Nous vivons à une époque où les transactions numériques sont désormais la norme. Dans la plupart des cas, il n'est plus nécessaire de se rendre dans un établissement de paiement physique pour effectuer une transaction financière, car les établissements de paiement sont désormais disponibles 24 heures sur 24. Grâce aux applications bancaires, les utilisateurs peuvent envoyer et recevoir de l'argent ou effectuer des paiements en un seul clic. Avec cette augmentation de l'utilisation de ces applications, il n'a jamais été aussi important de garantir la sécurité et la fiabilité des transactions.
Une mesure clé pour sécuriser les paiements est la vérification du bénéficiaire (VoP) (ou confirmation du bénéficiaire (CoP)), qui vérifie l'identité du destinataire afin de s'assurer que les paiements sont bien dirigés vers le bon destinataire. Les mises à jour des exigences en matière de VoP et le rôle des certificats d'authentification de sites web qualifiés (QWAC) sont en train de remodeler le paysage réglementaire.
Dans cet article, nous explorons les exigences en matière de VoP, l'importance des QWAC et le rôle de la directive sur les services de paiement 2 (PSD2) dans la définition de la sécurité des paiements dans différentes régions.
Comprendre la confirmation du bénéficiaire (CoP), qui a conduit à la VoP
Le Royaume-Uni a été l'un des premiers pays à lancer l'initiative de confirmation du bénéficiaire (CoP) en 2020. Sous l'impulsion de Pay.UK, l'objectif principal de la réglementation CoP est de prévenir les paiements erronés et frauduleux. Elle vérifie essentiellement que le nom et les coordonnées bancaires du bénéficiaire correspondent aux coordonnées fournies par le payeur avant que le paiement ne soit effectué. Si les coordonnées ne correspondent pas, elle alerte l'expéditeur qu'il y a peut-être un problème.
Cette initiative a été jugée très fructueuse, avec plus de 2,5 milliards de vérifications CoP effectuées, ce qui a entraîné une réduction significative des cas de fraude.
Le Conseil européen des paiements (ECP) a emboîté le pas et a introduit le système de vérification du bénéficiaire (VoP) en octobre 2024. L'ECP a désormais ordonné à tous les prestataires de services de paiement proposant des paiements instantanés ou des virements de crédit au sein de l'espace unique de paiement en euros (SEPA) de mettre en œuvre le système VoP d'ici octobre 2025.
CoP vs VoP – Quelle est la différence ?
Les systèmes CoP et VoP partagent les mêmes principes fondamentaux, à savoir la réduction de la fraude aux paiements et des paiements erronés. Cependant, leurs exigences en matière de vérification sont différentes. Pour le CoP, l'identité du bénéficiaire est vérifiée à l'aide d'un nom personnel ou commercial, d'un code bancaire et d'un numéro de compte. Pour les transactions VoP, l'identité est vérifiée à l'aide du nom du compte ou d'un identifiant de compte sans ambiguïté, tel qu'un identifiant d'entité juridique (LEI) ou un code fiscal.
Le rôle des certificats d'authentification de site web qualifiés (QWAC) dans les transactions VoP et CoP
Quel est donc le rôle des QWAC ? Un QWAC est un certificat d'authentification de site web qualifié. Il s'agit d'une exigence obligatoire que les prestataires de services de paiement (PSP) doivent mettre en œuvre en vertu des normes techniques réglementaires (RTS) relatives à l'authentification forte du client (SCA) et à la communication commune et sécurisée (CSC).
Un QWAC est un certificat numérique qualifié qui fournit une authentification forte, un cryptage et une protection de l'intégrité des données échangées entre les institutions financières. Il est utilisé pour sécuriser les communications entre les banques, les PSP et les API. Il permet de répondre aux exigences réglementaires et de sécurité, en particulier dans le cadre de la PSD2 et de l'Open Banking.
Les QWAC jouent un rôle crucial dans la sécurisation des transactions VoP et CoP :
- Ils garantissent l'authentification mutuelle en vérifiant l'identité des banques, des PSP et des prestataires tiers (TPP).
- Ils cryptent les données confidentielles et empêchent les attaques de type « man-in-the-middle » et les violations de données.
- Ils sont conformes aux exigences de la PSD2 en matière de communication API sécurisée entre les banques et les prestataires de services financiers.
Influence de la PSD2
a directive sur les services de paiement 2 (PSD2) est une réglementation européenne créée pour promouvoir la sécurité, favoriser la concurrence et protéger les consommateurs dans les transactions numériques. La clé de la PSD2 est l'authentification forte du client (SCA), qui garantit que les protocoles de paiement sont vérifiés et sécurisés.
La PSD2 a une influence considérable sur le VoP. Elle impose aux banques et aux prestataires de services de paiement (PSP) de garantir la sécurité des communications lors du traitement des transactions. Cela peut se faire grâce à l'authentification mTLS à l'aide de QWAC (les certificats mTLS fournissant une authentification mutuelle des deux points d'extrémité). Elle exige également que l'identité des PSP lors des communications avec les intégrations API bancaires ouvertes soit vérifiée à l'aide de QWAC, afin de permettre la vérification de l'identité des bénéficiaires avant d'autoriser les transactions et de garantir la sécurité des paiements.
Pour en savoir plus sur la PSD2, consultez notre blog ou notre eBook.
Qu'est-ce que le RTS SCA/CSC pour la PSD2 ?
Les normes techniques réglementaires (RTS) relatives à l'authentification forte du client (SCA) et aux normes communes et sécurisées de communication ouverte (CSC) détaillent les mesures de sécurité spécifiques et les exigences de mise en œuvre que les institutions financières et les TPP doivent respecter pour se conformer à la PSD2.
L'un des principes fondamentaux des RTS est la communication commune et sécurisée entre toutes les parties concernées. Toutes les transactions entre les prestataires de services de paiement et les institutions financières doivent s'effectuer via des canaux sécurisés et garantir l'authenticité et l'intégrité des données.
Adoption mondiale des systèmes VoP
Il existe un besoin mondial d'éviter les paiements nationaux et transfrontaliers mal acheminés, tout en maintenant la rapidité du traitement des paiements.
Plusieurs pays étudient et mettent en œuvre des systèmes VoP afin de lutter contre la fraude et de garantir la sécurité des transactions. En août 2024, l'Australian Banking Association (ABA) a achevé la phase de conception de son service CoP, qui sera déployé en 2025.
D'autres régions, notamment l'Asie-Pacifique, le Moyen-Orient, l'Afrique et l'Amérique latine, explorent de plus en plus les systèmes de vérification des paiements (VoP) et encouragent les collaborations entre les prestataires de services de paiement et les entreprises de technologie financière afin de renforcer la sécurité et l'efficacité des paiements. Des systèmes VoP adaptés aux infrastructures de paiement régionales sont essentiels pour répondre aux besoins spécifiques du marché et soutenir des processus de transaction sécurisés.
Avec des mandats tels que la PSD2 qui contribuent à façonner le paysage mondial des paiements, les systèmes VoP et les certificats QWAC sont essentiels pour garantir la sécurité et la fiabilité des transactions de paiement à l'avenir. Il est important de se tenir informé des mises à jour réglementaires et de mettre en œuvre les mesures de sécurité nécessaires.
Ce blog a été traduit depuis la version anglaise par notre traductrice, Isabelle Cottenet. Retrouvez toute son actualité sur son blog
