Logo

Site non disponible sur ce navigateur

Afin de bénéficier d'une expérience optimale nous vous invitons à consulter le site sur Chrome, Edge, Safari ou Mozilla Firefox.

adnews
  • Réglementation
  • Paiement
  • Europe

Authentification et gouvernance monétique : publications de l’ABE

Sur la base des réponses reçues en décembre, l’Autorité Bancaire Européenne (ABE) propose à présent son projet de norme pour l’authentification renforcée du payeur et la sécurité des échanges de données. Elle publie également la norme sur la séparation entre entités de direction et de traitement monétiques.

Le projet de l’ABE spécifie une protection avancée des éléments de sécurité du payeur (confidentialité et intégrité), ainsi que des canaux de communication sécurisés, ouverts à tous les types d’intervenants sur la chaîne du paiement à distance : établissement teneur de compte (ASPSP), initiateurs de paiement (PISP), agrégateurs (AISP) et autres prestataires. Il exige que la banque du client offre les mêmes niveaux de service et de qualité pour ces tiers habilités à accéder au compte du client.

Les exemptions à l’authentification forte s’appuient sur le niveau de risque, le montant ou la récurrence d’une transaction, ou sur le canal de paiement. Les commentaires sont reçus jusqu’au 12 octobre 2016, en vue d’une publication finale en janvier 2017, avec entrée en vigueur en octobre 2018.

En parallèle, l’ABE publie la version finale de sa norme pour séparer les fonctions de gouvernance et de traitement monétiques – celle-ci incluant la compensation et le règlement. La séparation porte sur les locaux de travail, les collaborateurs (y compris la direction), ainsi que les comptes de résultats (certifiés par un auditeur externe). La norme décrit l’accès aux services partagés et à la gestion du système d’information commun. Les plans opérationnels annuels doivent, eux, être distincts.

Notre analyse : Comment gérer et offrir les services de paiement en Europe

Ces deux normes ABE sont prévues par les textes européens : la DSP2 pour l’authentification forte, le Règlement sur l’Interchange carte SEPA (IRF) pour la séparation scheme/processing.

L’ABE impose l’authentification à deux facteurs disjoints et des mécanismes de détection de toute compromission. Elle promeut aussi les standards internationaux pour l’accès des tierces parties. Chaque banque teneur de compte (ASPSP) devra rendre publique, gratuitement, les spécifications permettant à des tierces parties de s’interfacer avec les comptes des clients.

Concernant la séparation gouvernance/traitements cartes, les réponses à la consultation de l’ABE l’ont amenée à éliminer l’exigence de bilans annuels distincts. Elle est remplacée par l’obligation de justifier tout transferts d’actifs entres ces entités.

Avant l’ère SEPA, plusieurs marchés monétiques nationaux concentraient en une entité interbancaire les rôles de direction du système domestique de cartes, le traitement des transactions (y compris l’autorisation et la compensation) et parfois processeur émetteur/acquéreur, voire acquéreur lui-même. Ces sept pages vont faire office de « constitution » pour les statuts des entités monétiques, y compris les systèmes internationaux tels que Visa ou MasterCard au titre de leur activité européenne.