transactions de leurs clients, alors que  leur cœur de métier est de proposer des services d’accès aux informations sur les comptes.

    Les AISP sont souvent des PME, start-up, proposant des services innovants pour qui la mise en conformité LCB-FT s’est révélée et se révèle être un coût important, entre la perte de l’utilisateur en raison d’un « onboarding  » alourdi, les charges de ressources humaines et les investissements dans les outils permettant de filtrer et de vérifier les identités.

    A date, les AISP ont fait parvenir aux régulateurs une note dans ce sens afin de démontrer que le risque est disproportionné par rapport à l’activité d’AIS.

    Auteurs
    Anne-Victoire d’Herbécourt  
    Responsable Risques, Contrôle interne et Conformité en Fintech – Participante au parcours de certification LCB-FT ES Banque  

    Prestataires de Services d’Initiation de Paiement (PSIP) : quel rôle en conformité ?

    Prestataires de Services d’Initiation de Paiement (PSIP) : quel rôle en conformité ?

    Temps de lecture estimé : 14 min

    Rédaction WEB : JUST DEEP CONTENT

    Nouveaux intermédiaires, sources de risques ? Entérinés par la DSP2, les TPP (Third Party Providers) initiateurs de paiement, apportent en fait une réelle valeur ajoutée en conformité.

    La DSP2 (Directive Européenne sur les services de paiement 2) entérine l’intégration de nouveaux acteurs dans la chaîne de paiement : les Third Party Provider (TPP).

    Ces nouveaux Établissements de paiement sont généralement des fintechs proposant les services d’accès aux informations bancaires (AIS : Account Information Services) et d’initiation de paiement (PIS : Payment Initiation Services).

    Initialement considérés comme de nouveaux intervenants, source de risques pour les banques, les TPP initiateurs de paiement se révèlent avoir une fonction clé dans la conformité globale de la chaîne de paiement.

    Face à l’augmentation constante des cas de fraudes au moyen de paiement, le législateur lui-même favorise le développement de ces nouvelles opérations d’initiation de paiement, considérées comme plus sécurisées.
    En parallèle, les TPP travaillent en collaboration avec les banques pour développer ce nouveau moyen de règlement.

    Afin de démontrer la valeur ajoutée des TPP dans la conformité du processus de paiement, il est d’abord nécessaire de comprendre leur rôle et leur responsabilité.

    rôle et responsabilité des psip (prestataires de services onitiateurs de paiement) dans la chaîne de paiement

    Pour appréhender le rôle et les responsabilités des TPP initiateurs de paiement, il convient de reprendre les fondamentaux juridiques du virement mais de les adapter de manière innovante à ce nouveau moyen de paiement à usage quotidien.

    les principes applicables au virement

    Le virement est caractérisé par la réalisation de deux événements consécutifs : l’émission d’un ordre de virement autrement dit l’initiation du virement et l’exécution du virement, en pratique la réception des fonds par le bénéficiaire.

    L’initiation du virement et le rôle des TPP initiateurs de paiement

    De manière générale, pour qu’un virement puisse être exécuté, il doit d’abord être émis ou initié par un donneur d’ordre auprès d’un établissement de paiement : une banque et/ou un TPP.

    L’émission du virement se caractérise par la réalisation de deux étapes :

    • La rédaction du message de paiement :Cette opération est réalisée soit par l’initiateur du virement soit par la banque qui récupère les données de paiement auprès du donneur d’ordre.

      Le message de paiement est constitué de plusieurs types de données :

    • Le recueil d’un consentement au virement auprès du donneur d’ordre :Par ce consentement, dont le recueil est imposé par l’article L133-6 du CMF (Code Monétaire et Financier), le donneur d’ordre donne mandat à la banque pour exécuter le virement.En fonction des intervenants de la chaîne de virement, l’article L133-7 du CMF admet que ce consentement puisse être transmis de manière directe et/ou indirecte à la banque.Concrètement, soit le virement est initié auprès de la banque, le consentement est alors directement transmis du payeur à la banque, soit le virement est initié auprès d’un intermédiaire, un TPP, qui transmet le consentement directement recueilli auprès du payeur à la banque.Le virement, une fois émis, est réceptionné par la banque du donneur d’ordre qui se doit de l’exécuter. Le virement devient alors irrévocable (article L133-8 du CMF).

    L’exécution du virement par les banques

    L’exécution du virement est uniquement réalisée par les banques qui sont habilitées à gérer les fonds de leurs clients. Pour ce faire, la banque réceptionne le message de paiement, soit directement auprès du donneur d’ordre, soit auprès d’un TPP et exécute le virement avec le consentement du donneur d’ordre.

    Ce consentement, au-delà de traduire la volonté du donneur d’ordre d’exécuter le virement, impose à la banque d’exécuter le virement, même si ce dernier a été initié par un TPP.

    La banque a donc pour obligation d’exécuter le virement. Elle bénéficie néanmoins, tout comme le TPP, d’un droit de refus pour motifs légitimes (article L133-10 du CMF). Ce serait le cas par exemple s’il était détecté une erreur matérielle, une incapacité financière du donneur d’ordre, un comportement transactionnel anormal dans le cadre de la lutte contre la fraude ou le blanchiment et financement du terrorisme…

    De manière concrète, l’exécution du virement classique est caractérisée par l’inscription du montant de l’opération de paiement sur le compte du bénéficiaire « au plus tard à la fin du premier jour ouvrable suivant le moment de réception de l’ordre de paiement » (article L133-13 du CMF). Ce délai est raccourci à 10 secondes pour le virement instantané. Cette inscription vaut extinction de la dette.

    Le paiement constitutif de cette écriture se voit appliquer le principe d’inopposabilité des exceptions. En effet, par principe, le virement exécuté est inscrit au compte du bénéficiaire et ne peut donc se voir opposer des exceptions permettant au donneur d’ordre de récupérer la somme.

    Cependant, le CMF prévoit une exception à ce principe afin de protéger le donneur d’ordre d’acte frauduleux ou de la mauvaise réalisation du paiement par le TPP et/ou la banque.

    Cette exception d’exception prend la forme d’un droit au remboursement admissible dans les conditions de l’article L133-25 du CMF.

    Étant donné les enjeux financiers, le CMF précise les responsabilités de chaque acteur de la chaîne de paiement en cas d’exercice du droit de remboursement.

    Chaîne de paiement et relation entre les acteurs du paiement

    Source : Anne-Victoire d’Herbécourt pour PERSPECTEEV

    tpp, banques : quelles responsabilités dans la chaîne de paiement ?

    L’ordonnance du 15 juillet 2009 et l’article L133-23 du CMF imposent aux TPP et aux banques une obligation générale de veiller à la bonne exécution et à la sécurité des opérations de paiement de leurs clients et utilisateurs communs.

    Étant responsables par principe, le TPP et la banque doivent rembourser les payeurs en cas de mauvaise réalisation du virement, quelle qu’en soit la cause, dans la limite prévue par le CMF, c’est-à-dire la faute lourde et la tentative de fraude du payeur.

    La mauvaise réalisation d’un virement peut donc engendrer une perte financière pour les établissements de paiement. Ces acteurs doivent donc identifier les risques liés à leurs opérations afin d’en limiter leurs impacts.

    Les risques de mauvaise réalisation du virement

    Le CMF identifie plusieurs risques de mauvaise réalisation du virement ouvrant un droit au remboursement du payeur :

    • le risque d’un paiement non autorisé :Le paiement peut être qualifié de non autorisé lorsque le consentement du donneur d’ordre n’est pas valable. Il en est ainsi lors :
      • d’une fraude externe et donc d’un vol des codes de sécurité du payeur,
      • d’une absence de consentement du donneur d’ordre au paiement. Il peut s’agir ici d’un virement effectué de manière automatique suite à des problèmes techniques.
    • le risque d’une opération mal exécutée : Le paiement peut être autorisé mais mal exécuté (article L133-25 du CMF). Dans cette hypothèse, le virement est consenti mais son initiation ne correspond pas à sa réalisation. Ce risque peut survenir aux deux étapes du virement :
      • au moment de l’initiation de paiement, le paiement serait mal exécuté :
        • en l’absence de montant exact de l’opération lors de l’autorisation de paiement,
        • si le montant de l’opération dépasse le montant auquel le payeur peut raisonnablement s’attendre, en tenant compte du profil de ses dépenses passées, des conditions prévues par son contrat-cadre et des circonstances.
    • au moment de l’exécution du virement : si un problème technique altère la demande initiale de virement à un moment quelconque entre la réception de l’ordre par la Banque du payeur (inscription sur le compte du payeur) et la bonne réception du paiement par le bénéficiaire (inscription sur le compte du bénéficiaire).

    La répartition des responsabilités entre les acteurs du paiement

    Le CMF répartit les responsabilités des intervenants à la chaîne de paiement en fonction des risques précédemment exposés.

    La responsabilité des acteurs du paiement lors d’une opération non autorisée

    L’article L133-18 du CMF impose à la banque du donneur d’ordre, à l’origine du transfert des fonds, de rembourser le payeur en cas de paiement non autorisé.

    Si le virement est initié par un TPP et que la responsabilité peut lui être imputable, la banque peut lui demander une indemnisation “pour les pertes subies ou les sommes payées en raison du remboursement du payeur, y compris le montant de l’opération de paiement non autorisée” (article L133-18 du CMF).

    Le payeur, quant à lui, peut également voir sa responsabilité engagée dans les deux cas suivants :

    • s’il y a suspicion de fraude par l’établissement de paiement (banque et/ou TPP),
    • en cas de faute lourde notamment en matière de données de sécurité (article L133-16 du CMF). Le payeur est en effet responsable de la sécurité de ses données de sécurité. Toutefois, c’est à la Banque et au TPP que revient la charge de la preuve.

    La responsabilité des acteurs du paiement lors d’opération mal exécutée

    Pour les opérations mal exécutées, il s’agit d’identifier la source de la mauvaise exécution entre les acteurs de l’exécution du virement, c’est à dire la banque du payeur et la banque du bénéficiaire des fonds.

    La responsabilité de la banque du payeur peut être engagée si la mauvaise exécution est constatée de la réception de l’ordre de virement jusqu’à la réception des fonds par la banque du bénéficiaire (et donc l’inscription sur le compte du bénéficiaire des fonds).

    La responsabilité de la banque du bénéficiaire peut quant à elle être engagée sur les opérations de réception des fonds du payeur et d’inscription sur les comptes du bénéficiaire.

    En principe, le TPP n’agissant pas sur l’exécution de virement, sa responsabilité ne pourrait être engagée.

    Néanmoins, une erreur dans les données nécessaires à l’émission du virement, notamment sur l’identifiant unique du compte destinataire (IBAN), est constitutive d’une mauvaise exécution du virement (article L133-21 du CMF). Ainsi, le TPP peut voir sa responsabilité engagée si l’erreur sur l’IBAN lui est imputable.

    Au-delà d’un mécanisme juridique, l’initiation de paiement est une opération fonctionnelle qui nécessite une interface dédiée : l’API (Application Programming Interface).

    les interfaces api pis : une réponse technique au service d’initiation de paiement

    Afin d’utiliser l’initiation de virement comme moyen de paiement, les TPP et les Banques ont travaillé leur interconnexion numérique afin de pouvoir rendre les deux étapes du virement (l’initiation et l’exécution du virement), fluides et homogènes.

    Ces interconnexions entre TPP et banque sont réalisées notamment sur des API (Application Programming Interface) dédiées dites PIS (Payment Initiation Services) respectant les exigences de sécurité imposées par la DSP2.

    L’initiation de virement réalisée via ces API couvrent plusieurs cas d’usage de paiement : le paiement unitaire, le paiement multiple, le virement classique, le virement instantané, le virement différé ainsi que le remboursement.

    Les établissements de paiement ont également prévu la possibilité de collecte de paiement dite “request to pay, contribuant à un usage sécurisé des parcours utilisateurs.

    A date, toutes ces fonctionnalités ne sont pas encore disponibles. Leur conception est en cours, à l’échelle européenne, au sein d’ateliers de travail réunissant les établissements de paiement et le régulateur. C’est le cas actuellement du request to pay et du remboursement.

    Par leurs capacités, les API PIS des banques permettent d’exploiter en profondeur le virement issu du service d’initiation de paiement.

    La DSP2 a permis de faire évoluer le virement traditionnel en un nouveau moyen de paiement : l’initiation de paiement.

    Ce nouveau mode de règlement est adapté aux usages quotidiens tout en participant à la sécurité et la conformité de la chaîne de paiement.

    la valeur ajouté des initiateurs de paiement sur la sécurité du règlement

    L’intermédiation est souvent considérée comme une perte de maîtrise du risque pouvant élevé sa criticité.

    Appliqué au virement, le fait d’ajouter un intermédiaire entre la banque et le payeur peut être analysé comme une perte de contrôle des banques sur la chaîne de paiement.

    Mais ne pourrait-on pas, à l’inverse, envisager que l’intervention du TPP intermédiaire permette une meilleure maîtrise du risque global de la chaîne de paiement ?

    Premièrement, il ne s’agit pas de n’importe quelle intermédiaire. Les TPP appartiennent à la catégorie des établissements de paiement. Comme les banques, ils sont donc soumis aux mêmes obligations réglementaires en matière de sécurité des paiements. Ils ont donc les mêmes enjeux que les banques, établissements de paiement gestionnaires de compte : la protection de leurs clients/utilisateurs et de leurs intérêts financiers.

    Deuxièmement, comme les banques, les TPP se doivent de proposer des produits et services performants, sécurisés et conformes. Pour répondre à cela, ils mettent en place de véritables dispositifs de maîtrise des risques qui viennent s’additionner à ceux des banques et sont complémentaires à la conformité bancaire.

    De fait, l’assemblage de ces dispositifs de maîtrise du risque opérationnel sur les différentes étapes du paiement par les banques et les TPP permettent une meilleure maîtrise de la chaîne de paiement dans sa globalité.

    De même que pour les banques, les dispositifs déployés par les TPP reposent sur des exigences de sécurité du moyen de paiement, de lutte contre le blanchiment et du financement du terrorisme et de lutte contre la corruption et la fraude.

    tpp et sécurité des moyens de paiement

    Les établissements de paiement ont pour obligation d’assurer la sécurité des moyens de paiement qu’ils proposent.

    Cette sécurité passe par l’efficacité, la fiabilité et la sécurité du moyen de paiement conformément aux exigences de la Banque de France.

    Concrètement, cette “qualité” du moyen de paiement se traduit par une maîtrise des risques techniques : sécurité informatique, sécurité ainsi que conformité du produit

    En matière de sécurité informatique, les acteurs du paiement veillent à la sécurité des flux d’information et des interconnexions en plus de la sécurité standard de leur système informatique. Ils veillent ainsi à sécuriser l’interconnexion entre les interfaces des banques, qui peuvent prendre la forme d’API ou d’espace (web ou mobile) certifiés. La banque se doit de proposer un espace sécurisé et le TPP doit s’y connecter en s’authentifiant.

    En matière de produit, les acteurs veillent à la disponibilité du service ainsi qu’à la sécurité de leur parcours. La disponibilité du service passe bien sûr par des engagements en la matière, en cohérence avec les obligations de notification d’incident au régulateur, mais aussi à l’identification d’un plan de poursuite d’activité en cas d’incident majeur.

    En termes de parcours, ceux-ci se doivent d’être sécurisés, notamment dans le cadre des API PIS où le TPP peut avoir un rôle de “facilitateur technique” entre l’utilisateur final et la banque.

    Enfin, le produit/service proposé par le TPP se doit d’être conforme au droit du paiement.

    Au-delà des obligations LCB-FT qui seront explicitées dans le point suivant, le service doit notamment satisfaire les exigences concernant :

    • les données nécessaire à l’émission du  paiement de manière générale qui pourront varier en fonction de la territorialité de la banque émettrice
    • des données sensibles de paiement qui nécessitent un encadrement des traitements et une sécurité renforcée
    • la conception même du produit et/ou service qui se doit de répondre au schéma juridique explicité en amont. Ce dernier tend par ailleurs à se complexifier, avec l’intégration d’autres intermédiaires dans la chaîne de paiement : agrégateurs de moyen de paiement, marketplace devant faire appel à des entreprises pratiquant les activités d’encaissement pour compte de tiers etc..

    Les dispositifs des banques cumulés à ceux des TPP permettent de couvrir l’ensemble de la chaîne mais également d’acquérir une certaine performance en capitalisant sur leur expertise respective.

    Les TPP construisent leurs services autour de deux compétences : leur savoir technique de manière générale et leur expertise plus spécifique en matière d’UX (User eXperience) ou de parcours utilisateurs.

    De manière générale, le modèle économique des Fintechs TPP repose sur leurs connaissances technologiques permettant d’incorporer à leur produit une grande part d’innovation. Que ce soit en termes de développement informatique, de data, d’architecture et de sécurité informatique, les TPP privilégient les expertises pointues afin de créer des produits innovants.

    Cette expertise “Tech” mise au service du paiement permet d’intégrer et d’optimiser l’ensemble des règles de sécurité pour qu’elles soient natives dans leurs produits.

    Les TPP ont également développé leurs compétences en matière d’expérience utilisateur.

    En effet, mettant à disposition des applications à des utilisateurs, les TPP n’ont pas ou peu d’interaction humaine avec leurs clients. La relation étant digitale, le comportement des utilisateurs d’applications est différent de celui d’un client “physique”. Les utilisateurs sont très soucieux de la fluidité et de l’innovation que proposent les applications qu’ils téléchargent.

    Pour acquérir et conserver des utilisateurs, les TPP proposent des parcours simples et fluides leur permettant de convertir rapidement des prospects en utilisateurs. La relation digitale est plus complexe à maintenir dans le temps. Pour fidéliser leurs clients, les TPP proposent des améliorations continues de leur produit.

    Capitaliser sur cette expertise technique afin d’assurer la sécurité et la qualité de leur produit permet d’offrir un moyen de paiement de qualité et performant.

    psip et dispositions en matière de lcb-ft

    La réglementation en matière de LCB-FT est applicable à l’ensemble des établissements de paiement. Les banques et les TPP sont dans l’obligation de mettre en place des dispositifs couvrant le risque.

    De fait, un paiement réalisé dans le cadre d’un virement par le biais d’un initiateur va passer par plusieurs dispositifs de LCB-FT : celui du TPP, de la banque du donneur d’ordre et de la banque du destinataire des fonds.

    Pour un même paiement, trois contrôles seront donc effectués au lieu de deux en l’absence d’initiateur.

    Ces contrôles en matière de PIS sont basés sur les exigences suivantes :

    • le filtrage KYC avec la vérification :
      • de l’identification du client/utilisateur,
      • de l’identité du client/l’utilisateur,
      • de l’appartenance éventuelle de l’utilisateur aux listes des personnes politiquement exposées et de gels des avoirs.
    • le filtrage du pays destinataire des fonds : via l’IBAN mais également par tous moyens afin de vérifier que les pays destinataires des fonds ne sont pas sous embargos.
    • à partir du 1 mars 2021, l’identification potentielle des  règlements douteux via les messages de paiement.
    • le suivi des activités de paiement des utilisateurs, lorsque les utilisateurs peuvent être qualifiés de clients au regard de la réglementation.

    Même s’ils n’ont pas la même profondeur, du fait de risques différents, les contrôles de chaque intervenant de la chaîne de paiement, mis bout à bout, couvrent l’ensemble des étapes du virement.

    En tant que nouveaux acteurs, les TPP apportent une vision différenciée de la gestion du risque. De par leur compétence “Tech”, les TPP innovent afin de proposer des solutions d’identification et de vérification des identités indolores pour leurs utilisateurs.

    Enfin, les TPP participent activement à la réalisation d’un troisième filtrage avec les listes de sanctions et de personnes politiquement exposées.

    La problématique reste pour eux de respecter leurs obligations réglementaires tout en évitant de complexifier leurs parcours et la fluidité du paiement.

    La multiplication des filtrages tout au long de la chaîne du paiement permet de limiter de manière significative les “oublis”.

    Enfin, ces dispositifs tout au long de la chaîne de paiement offrent aux organismes d’instruction une vision plus large sur la connaissance des personnes soupçonnées.

    initiateurs de paiement et lutte contre la fraude

    La fraude au moyen de paiement à de véritables conséquences sur les établissements de paiement : elle peut entraîner un risque de perte financière, de sanction par le régulateur et de réputation pour l’entreprise.

    Le risque principal de l’initiation de paiement est l’usurpation d’identité du donneur d’ordre suite à un vol de ses données de sécurité.

    Les exigences d’authentification forte du donneur d’ordre issues de la DSP2 viennent diminuer cet aléa mais ne suffit pas à l’éradiquer.

    Il existe par ailleurs des risques plus spécifiques liés à la fraude au paiement, au blanchiment et à la fraude fiscale et sociale, qui rejoignent directement le point précédent sur la LCB-FT.

    Les établissements de paiement et les TPP mettent en place des dispositifs anti-fraude pour contenir ce risque. De fait, ces dispositifs, comme ceux spécifiques à la sécurité et LCB-FT, vont se succéder sur l’ensemble du processus de virement permettant d’accroître la sécurité globale de la chaîne de paiement.

    Les dispositifs anti-fraude se basent sur les éléments suivants :

    • l’identification des cas potentiels de fraude et de règles diminuant le risque lors de la conception du produit.
    • la détection et/ou le blocage de transactions frauduleuses via un monitoring.
    • l’identification et la mise en place de règles de remédiation tout au long de la vie du produit ou service.

    Ces règles de mitigation des risques concernent les produits, la sécurité et la conformité.

    Le monitoring de ses règles permet aux établissements d’identifier, de suivre, de quantifier et de bloquer les comportements anormaux.

    Afin d’avoir une vision sur l’ensemble de la chaîne de paiement, une analyse transactionnelle peut s’avérer également pertinente. Elle permet d’identifier des comportements anormaux et donc de détecter des cas de fraude plus complexes a posteriori du virement.

    De par leur statut dans la chaîne de virement mais également de par leur expertise, les TPP apportent une vraie valeur ajoutée en matière de fraude, que ce soit en termes de sécurité, de produit ou d’analyse transactionnelle.

    Enfin, s’ils en ont l’agrément, l’utilisation du service d’agrégation des TPP peut également être une véritable plus-value notamment en présence d’utilisateurs multibancarisés.

    Grâce à l’accès aux informations sur les comptes, les TPP peuvent avoir une vision globale sur l’ensemble des comptes de leurs utilisateurs. Cette vision accroît leur analyse transactionnelle et les rend plus performant en matière de lutte contre la fraude.

    Cette dernière hypothèse n’est cependant pas envisageable via les API PIS, leur périmètre étant limité à celui des données de paiement.

    L’initiation de paiement encadré par la DSP2 permet de développer un nouveau moyen de paiement basé sur les mécanismes du virement. Ce découpage de la chaîne du virement implique une répartition des responsabilités entre les acteurs du paiement.

    Les TPP, de par leur agrément et leur responsabilité commune avec les banques, mettent en place de véritables dispositifs de maîtrise des risques et de conformité.

    Le professionnel de la conformité ne peut ignorer leur rôle. Leur expertise technique et leur vision sur la chaîne de paiement est une réelle valeur ajoutée pour la conformité globale de la chaîne de paiement.

    Auteurs

    Anne-Victoire d’Herbécourt 

    Responsable Risques, Contrôle interne et Conformité en Fintech – Participante au parcours de certification LCB-FT ES Banque