Qu'est-ce que la DSP2 ?

La Directive sur les Services de Paiement 2 (DSP2) est une réglementation européenne entrée en vigueur progressivement depuis 2018 et pleinement applicable en France depuis 2021. Son objectif principal est de renforcer la sécurité des paiements électroniques et d'ouvrir le marché bancaire à de nouveaux acteurs (open banking).

L'authentification forte : le cœur de la DSP2

Le principe central de la DSP2 est l'authentification forte du client (Strong Customer Authentication — SCA). Elle impose de vérifier l'identité du payeur via au moins deux des trois facteurs suivants :

  • Ce que vous savez : un mot de passe, un code PIN
  • Ce que vous possédez : votre smartphone, une clé physique
  • Ce que vous êtes : une empreinte digitale, la reconnaissance faciale

Concrètement, lorsque vous payez en ligne, votre banque vous envoie une notification sur votre application mobile ou un code SMS à confirmer. C'est ce qu'on appelle le 3D Secure 2.

Quelles transactions sont concernées ?

L'authentification forte s'applique à la grande majorité des paiements en ligne, avec quelques exemptions notables :

  • Les transactions inférieures à 30 € (sous certaines conditions)
  • Les paiements récurrents d'un même montant (abonnements)
  • Les marchands ajoutés à votre liste de confiance (whitelist)
  • Les virements vers des bénéficiaires de confiance déjà enregistrés

L'open banking : une révolution pour les fintech

La DSP2 ne concerne pas seulement la sécurité. Elle impose également aux banques d'ouvrir leurs interfaces (API) à des prestataires de services de paiement tiers agréés. Cela a permis l'émergence de deux nouveaux types d'acteurs :

  1. Les AISP (Account Information Service Providers) : services d'agrégation bancaire comme Bankin' ou Linxo, qui vous permettent de voir tous vos comptes en un seul endroit.
  2. Les PISP (Payment Initiation Service Providers) : services permettant d'initier un virement directement depuis votre compte bancaire sans passer par une carte (ex : PayByBank).

Impact pour les consommateurs

Pour les particuliers, la DSP2 a eu plusieurs effets concrets :

  • Une légère friction supplémentaire lors des achats en ligne (confirmation via application ou SMS)
  • Une meilleure protection contre la fraude grâce à la SCA
  • De nouvelles applications de gestion financière capables d'agréger tous vos comptes
  • Des options de paiement alternatives à la carte bancaire

Impact pour les entreprises

Les e-commerçants ont dû adapter leurs systèmes de paiement pour intégrer le 3D Secure 2. Si l'authentification forte peut légèrement impacter le taux de conversion, elle réduit significativement les risques de fraude et de chargeback. Les solutions comme Stripe, PayPlug ou Mollie gèrent automatiquement cette conformité.

La DSP3 en préparation

La Commission européenne travaille déjà sur la DSP3, qui devrait aller encore plus loin dans l'open banking, améliorer l'expérience utilisateur de l'authentification forte et mieux encadrer les acteurs du paiement numérique. Une évolution à surveiller pour tous les acteurs du secteur fintech en Europe.