Rédaction WEB : JUST DEEP CONTENT
Nouveaux intermédiaires, sources de risques ? Entérinés par la DSP2, les TPP (Third Party Providers) initiateurs de paiement, apportent en fait une réelle valeur ajoutée en conformité.
La DSP2 (Directive Européenne sur les services de paiement 2) entérine l’intégration de nouveaux acteurs dans la chaîne de paiement : les Third Party Provider (TPP).
Ces nouveaux Établissements de paiement sont généralement des fintechs proposant les services d’accès aux informations bancaires (AIS : Account Information Services) et d’initiation de paiement (PIS : Payment Initiation Services).
Initialement considérés comme de nouveaux intervenants, source de risques pour les banques, les TPP initiateurs de paiement se révèlent avoir une fonction clé dans la conformité globale de la chaîne de paiement.
Face à l’augmentation constante des cas de fraudes au moyen de paiement, le législateur lui-même favorise le développement de ces nouvelles opérations d’initiation de paiement, considérées comme plus sécurisées.
En parallèle, les TPP travaillent en collaboration avec les banques pour développer ce nouveau moyen de règlement.
Afin de démontrer la valeur ajoutée des TPP dans la conformité du processus de paiement, il est d’abord nécessaire de comprendre leur rôle et leur responsabilité.
rôle et responsabilité des psip (prestataires de services onitiateurs de paiement) dans la chaîne de paiement
Pour appréhender le rôle et les responsabilités des TPP initiateurs de paiement, il convient de reprendre les fondamentaux juridiques du virement mais de les adapter de manière innovante à ce nouveau moyen de paiement à usage quotidien.
les principes applicables au virement
Le virement est caractérisé par la réalisation de deux événements consécutifs : l’émission d’un ordre de virement autrement dit l’initiation du virement et l’exécution du virement, en pratique la réception des fonds par le bénéficiaire.
L’initiation du virement et le rôle des TPP initiateurs de paiement
De manière générale, pour qu’un virement puisse être exécuté, il doit d’abord être émis ou initié par un donneur d’ordre auprès d’un établissement de paiement : une banque et/ou un TPP.
L’émission du virement se caractérise par la réalisation de deux étapes :
- La rédaction du message de paiement :Cette opération est réalisée soit par l’initiateur du virement soit par la banque qui récupère les données de paiement auprès du donneur d’ordre.
Le message de paiement est constitué de plusieurs types de données :
- les données nécessaires à l’exécution du virement issues du droit et des pratiques bancaires,
- des données nécessaires au respect des exigences réglementaires notamment de LCB-FT (Lutte contre le blanchiment et le financement du terrorisme),
- des données issues des bonnes pratiques de place entre établissements de paiement.
- Le recueil d’un consentement au virement auprès du donneur d’ordre :Par ce consentement, dont le recueil est imposé par l’article L133-6 du CMF (Code Monétaire et Financier), le donneur d’ordre donne mandat à la banque pour exécuter le virement.En fonction des intervenants de la chaîne de virement, l’article L133-7 du CMF admet que ce consentement puisse être transmis de manière directe et/ou indirecte à la banque.Concrètement, soit le virement est initié auprès de la banque, le consentement est alors directement transmis du payeur à la banque, soit le virement est initié auprès d’un intermédiaire, un TPP, qui transmet le consentement directement recueilli auprès du payeur à la banque.Le virement, une fois émis, est réceptionné par la banque du donneur d’ordre qui se doit de l’exécuter. Le virement devient alors irrévocable (article L133-8 du CMF).
L’exécution du virement par les banques
L’exécution du virement est uniquement réalisée par les banques qui sont habilitées à gérer les fonds de leurs clients. Pour ce faire, la banque réceptionne le message de paiement, soit directement auprès du donneur d’ordre, soit auprès d’un TPP et exécute le virement avec le consentement du donneur d’ordre.
Ce consentement, au-delà de traduire la volonté du donneur d’ordre d’exécuter le virement, impose à la banque d’exécuter le virement, même si ce dernier a été initié par un TPP.
La banque a donc pour obligation d’exécuter le virement. Elle bénéficie néanmoins, tout comme le TPP, d’un droit de refus pour motifs légitimes (article L133-10 du CMF). Ce serait le cas par exemple s’il était détecté une erreur matérielle, une incapacité financière du donneur d’ordre, un comportement transactionnel anormal dans le cadre de la lutte contre la fraude ou le blanchiment et financement du terrorisme…
De manière concrète, l’exécution du virement classique est caractérisée par l’inscription du montant de l’opération de paiement sur le compte du bénéficiaire « au plus tard à la fin du premier jour ouvrable suivant le moment de réception de l’ordre de paiement » (article L133-13 du CMF). Ce délai est raccourci à 10 secondes pour le virement instantané. Cette inscription vaut extinction de la dette.
Le paiement constitutif de cette écriture se voit appliquer le principe d’inopposabilité des exceptions. En effet, par principe, le virement exécuté est inscrit au compte du bénéficiaire et ne peut donc se voir opposer des exceptions permettant au donneur d’ordre de récupérer la somme.
Cependant, le CMF prévoit une exception à ce principe afin de protéger le donneur d’ordre d’acte frauduleux ou de la mauvaise réalisation du paiement par le TPP et/ou la banque.
Cette exception d’exception prend la forme d’un droit au remboursement admissible dans les conditions de l’article L133-25 du CMF.
Étant donné les enjeux financiers, le CMF précise les responsabilités de chaque acteur de la chaîne de paiement en cas d’exercice du droit de remboursement.
Chaîne de paiement et relation entre les acteurs du paiement
Source : Anne-Victoire d’Herbécourt pour PERSPECTEEV
tpp, banques : quelles responsabilités dans la chaîne de paiement ?
L’ordonnance du 15 juillet 2009 et l’article L133-23 du CMF imposent aux TPP et aux banques une obligation générale de veiller à la bonne exécution et à la sécurité des opérations de paiement de leurs clients et utilisateurs communs.
Étant responsables par principe, le TPP et la banque doivent rembourser les payeurs en cas de mauvaise réalisation du virement, quelle qu’en soit la cause, dans la limite prévue par le CMF, c’est-à-dire la faute lourde et la tentative de fraude du payeur.
La mauvaise réalisation d’un virement peut donc engendrer une perte financière pour les établissements de paiement. Ces acteurs doivent donc identifier les risques liés à leurs opérations afin d’en limiter leurs impacts.
Les risques de mauvaise réalisation du virement
Le CMF identifie plusieurs risques de mauvaise réalisation du virement ouvrant un droit au remboursement du payeur :
- le risque d’un paiement non autorisé :Le paiement peut être qualifié de non autorisé lorsque le consentement du donneur d’ordre n’est pas valable. Il en est ainsi lors :
- d’une fraude externe et donc d’un vol des codes de sécurité du payeur,
- d’une absence de consentement du donneur d’ordre au paiement. Il peut s’agir ici d’un virement effectué de manière automatique suite à des problèmes techniques.
- le risque d’une opération mal exécutée : Le paiement peut être autorisé mais mal exécuté (article L133-25 du CMF). Dans cette hypothèse, le virement est consenti mais son initiation ne correspond pas à sa réalisation. Ce risque peut survenir aux deux étapes du virement :
- au moment de l’initiation de paiement, le paiement serait mal exécuté :
- en l’absence de montant exact de l’opération lors de l’autorisation de paiement,
- si le montant de l’opération dépasse le montant auquel le payeur peut raisonnablement s’attendre, en tenant compte du profil de ses dépenses passées, des conditions prévues par son contrat-cadre et des circonstances.
- au moment de l’initiation de paiement, le paiement serait mal exécuté :
- au moment de l’exécution du virement : si un problème technique altère la demande initiale de virement à un moment quelconque entre la réception de l’ordre par la Banque du payeur (inscription sur le compte du payeur) et la bonne réception du paiement par le bénéficiaire (inscription sur le compte du bénéficiaire).
La répartition des responsabilités entre les acteurs du paiement
Le CMF répartit les responsabilités des intervenants à la chaîne de paiement en fonction des risques précédemment exposés.
La responsabilité des acteurs du paiement lors d’une opération non autorisée
L’article L133-18 du CMF impose à la banque du donneur d’ordre, à l’origine du transfert des fonds, de rembourser le payeur en cas de paiement non autorisé.
Si le virement est initié par un TPP et que la responsabilité peut lui être imputable, la banque peut lui demander une indemnisation “pour les pertes subies ou les sommes payées en raison du remboursement du payeur, y compris le montant de l’opération de paiement non autorisée” (article L133-18 du CMF).
Le payeur, quant à lui, peut également voir sa responsabilité engagée dans les deux cas suivants :
- s’il y a suspicion de fraude par l’établissement de paiement (banque et/ou TPP),
- en cas de faute lourde notamment en matière de données de sécurité (article L133-16 du CMF). Le payeur est en effet responsable de la sécurité de ses données de sécurité. Toutefois, c’est à la Banque et au TPP que revient la charge de la preuve.
La responsabilité des acteurs du paiement lors d’opération mal exécutée
Pour les opérations mal exécutées, il s’agit d’identifier la source de la mauvaise exécution entre les acteurs de l’exécution du virement, c’est à dire la banque du payeur et la banque du bénéficiaire des fonds.
La responsabilité de la banque du payeur peut être engagée si la mauvaise exécution est constatée de la réception de l’ordre de virement jusqu’à la réception des fonds par la banque du bénéficiaire (et donc l’inscription sur le compte du bénéficiaire des fonds).
La responsabilité de la banque du bénéficiaire peut quant à elle être engagée sur les opérations de réception des fonds du payeur et d’inscription sur les comptes du bénéficiaire.
En principe, le TPP n’agissant pas sur l’exécution de virement, sa responsabilité ne pourrait être engagée.
Néanmoins, une erreur dans les données nécessaires à l’émission du virement, notamment sur l’identifiant unique du compte destinataire (IBAN), est constitutive d’une mauvaise exécution du virement (article L133-21 du CMF). Ainsi, le TPP peut voir sa responsabilité engagée si l’erreur sur l’IBAN lui est imputable.
Au-delà d’un mécanisme juridique, l’initiation de paiement est une opération fonctionnelle qui nécessite une interface dédiée : l’API (Application Programming Interface).
les interfaces api pis : une réponse technique au service d’initiation de paiement
Afin d’utiliser l’initiation de virement comme moyen de paiement, les TPP et les Banques ont travaillé leur interconnexion numérique afin de pouvoir rendre les deux étapes du virement (l’initiation et l’exécution du virement), fluides et homogènes.
Ces interconnexions entre TPP et banque sont réalisées notamment sur des API (Application Programming Interface) dédiées dites PIS (Payment Initiation Services) respectant les exigences de sécurité imposées par la DSP2.
L’initiation de virement réalisée via ces API couvrent plusieurs cas d’usage de paiement : le paiement unitaire, le paiement multiple, le virement classique, le virement instantané, le virement différé ainsi que le remboursement.
Les établissements de paiement ont également prévu la possibilité de collecte de paiement dite “request to pay”, contribuant à un usage sécurisé des parcours utilisateurs.
A date, toutes ces fonctionnalités ne sont pas encore disponibles. Leur conception est en cours, à l’échelle européenne, au sein d’ateliers de travail réunissant les établissements de paiement et le régulateur. C’est le cas actuellement du request to pay et du remboursement.
Par leurs capacités, les API PIS des banques permettent d’exploiter en profondeur le virement issu du service d’initiation de paiement.
La DSP2 a permis de faire évoluer le virement traditionnel en un nouveau moyen de paiement : l’initiation de paiement.
Ce nouveau mode de règlement est adapté aux usages quotidiens tout en participant à la sécurité et la conformité de la chaîne de paiement.
la valeur ajouté des initiateurs de paiement sur la sécurité du règlement
L’intermédiation est souvent considérée comme une perte de maîtrise du risque pouvant élevé sa criticité.
Appliqué au virement, le fait d’ajouter un intermédiaire entre la banque et le payeur peut être analysé comme une perte de contrôle des banques sur la chaîne de paiement.
Mais ne pourrait-on pas, à l’inverse, envisager que l’intervention du TPP intermédiaire permette une meilleure maîtrise du risque global de la chaîne de paiement ?
Premièrement, il ne s’agit pas de n’importe quelle intermédiaire. Les TPP appartiennent à la catégorie des établissements de paiement. Comme les banques, ils sont donc soumis aux mêmes obligations réglementaires en matière de sécurité des paiements. Ils ont donc les mêmes enjeux que les banques, établissements de paiement gestionnaires de compte : la protection de leurs clients/utilisateurs et de leurs intérêts financiers.
Deuxièmement, comme les banques, les TPP se doivent de proposer des produits et services performants, sécurisés et conformes. Pour répondre à cela, ils mettent en place de véritables dispositifs de maîtrise des risques qui viennent s’additionner à ceux des banques et sont complémentaires à la conformité bancaire.
De fait, l’assemblage de ces dispositifs de maîtrise du risque opérationnel sur les différentes étapes du paiement par les banques et les TPP permettent une meilleure maîtrise de la chaîne de paiement dans sa globalité.
De même que pour les banques, les dispositifs déployés par les TPP reposent sur des exigences de sécurité du moyen de paiement, de lutte contre le blanchiment et du financement du terrorisme et de lutte contre la corruption et la fraude.
tpp et sécurité des moyens de paiement
Les établissements de paiement ont pour obligation d’assurer la sécurité des moyens de paiement qu’ils proposent.
Cette sécurité passe par l’efficacité, la fiabilité et la sécurité du moyen de paiement conformément aux exigences de la Banque de France.
Concrètement, cette “qualité” du moyen de paiement se traduit par une maîtrise des risques techniques : sécurité informatique, sécurité ainsi que conformité du produit
En matière de sécurité informatique, les acteurs du paiement veillent à la sécurité des flux d’information et des interconnexions en plus de la sécurité standard de leur système informatique. Ils veillent ainsi à sécuriser l’interconnexion entre les interfaces des banques, qui peuvent prendre la forme d’API ou d’espace (web ou mobile) certifiés. La banque se doit de proposer un espace sécurisé et le TPP doit s’y connecter en s’authentifiant.
En matière de produit, les acteurs veillent à la disponibilité du service ainsi qu’à la sécurité de leur parcours. La disponibilité du service passe bien sûr par des engagements en la matière, en cohérence avec les obligations de notification d’incident au régulateur, mais aussi à l’identification d’un plan de poursuite d’activité en cas d’incident majeur.
En termes de parcours, ceux-ci se doivent d’être sécurisés, notamment dans le cadre des API PIS où le TPP peut avoir un rôle de “facilitateur technique” entre l’utilisateur final et la banque.
Enfin, le produit/service proposé par le TPP se doit d’être conforme au droit du paiement.
Au-delà des obligations LCB-FT qui seront explicitées dans le point suivant, le service doit notamment satisfaire les exigences concernant :
- les données nécessaire à l’émission du paiement de manière générale qui pourront varier en fonction de la territorialité de la banque émettrice
- des données sensibles de paiement qui nécessitent un encadrement des traitements et une sécurité renforcée
- la conception même du produit et/ou service qui se doit de répondre au schéma juridique explicité en amont. Ce dernier tend par ailleurs à se complexifier, avec l’intégration d’autres intermédiaires dans la chaîne de paiement : agrégateurs de moyen de paiement, marketplace devant faire appel à des entreprises pratiquant les activités d’encaissement pour compte de tiers etc..
Les dispositifs des banques cumulés à ceux des TPP permettent de couvrir l’ensemble de la chaîne mais également d’acquérir une certaine performance en capitalisant sur leur expertise respective.
Les TPP construisent leurs services autour de deux compétences : leur savoir technique de manière générale et leur expertise plus spécifique en matière d’UX (User eXperience) ou de parcours utilisateurs.
De manière générale, le modèle économique des Fintechs TPP repose sur leurs connaissances technologiques permettant d’incorporer à leur produit une grande part d’innovation. Que ce soit en termes de développement informatique, de data, d’architecture et de sécurité informatique, les TPP privilégient les expertises pointues afin de créer des produits innovants.
Cette expertise “Tech” mise au service du paiement permet d’intégrer et d’optimiser l’ensemble des règles de sécurité pour qu’elles soient natives dans leurs produits.
Les TPP ont également développé leurs compétences en matière d’expérience utilisateur.
En effet, mettant à disposition des applications à des utilisateurs, les TPP n’ont pas ou peu d’interaction humaine avec leurs clients. La relation étant digitale, le comportement des utilisateurs d’applications est différent de celui d’un client “physique”. Les utilisateurs sont très soucieux de la fluidité et de l’innovation que proposent les applications qu’ils téléchargent.
Pour acquérir et conserver des utilisateurs, les TPP proposent des parcours simples et fluides leur permettant de convertir rapidement des prospects en utilisateurs. La relation digitale est plus complexe à maintenir dans le temps. Pour fidéliser leurs clients, les TPP proposent des améliorations continues de leur produit.
Capitaliser sur cette expertise technique afin d’assurer la sécurité et la qualité de leur produit permet d’offrir un moyen de paiement de qualité et performant.
psip et dispositions en matière de lcb-ft
La réglementation en matière de LCB-FT est applicable à l’ensemble des établissements de paiement. Les banques et les TPP sont dans l’obligation de mettre en place des dispositifs couvrant le risque.
De fait, un paiement réalisé dans le cadre d’un virement par le biais d’un initiateur va passer par plusieurs dispositifs de LCB-FT : celui du TPP, de la banque du donneur d’ordre et de la banque du destinataire des fonds.
Pour un même paiement, trois contrôles seront donc effectués au lieu de deux en l’absence d’initiateur.
Ces contrôles en matière de PIS sont basés sur les exigences suivantes :
- le filtrage KYC avec la vérification :
- de l’identification du client/utilisateur,
- de l’identité du client/l’utilisateur,
- de l’appartenance éventuelle de l’utilisateur aux listes des personnes politiquement exposées et de gels des avoirs.
- le filtrage du pays destinataire des fonds : via l’IBAN mais également par tous moyens afin de vérifier que les pays destinataires des fonds ne sont pas sous embargos.
- à partir du 1 mars 2021, l’identification potentielle des règlements douteux via les messages de paiement.
- le suivi des activités de paiement des utilisateurs, lorsque les utilisateurs peuvent être qualifiés de clients au regard de la réglementation.
Même s’ils n’ont pas la même profondeur, du fait de risques différents, les contrôles de chaque intervenant de la chaîne de paiement, mis bout à bout, couvrent l’ensemble des étapes du virement.
En tant que nouveaux acteurs, les TPP apportent une vision différenciée de la gestion du risque. De par leur compétence “Tech”, les TPP innovent afin de proposer des solutions d’identification et de vérification des identités indolores pour leurs utilisateurs.
Enfin, les TPP participent activement à la réalisation d’un troisième filtrage avec les listes de sanctions et de personnes politiquement exposées.
La problématique reste pour eux de respecter leurs obligations réglementaires tout en évitant de complexifier leurs parcours et la fluidité du paiement.
La multiplication des filtrages tout au long de la chaîne du paiement permet de limiter de manière significative les “oublis”.
Enfin, ces dispositifs tout au long de la chaîne de paiement offrent aux organismes d’instruction une vision plus large sur la connaissance des personnes soupçonnées.
initiateurs de paiement et lutte contre la fraude
La fraude au moyen de paiement à de véritables conséquences sur les établissements de paiement : elle peut entraîner un risque de perte financière, de sanction par le régulateur et de réputation pour l’entreprise.
Le risque principal de l’initiation de paiement est l’usurpation d’identité du donneur d’ordre suite à un vol de ses données de sécurité.
Les exigences d’authentification forte du donneur d’ordre issues de la DSP2 viennent diminuer cet aléa mais ne suffit pas à l’éradiquer.
Il existe par ailleurs des risques plus spécifiques liés à la fraude au paiement, au blanchiment et à la fraude fiscale et sociale, qui rejoignent directement le point précédent sur la LCB-FT.
Les établissements de paiement et les TPP mettent en place des dispositifs anti-fraude pour contenir ce risque. De fait, ces dispositifs, comme ceux spécifiques à la sécurité et LCB-FT, vont se succéder sur l’ensemble du processus de virement permettant d’accroître la sécurité globale de la chaîne de paiement.
Les dispositifs anti-fraude se basent sur les éléments suivants :
- l’identification des cas potentiels de fraude et de règles diminuant le risque lors de la conception du produit.
- la détection et/ou le blocage de transactions frauduleuses via un monitoring.
- l’identification et la mise en place de règles de remédiation tout au long de la vie du produit ou service.
Ces règles de mitigation des risques concernent les produits, la sécurité et la conformité.
Le monitoring de ses règles permet aux établissements d’identifier, de suivre, de quantifier et de bloquer les comportements anormaux.
Afin d’avoir une vision sur l’ensemble de la chaîne de paiement, une analyse transactionnelle peut s’avérer également pertinente. Elle permet d’identifier des comportements anormaux et donc de détecter des cas de fraude plus complexes a posteriori du virement.
De par leur statut dans la chaîne de virement mais également de par leur expertise, les TPP apportent une vraie valeur ajoutée en matière de fraude, que ce soit en termes de sécurité, de produit ou d’analyse transactionnelle.
Enfin, s’ils en ont l’agrément, l’utilisation du service d’agrégation des TPP peut également être une véritable plus-value notamment en présence d’utilisateurs multibancarisés.
Grâce à l’accès aux informations sur les comptes, les TPP peuvent avoir une vision globale sur l’ensemble des comptes de leurs utilisateurs. Cette vision accroît leur analyse transactionnelle et les rend plus performant en matière de lutte contre la fraude.
Cette dernière hypothèse n’est cependant pas envisageable via les API PIS, leur périmètre étant limité à celui des données de paiement.
L’initiation de paiement encadré par la DSP2 permet de développer un nouveau moyen de paiement basé sur les mécanismes du virement. Ce découpage de la chaîne du virement implique une répartition des responsabilités entre les acteurs du paiement.
Les TPP, de par leur agrément et leur responsabilité commune avec les banques, mettent en place de véritables dispositifs de maîtrise des risques et de conformité.
Le professionnel de la conformité ne peut ignorer leur rôle. Leur expertise technique et leur vision sur la chaîne de paiement est une réelle valeur ajoutée pour la conformité globale de la chaîne de paiement.
Auteurs
Responsable Risques, Contrôle interne et Conformité en Fintech – Participante au parcours de certification LCB-FT ES Banque
Sources :
- Article L133-6 du CMF
- Article L133-7 du CMF
- Article L133-8 du CMF
- Article L133-10 du CMF
- Article L133-13 du CMF
- Article L133-16 du CMF
- Article L133-18 du CMF
- Article L133-21 du CMF
- Article L133-23 du CMF
- Article L133-25 du CMF
- Ordonnance du 15 juillet 2009
- DSP2 (Directive Européenne sur les Services de Paiement 2)