La directive sur les services de paiement (PSD 2) – une directive du Parlement européen émise le 25 novembre 2015

La directive sur les services de paiement (PSD 2) est une directive du Parlement européen émise le 25 novembre 2015 relative aux services de paiement au sein du marché européen. Son entrée en vigueur redistribuera les cartes dans le secteur des services financiers et permettra ainsi l’émergence de fournisseurs de services indépendants.

Dans le cadre juridique actuel, les progrès rapides dans le domaine de la numérisation sont toujours en décalage avec les technologies modernes. Depuis l’adoption de la directive PSD au sein de l’UE, il y a 11 ans, le marché des paiements de détail a connu une importante révolution technologique. Par exemple, la possibilité de payer grâce à son téléphone portable ou les nouvelles méthodes de paiement non bancaires, plus pratiques et moins chères pour le consommateur.

L’objectif de la directive PSD 2 est de les réguler et de définir des normes, ce qui rendra ces méthodes plus attractives sur le marché des services financiers.

Comment fonctionne la Directive sur les services de paiement 2 ?

Le shopping en ligne et les services à distance font désormais partie intégrante de notre quotidien. La vitesse et la facilité des processus utilisés les ont rendus excessivement populaires, principalement grâce aux applications mobiles conviviales et disponibles à tout moment.

Jusqu’alors, le marché des services financiers était dominé par de grandes institutions financières et leur approche traditionnelle des transactions. La directive PSD 2 rebat les cartes sur le marché des services financiers. Selon les dispositions de la directive, les parties tierces seront en mesure d’utiliser les services des banques grâce à une interface de programmation :

Les PISP (Payment Initiation Service Providers) sont des services d’initiation de paiements
Les AISP (Account Information Service Providers) permettent aux clients d’accéder aux informations liées à leur compte
Le fait que les banques permettent aux parties tierces (TPP) de disposer de ces services constitue une étape vers l’open banking. Cela permet également de mettre en place un terrain équitable pour les entités qui n’ont pas encore eu la chance de s’établir sur ce marché.

L’open banking

Donner la permission aux parties tierces d’effectuer des transactions aura des conséquences positives sur la compétitivité du secteur financier. Cela stimulera également le développement de solutions innovantes au sein du secteur lui-même.

La directive PSD 2 offre un terrain équitable aux nouveaux services de paiement, leur permettant ainsi, à l’avenir, de se développer rapidement au sein du secteur financier. L’ouverture du secteur bancaire aux fournisseurs de services extérieurs permettra le développement des solutions existantes et l’émergence de nouvelles solutions. Ce renouveau du marché des services aura des effets positifs sur la popularisation de ces solutions, ce qui, par la suite, augmentera la compétitivité des offres proposées aux consommateurs finaux.

Premièrement, la sécurité de la solution tPro et de la directive PSD 2

Les solutions de la gamme tPro répondent aux exigences de la directive PSD 2 relatives :


Notre offre se compose de matériel et de logiciels dont l’objectif principal est d’assurer la sécurité des processus d’autorisation et d’authentification des transactions. Les technologies que nous avons développées récemment ont fait leurs preuves auprès des plus grandes institutions financières européennes. Nos solutions couvrent la totalité des aspects repris dans la directive PSD 2.

L’authentification forte des utilisateurs

La directive PSD 2 exige des fournisseurs de services de paiement qu’ils aient recours à l’authentification forte des clients en cas d’accès aux instruments financiers. Le document reprenant les normes techniques réglementaires (RTS) stipule que l’identité de l’utilisateur doit être vérifiée sur base de deux des trois composantes, à savoir la connaissance (quelque chose que l’utilisateur sait), la possession (quelque chose que l’utilisateur possède) et les caractéristiques de l’utilisateur (quelque chose que l’utilisateur est). Toutefois, la directive se concentre également sur les composantes d’authentification en tant que telles et exige que celles-ci soient indépendantes les unes des autres. Cela signifie donc que l’acquisition de l’une des composantes par une partie non autorisée ne lui permet pas d’accéder aux instruments financiers. Ainsi, les applications qui répondent aux exigences RTS doivent disposer de mécanismes permettant :
  • une protection face aux clonages de disques durs ;
  • la détection des menaces classiques au sein d’environnements de type « start-up » ;
  • une protection face aux attaques par force brute ;
  • des mécanismes pour assurer l’intégrité des informations affichées ;
  • des mécanismes de protection contre l’interception des données d’authentification ;
  • des mécanismes pour assurer l’intégrité et la confidentialité des codes d’authentification.

D’après la directive, le code d’authentification attribué à une transaction est explicitement lié au numéro de compte du bénéficiaire et au montant du transfert. Combiné à une présentation sécurisée des données de la transaction, à une méthode sûre d’accès aux données d’autorisation, à un suivi en temps réel de l’environnement de lancement et à une communication chiffrée avec le serveur, il assure un niveau élevé de sécurité et de non-répudiation de la transaction.

Les données d’authentification sont traitées en toute sécurité à chaque étape de la génération du code d’authentification. En outre, le matériel cryptographique ne sort jamais de la zone de mémoire sécurisée de l’appareil. Par souci de sécurité relative à la composante de connaissance, il est attribué lors de l’activation de l’application (jumelage) et est stocké dans une zone chiffrée de la mémoire. Lors de cette étape, des clés utilisateurs sont également créées afin de générer des codes pour authentifier les transactions. Le résultat n’est autre que la génération de certificats (par une autorité de certification approuvée) qui confirment à qui ils appartiennent.  


Les solutions de la gamme tPro ont été conçues pour mettre en œuvre intégralement les dispositions de la directive PSD 2.

Solutions de Comarch Transaction Protection

Nos clients Cybersécurité

Vous voulez en savoir plus ? Besoin d'un conseil ?

Dites-nous vos besoins sur votre projet et nous vous trouverons la solution idéale.