En 2025, le secteur financier européen connaît une mutation d’ampleur autour de la modernisation des paiements, portée par l’entrée en vigueur de la Directive sur les Services de Paiement 3 (DSP3), du règlement sur les services de paiement (PSR) et la généralisation des paiements instantanés. Au-delà des effets attendus sur l’innovation et l’expérience client, c’est une transformation juridique profonde, et parfois insoupçonnée, qui bouleverse l’ensemble de l’écosystème bancaire, assurantiel et fintech.
Vers une trinité réglementaire : Sécurité, ouverture et responsabilité
La DSP3, appelée à remplacer progressivement la DSP2, incarne le double mouvement de sécurisation maximale des opérations et d’ouverture radicale du marché des services financiers. Les établissements bancaires sont désormais obligés de fournir aux fintechs et nouveaux acteurs un accès aux données via des API standardisées et surveillées.
Sur le plan juridique, un basculement majeur : le prestataire d’initiation de paiement (PSIP) peut désormais, par convention, assumer la charge de l’authentification forte, transférant ainsi la responsabilité du remboursement en cas de fraude sur ses épaules, selon les recommandations du Haut Comité Juridique de la Place Financière de Paris. Les délais de remboursement sont allongés, passant à 5 jours ouvrés pour le particulier et à 15 pour le professionnel. La charge de la preuve de la non-fraude évolue également : il appartient au prestataire de paiement de démontrer l’absence d’alerte de système ou de défaillance détectée, et non plus une absence absolue de faille.
SCA et VoP : nouveaux standards, nouvelles jurisprudences
L’obligation de recourir à l’authentification forte du client (SCA) est renforcée par la DSP3 : l’absence de SCA prive la banque du droit de refuser un remboursement au client, sauf démonstration d’une fraude caractérisée de ce dernier. La jurisprudence, récemment consolidée, l’affirme avec vigueur.
Autre nouveauté : la généralisation du VoP (« Verification of Payee ») : chaque ordre de virement exige une vérification du nom du bénéficiaire, croisé en temps réel avec l’IBAN fourni. Ce contrôle précis vise une réduction drastique des fraudes de type usurpation d’identité. Pour l’entreprise comme pour la banque, la vigilance contractuelle et technique devient la norme.
PSR : l’entrée dans l’ère du paiement réglementé-interopérable
Avec le PSR, règlement directement applicable sur tout le territoire de l’Union, la création d’API ouvertes, uniformes et sécurisées devient une obligation juridique absolue pour les banques et prestataires de services de paiement. Un acteur agréé dans un pays membre pourra opérer dès validation dans toute l’UE : l’harmonisation atteint un seuil inédit.
Le non-respect des règles expose à des sanctions immédiates : la Commission peut prononcer des amendes pouvant aller jusqu’à 10 % du chiffre d’affaires ou imposer des suspensions de fonction. Cela impose d’intégrer en continu compliance et audit dans les dispositifs contractuels des établissements.
Vers une protection accrue du consommateur européen
Le consommateur voit sa situation améliorée : il ne peut être tenu pour responsable qu’à hauteur de 50 € en cas de paiement non autorisé, sauf à manifester une négligence grave ou une fraude démontrée. Il peut contester un prélèvement automatique pendant 8 semaines, et aucune surtaxe pour paiement par carte n’est tolérée. Les informations relatives aux accès consentis à des prestataires tiers doivent être accessibles dans des interfaces transparentes et révocables à tout moment.
La coopération au service de la lutte antifraude collective
La DSP3 ancre juridiquement la possibilité, pour tous les acteurs, de partager des données relatives aux bénéficiaires identifiés comme frauduleux en coopération, notamment, avec les opérateurs télécoms, levant ainsi le secret bancaire sous conditions strictes. Cette capacité nouvelle constitue un arsenal contre les fraudes à grande échelle mais suscite, en miroir, de nouveaux enjeux de protection des données personnelles.
Conclusion : un nouvel équilibre juridique à (ré)apprendre
À l’heure où le paiement instantané et les API ouvertes deviennent la norme, chaque acteur doit réviser ses contrats, ses protocoles et ses outils de conformité. Les professionnels du droit et de la finance devront s’adapter à cette « surcouche » réglementaire, à la fois protectrice et exigeante, qui impose un nouvel équilibre entre innovation, sécurité, responsabilité et droits fondamentaux.
Sources :
image : PerplexityAI+Edit
https://risk.lexisnexis.com/global/fr/insights-resources/article/prepare-for-the-transition-from-psd2-to-psd3
https://www.banque-france.fr/system/files/2023-10/rapport_57_f.pdf
https://blog.avocats.deloitte.fr/de-dsp2-a-dsp3-haro-sur-la-fraude-aux-paiements/
https://www.afte.com/publication/actualites/standard-technique-pour-le-controle-du-beneficiaire-dun-virement
https://wholesale.banking.societegenerale.com/fr/actus-opinions/toutes-publications/news-details/news/new-payment-services-directive-psd3-at-a-time-when-the-new-european-regulatory-framework-applicable-to-payment-services-is-being-drafted-how-can-the-right-balance-be-found-between-protection-and-flexibility/
https://www.deloitte.com/fr/fr/Industries/banking-capital-markets/analysis/revision-cadre-reglementaire-ue-paiements-nouvel-ensemble-dsp3-rsp1.html
https://commission.europa.eu/system/files/2019-11/leaflet-your-rights-payments-eu_fr.pdf
https://www.europarl.europa.eu/factsheets/fr/sheet/47/les-mesures-de-protection-des-consommateurs
https://www.herald-avocats.com/la-resolution-par-la-dsp3-des-limitations-dues-au-rgpd-dans-la-lutte-contre-la-fraude/
Étudiant Master 2 en droit de l’économie numérique à la faculté de droit de Strasbourg