La fraude dans le Règlement sur les services de paiement : analyse et discussions

🛡️Contexte

La DSP2, adoptée en 2015, a révolutionné l’univers des paiements en Europe, mais son application a révélé des zones d’ombre et des divergences. Face à ces défis, une refonte s’impose pour accompagner l’évolution des usages et renforcer l’harmonisation des services de paiement à l’échelle européenne.

Le 28 juin 2023, le Parlement européen a publié une proposition de règlement sur les services de paiement dans l’UE (RSP1) avec un objectif clair : clarifier, améliorer la protection des consommateurs et mieux lutter contre la fraude. 

Le 23 octobre dernier, le Conseil de l’UE, actuellement sous la présidence de la Hongrie, a communiqué ses suggestions de rédaction concernant RSP1, qui, sans présager de la version finale, donnent des orientations sur des sujets clefs.  

Nous avons analysé son apport, notamment sur un enjeu critique : la fraude, à travers deux axes majeurs :

• Le partage des données de fraude
• Le remboursement des victimes de fraude

🔍 Lutte contre la Fraude – Élargissement du type de données partageables

RSP1 introduit la possibilité d’échanger des données sur les opérations frauduleuses entre prestataires de services de paiement (PSPs) :

Dans les versions précédentes du texte, le partage des IBANs considérés comme frauduleux avait suscité beaucoup d’intérêt et de questions des différentes associations bancaires notamment sur le besoin d’étendre le champ des données partageables au-delà de l’IBAN.

Dans cette version, il est prévu que les noms, prénoms ou identifiants des entreprises associés aux transactions frauduleuses puissent être partagées entre les PSPs. 

Cette modification du texte doit faciliter l’échange de données de fraude et permettre de nouveaux cas d’usages de partage d’informations à l’échelle Européenne.

Ce texte vient compléter l’initiative VoP (Verification of Payee), prévue par l'Instant Payment Regulation, qui imposera la vérification des titulaires des IBANs avant paiement aux PSPs à partir d’octobre 2025.

Quelles perspectives pour le partage d’informations ?

RSP1 recommande également aux PSPs d'explorer des cas de collaboration intersectorielle et de ne pas se limiter au partage entre acteurs du paiement en collaborant avec les opérateurs télécoms et les plateformes de réseaux sociaux pour mieux lutter contre la fraude sans pour autant définir de cadre sur ce sujet.

⚖️ Remboursement des victimes - Un cadre plus précis

RSP1 renforce la protection des consommateurs en élargissant la définition des opérations de paiement non autorisées et donc devant être remboursées, ainsi que les obligations de surveillance des transactions. RSP1 engage également la responsabilité des prestataires techniques. 

Un PSP est responsable si un consommateur est manipulé par un tiers se faisant passer pour un employé du PSP, afin d’autoriser une opération de paiement. Cela s’applique à condition que le consommateur signale rapidement la fraude à la police et informe son PSP. Aucun remboursement n’est accordé si ces démarches ne sont pas respectées.

Le texte allonge le délai de traitement d’une demande de remboursement de 10 à 15 jours. Dans ce délai, les banques doivent rembourser la transaction contestée ou justifier leur refus.

Contrairement à ce qui vient d’être mis en place au Royaume-Uni, le texte ne prévoit pas de remboursement automatique des victimes. L’objectif étant d'éviter une baisse de la vigilance des consommateurs qui reste le premier rempart face aux tentatives de fraudes.

📢 Conclusion

La mise en application du RSP1 devrait considérablement améliorer le travail de lutte contre la fraude des PSPs avec le développement de cas d’usage de collaboration. Le cadre de remboursement des fraudes, bien que renforcé, reste prudent pour éviter les excès potentiels.