Passer au contenu principal
Didit lève 7,5 M$ pour bâtir l'infrastructure pour l'identité et la fraude
Didit
Retour au blog
Blog · 21 mai 2026

PSD3 et PSR : Nouveautés pour les Fintechs et PSP (FR)

La PSD3 et le Règlement sur les Services de Paiement de l'UE refondent la responsabilité en cas de fraude, la SCA, la vérification IBAN-nom et le partage de données.

Par DiditMis à jour le
psd3-payment-services-directive.png

La deuxième Directive sur les Services de Paiement de l'UE (DSP2) a remodelé les paiements européens. La DSP3 — et son règlement complémentaire, le Règlement sur les Services de Paiement (PSR) — va plus loin : elle transfère plus clairement la responsabilité en cas de fraude aux Prestataires de Services de Paiement (PSP), renforce l'Authentification Forte du Client (SCA), impose la vérification IBAN-nom et formalise le partage intersectoriel des données de fraude. Pour les fintechs, les néobanques et les PSP, c'est à la fois un fardeau de conformité et un avantage concurrentiel.

La DSP3 est une directive (les États membres la transposent) ; le PSR est un règlement (directement applicable dans toute l'UE). Ensemble, ils remplacent la DSP2 et créent un socle juridique plus uniforme — la plupart des règles opérationnelles se trouvent dans le PSR, qui s'applique directement dès son entrée en vigueur, tandis que les États membres bénéficient d'une période de transposition pour la DSP3. Considérez les calendriers comme indicatifs et suivez-les via les sources officielles de l'UE.

Ce qui change réellement

1. Responsabilité en cas de fraude — fraude APP et le PSP du bénéficiaire

Un changement structurel significatif est l'extension de la responsabilité au PSP du bénéficiaire (l'institution recevant le paiement frauduleux) dans les cas de fraude APP (Authorised Push Payment). Sous la DSP2, l'accent était presque entièrement mis sur le PSP du payeur ; le nouveau cadre introduit un partage des responsabilités — si le PSP du bénéficiaire n'a pas agi sur les signaux indiquant que le compte récepteur était utilisé pour la fraude, il supporte une part de la perte. Les PSP des deux côtés ont désormais besoin de meilleurs signaux de fraude, et pas seulement d'une authentification côté payeur.

2. Authentification Forte du Client — règles plus claires, portée plus stricte

Les règles SCA de la DSP2 étaient correctes en principe mais compliquées en pratique. La DSP3/PSR clarifie :

  • Délégation d'authentification : un PSP peut déléguer la SCA à un tiers de manière plus nette — important pour les flux intégrés aux commerçants et les fournisseurs de portefeuilles.
  • Cadre d'exemption : les exemptions d'analyse des risques de transaction (TRA) et les seuils de faible valeur sont renforcés — les exemptions nécessitent des modèles de risque documentés, et les approches générales à faible friction sont soumises à un examen minutieux.
  • Comptes d'entreprise : les grandes entreprises utilisant des protocoles de paiement dédiés bénéficient d'un chemin d'exemption plus défini.
  • SCA pour l'accès au compte : l'exigence de ré-authentification silencieuse de 90 jours qui frustrait les flux d'open banking de la DSP2 est rationalisée.

La définition technique est inchangée ; ce qui change, c'est qui est responsable lorsque la SCA échoue ou est incorrectement exemptée.

3. Vérification du Bénéficiaire — IBAN-nom obligatoire

La Vérification du Bénéficiaire exige que le PSP du payeur vérifie que le nom figurant sur une instruction de paiement correspond au nom enregistré sur l'IBAN de destination avant l'exécution. En cas de non-concordance, le PSP doit avertir le payeur ; si le payeur procède malgré tout, la responsabilité lui incombe. Le PSR transforme la VoP d'une option nationale en une exigence paneuropéenne avec des API et des codes de réponse standardisés — ainsi, un PSP du payeur en Espagne peut vérifier un IBAN de bénéficiaire en Pologne. Pour les PSP, cela signifie une recherche de nom de bénéficiaire en temps réel avant l'exécution.

4. Partage de données de fraude — interopérabilité obligatoire

En vertu de la DSP3, les PSP seront tenus de participer à des cadres de partage d'informations sur la fraude. Les accords bilatéraux volontaires sont remplacés par une exigence d'interopérabilité réglementée : les institutions doivent être capables de recevoir et d'agir sur les signaux de fraude d'autres PSP. Les normes techniques de l'ABE préciseront les détails.

5. Accès à l'open banking — moins d'obstacles pour les TPP

La DSP2 a créé le droit légal pour les fournisseurs de services tiers (TPP) d'accéder aux comptes de paiement via des API ; la DSP3 l'étend et le renforce. Les interfaces dédiées doivent respecter des normes de performance (disponibilité, latence, exhaustivité des données), le repli sur le screen-scraping est éliminé pour les interfaces conformes, et les TPP bénéficient de flux de consentement plus clairs.

Ce que la DSP3 signifie opérationnellement pour les fintechs et les PSP

Les dispositions se traduisent par des exigences concrètes tout au long du cycle de vie. Lors de l'intégration, des contrôles d'identité faibles affaiblissent la position de responsabilité du PSP récepteur ; une KYC robuste est la première ligne de défense. Lors de l'authentification, un code PIN à quatre chiffres avec un OTP par SMS est conforme mais de plus en plus risqué ; la correspondance biométrique faciale offre une plus grande assurance. Lors de l'exécution du paiement, la VoP signifie un appel API de correspondance de nom avant l'envoi — bloquant, et non a posteriori. Dans la surveillance continue, les dispositions relatives au PSP du bénéficiaire rendent la surveillance entrante aussi importante que la surveillance sortante — une correspondance de modèles en temps réel, et non des examens par lots.

Comment Didit peut vous aider

Didit est une infrastructure pour l'identité et la fraude — une seule API couvrant l'authentification, la vérification et la surveillance. Les modules qui correspondent aux exigences PSD3/PSR sont déjà en ligne.

Authentification biométrique de niveau SCA

La SCA exige une « inhérence » comme l'un des facteurs. Le module Authentification Biométrique de Didit (0,10 $) fournit une correspondance faciale en direct par rapport à la biométrie KYC originale, et non seulement un visage par rapport à lui-même. Combiné à la liaison d'appareil, il satisfait l'inhérence à un niveau que la SCA passive basée sur PIN ne permet pas. La même pile est disponible sous forme de Liveness Active (0,15 $) ou de Liveness Passive (0,10 $).

Vérification d'identité à l'intégration

Le flux KYC de base — Vérification d'identité + Liveness Passive + Correspondance Faciale + Analyse IP/Appareil — s'exécute à 0,33 $ par vérification, couvre plus de 14 000 types de documents dans plus de 220 pays, et se termine en moins de 2 secondes. Il vous fournit une identité vérifiée pour ancrer la ré-authentification, ainsi qu'un enregistrement d'audit de la diligence raisonnable. Didit est le seul fournisseur d'identité formellement attesté par un gouvernement d'un État membre de l'UE — le Tesoro, la Banco de España (BdE) et le SEPBLAC espagnols — comme plus sûr que la vérification en personne, ce qui est important pour démontrer la conformité aux superviseurs. La Lecture NFC (0,15 $) ajoute la vérification de puce pour les documents compatibles NFC — le niveau d'assurance le plus élevé.

Filtrage AML

La DSP3 accentue les conséquences de l'intégration de clients ou d'entreprises liés à la criminalité financière. Le Filtrage AML de Didit (0,20 $) s'exécute en temps réel sur plus de 1 300 listes de sanctions, PPE et médias défavorables. Le Suivi AML Continu (0,07 $/utilisateur/an) ré-examine la population inscrite en permanence — si un profil de risque change après l'intégration, vous le savez avant la prochaine transaction.

Surveillance des transactions

Les dispositions relatives au PSP du bénéficiaire font de la surveillance continue des flux entrants une exigence de la DSP3, à toutes fins utiles. La Surveillance des Transactions de Didit (0,02 $ par transaction) exécute un moteur de règles en temps réel — 11 ensembles de règles préconfigurés couvrant la vélocité, les anomalies de montant, la géographie et les modèles comportementaux — avec gestion de cas, flux de travail SAR et une boucle d'auto-remédiation AWAITING_USER qui demande des preuves d'identité supplémentaires sans intervention manuelle. Le filtrage AML sur les transactions signalées est facturé 0,20 $ lorsqu'il est déclenché, ce qui maintient le coût de base faible pour les flux propres.

Analyse des appareils et IP

La fraude APP et la prise de contrôle de compte reposent sur des contextes d'appareil usurpés. L'Analyse des Appareils et IP de Didit (0,03 $) s'exécute automatiquement à chaque session de vérification, renvoyant l'empreinte numérique de l'appareil, les signaux d'appareil en double, la détection de VPN/proxy/Tor et les avertissements de non-concordance géo-document — un signal comportemental qui complète le contrôle des informations d'identification.

Cas d'utilisation

Intégration d'une néobanque. Exécutez le flux KYC de base à l'inscription — document + liveness + correspondance faciale + analyse d'appareil — pour une identité vérifiée, une référence biométrique et une liaison d'appareil avant l'ouverture du compte. La biométrie enregistrée devient le facteur d'inhérence SCA pour l'authentification ultérieure.

Prévention de la fraude APP — PSP côté bénéficiaire. Exécutez un ensemble de règles de surveillance des transactions sur les paiements entrants dépassant un seuil ; les comptes recevant plusieurs transferts de différents expéditeurs dans un court laps de temps sont signalés pour examen, avec Linked KYB ajoutant un contexte AML d'entité sur les comptes professionnels.

Renforcement de la SCA pour les paiements de grande valeur. Lorsque la TRA signale un paiement pour un renforcement, déclenchez un contrôle d'authentification biométrique — correspondance faciale avec l'identité enregistrée — au lieu d'un OTP par SMS, pour une assurance accrue et un journal d'audit. Le même flux revérifie les comptes dormants avant la réactivation, en les comparant à la biométrie d'intégration originale.

Questions fréquemment posées

Quand la DSP3 s'applique-t-elle ?

La DSP3 est une directive — les États membres doivent la transposer en droit national dans un délai défini après son adoption formelle. Le PSR, en tant que règlement, s'applique directement et uniformément sans transposition, et contient la plupart des règles opérationnelles (SCA, responsabilité en cas de fraude, VoP, partage de données). Le processus est toujours en cours au sein des institutions de l'UE à la mi-2026 ; consultez les publications officielles de la Commission européenne et de l'ABE pour les calendriers actuels plutôt que des sources secondaires.

Quelle est la différence entre la DSP3 et le PSR ?

La DSP3 est une directive qui établit le cadre — licences, passeport, droits d'accès — et exige des États membres qu'ils adoptent une législation nationale. Le PSR est un règlement qui s'applique directement et uniformément sans transposition, et contient la plupart des règles opérationnelles (SCA, responsabilité en cas de fraude, VoP, partage de données).

La DSP3 s'applique-t-elle aux PSP de crypto ?

Les services de paiement impliquant des cryptoactifs sont dans le champ d'application lorsque la transaction implique une conversion en monnaie fiduciaire ou un compte de paiement réglementé. Les transferts purement crypto-à-crypto qui ne touchent pas aux comptes de paiement réglementés relèvent de MiCA (Règlement sur les Marchés des Crypto-actifs). Les entreprises qui chevauchent les deux doivent évaluer les obligations en vertu des deux.

Qu'est-ce qui compte comme SCA en vertu de la DSP3 ?

La SCA exige au moins deux facteurs indépendants de différentes catégories : connaissance (PIN, mot de passe), possession (appareil, jeton) et inhérence (biométrie). Un scan facial confirme l'inhérence ; un jeton lié à l'appareil confirme la possession. Un PIN et un mot de passe mémorisé sont tous deux de la connaissance — ce n'est pas de la SCA.

Devons-nous mettre en œuvre la Vérification du Bénéficiaire avant l'entrée en vigueur de la DSP3 ?

Pour les virements instantanés en vertu du Règlement européen sur les paiements instantanés, les exigences de vérification IBAN-nom s'appliquent déjà avant le calendrier complet de la DSP3/PSR. Si vous traitez des virements instantanés vers des bénéficiaires de l'UE, les obligations VoP peuvent déjà être en vigueur — consultez les directives de votre autorité nationale compétente.

Prêt à commencer ?

La conformité à la DSP3 est multicouche — identité à l'intégration, authentification biométrique au renforcement, AML et surveillance des transactions post-approbation. Didit couvre toute la pile à partir d'une seule API, avec des prix publics et sans minimum.

Infrastructure pour l'identité et la fraude.

Une seule API pour le KYC, le KYB, la surveillance des transactions et le screening de portefeuilles. Intégration en 5 minutes.

Commencer gratuitementNous contacter
Demande à une IA de résumer cette page