PSD3 news

L’Union européenne remplace la directive sur les services de paiement 2 (DSP2) par un nouveau cadre en deux volets. Tour d’horizon des évolutions à venir, de leurs implications et des actions à engager sans délai.

Points clés à retenir

  • L’UE remplace la DSP2 par un double dispositif : le règlement sur les services de paiement (PSR) et la directive sur les services de paiement 3 (PSD3). 
  • L’authentification forte du client devra désormais intégrer la biométrie 
  • La prévention de la fraude devient une obligation légale contraignante 
  • La responsabilité en cas de fraude par usurpation d’identité est transférée aux PSP 

Communément désignée comme le cadre réglementaire européen des paiements, la DSP2 a introduit l’authentification forte du client (SCA) et posé les bases de l’open banking. Depuis juin 2026, elle a cependant atteint les limites de son utilité. À l’image de chaque révision de la directive anti-blanchiment, les États membres ont transposé les exigences de la DSP2 de manière hétérogène, engendrant une fragmentation des interprétations de la SCA, des protections consommateurs inégales et une application non uniforme des règles. 

Cette période touche à sa fin. L’UE remplace la DSP2 par un double dispositif : le règlement sur les services de paiement (PSR) et la PSD3. La publication au Journal officiel est attendue d’ici la fin du deuxième trimestre 2026. Les États membres disposerontensuite d’un délai maximal de 21 mois pour transposer ces évolutions dans leur droit national. Dans un contexte où l’horloge de la conformité tourne déjà pour de nombreuses raisons réglementaires, notamment eIDAS 2.0 et le règlement anti-blanchiment(AMLR), les acteurs des services financiers doivent commencer à se préparer dès maintenant.

PSR et PSD3 : quelle différence ?

Le nouveau dispositif distingue un règlement et une directive : 

PSR (Règlement) : couvre les règles opérationnelles, notamment la SCA, la prévention de la fraude, la vérification IBAN/nom, l’open banking et la transparence. En tant que règlement, il s’appliquera directement à chaque État membre dès son entrée en vigueur, sans marge d’interprétation ni de divergence. 

PSD3 (Directive) : couvre le cadre institutionnel, à savoir l’agrément, l’autorisation, la supervision et l’accès aux systèmes de paiement. Les États membres conserveront une certaine flexibilité pour intégrer ces dispositions dans leursstructures de supervision existantes.

Les 5 changements majeurs du PSR/PSD3 pour les services financiers.

1. La SCA intègre une exception biométrique 

La règle fondamentale de la SCA reste inchangée : l’authentification doit reposer sur deux éléments issus de catégories différentes (ce que l’on sait, ce que l’on possède, ce que l’on est). Le PSR introduit toutefois une nouvelle exception : les prestataires de services de paiement peuvent désormais satisfaire à l’exigence de SCA en combinant deux éléments relevant de la catégorie de l’inhérence, autrement dit la biométrie seule. Concrètement, cela peut signifier la combinaison de la reconnaissance faciale et de la reconnaissance vocale, ou de la reconnaissance faciale et de la biométrie comportementale. Deux mots de passe ou deux appareils ne suffisent pas. 

“L’Autorité bancaire européenne (ABE) disposera de 18 mois à compter de l’entrée en vigueur du PSR pour élaborer des orientations précisant les modalités d’application, notamment ce que signifie concrètement ‘l’indépendance des éléments’. Mais pour les acteurs des services financiers et pour leurs clients, la direction est claire : l’authentification biométrique exclusive est imminente.” Liudmyla Rabchynska, Directrice des affaires mondiales et réglementaires chez IDnow 

Le portefeuille d’identité numérique européen (EUDI Wallet) s’inscrit naturellement dans ce cadre. Un justificatif stocké dans le portefeuille (possession) combiné à un déverrouillage biométrique (inhérence) satisfait à l’exigence standard à deux catégories. 

2. L’EUDI Wallet devient obligatoire pour les services de paiement 

En vertu d’eIDAS 2.0, les prestataires de services de paiement sont tenus d’accepter le portefeuille d’identité numérique européen pour prendre en charge la SCA lors de la connexion aux comptes en ligne et de l’initiation des transactions. Le PSR opérationnalise cette obligation via les normes techniques de l’ABE (article 89) et confirme le lien entre les deux réglementations au considérant 111. 

La portée pratique est simple : chaque PSP établi dans l’UE devra intégrer l’acceptation de l’EUDI Wallet dans ses flux d’authentification. Non pas à titre optionnel, mais comme une obligation légale. 

Pour les consommateurs, c’est une avancée majeure : l’EUDI Wallet leur permettra de s’authentifier de manière sécurisée auprès de n’importe quel service de paiement, dans n’importe quel État membre, grâce à une identité numérique unique et reconnue. Pour les PSP, le délai d’intégration sera fixé par les normes techniques réglementaires (RTS) de l’ABE, mais l’obligation elle-même ne fait aucun doute. 

3. La vérification IBAN/nom s’étend à tous les virements 

Jusqu’à présent, l’obligation de vérifier que le nom du bénéficiaire correspond à son IBAN ne s’appliquait qu’aux virements instantanés en euros dans le cadre du règlement sur les paiements instantanés. L’article 50 du PSR modifie fondamentalement cetterègle. L’obligation de vérification du bénéficiaire (VoP) est étendue à l’ensemble des virements, y compris les virements hors zone euro et ceux ne relevant pas du cadre SEPA. 

Le mécanisme reste identique à celui du règlement sur les paiements instantanés : avant d’exécuter un virement, le PSP émetteur doit vérifier que le nom du bénéficiaire correspond au nom enregistré sur le compte de destination. En cas de discordance, le payeur doit en être informé avant que la transaction ne soit exécutée. 

Pour les consommateurs, cela se traduit par moins de paiements mal dirigés et moins de tentatives réussies de fraude par virement autorisé. Pour les PSP, il s’agit en revanche d’un chantier d’infrastructure significatif. 

4. La prévention de la fraude : une obligation légale contraignante 

Sous la DSP2, les obligations en matière de prévention de la fraude relevaient largement du droit souple, via les orientations de l’ABE et les exigences générales de SCA. Le PSR les transforme en obligations explicites et contraignantes, assorties de conséquences en termes de responsabilité. 

Ainsi, l’article 83 du PSR impose aux PSP de mettre en place des mécanismes de surveillance des transactions avant d’exécuter un paiement et avant de mettre les fonds à disposition du bénéficiaire. Lorsqu’un PSP ne procède pas à cette surveillance et que le payeur subit un préjudice financier, la responsabilité du PSP est directement engagée. 

“Cela comble une lacune importante en matière de responsabilité dans le cadre actuel. Le PSP récepteur est désormais pleinement dans le champ de la responsabilité, pas seulement l’émetteur. Le message est clair : la prévention de la fraude n’est plus une question de bonnes pratiques sectorielles. C’est une obligation légale assortie d’une responsabilité.” Liudmyla Rabchynska, Directrice des affaires mondiales et réglementaires chez IDnow 

Le PSR introduit également le partage obligatoire d’informations sur la fraude entre PSP, via des dispositifs structurés. 

5. Fraude par usurpation d’identité : la responsabilité transférée aux PSP 

La modification la plus protectrice pour les consommateurs dans l’ensemble du dispositif est sans doute l’article 59 du PSR, qui instaure un droit au remboursement en cas de fraude par usurpation d’identité. Ce type de fraude, le plus en forte croissance enEurope, survient lorsqu’un consommateur est manipulé par un tiers se faisant passer pour son propre PSP, en utilisant des canaux de communication attribués à ce PSP (numéros de téléphone usurpés, domaines d’e-mail, identifiants d’expéditeur SMS) pour obtenir un virement frauduleux autorisé. 

Avec le PSR, les PSP sont désormais tenus de rembourser intégralement le consommateur si : 

  • le consommateur a été manipulé par quelqu’un se faisant passer pour son PSP ; 
  • la manipulation a utilisé des canaux de communication attribués au PSP ; 
  • le consommateur a notifié son PSP sans délai injustifié et signalé la fraude à la police. 

Le remboursement doit intervenir dans un délai de 15 jours ouvrés. 

Point crucial : la charge de la preuve incombe désormais au PSP, et non au consommateur, pour démontrer la fraude ou la négligence grave s’il souhaite refuser le remboursement. Les PSP doivent également s’assurer de disposer de mesures de préventionadéquates et de protections techniques robustes pour empêcher les fraudeurs de reproduire leurs canaux de communication. 

Calendrier PSR et PSD3 : les dates clés à retenir 

Échéances Événements 
Fin T2 2026 Publication attendue au Journal officiel 
T4 2027 / T1 2028 Application du PSR (18 mois après l’entrée en vigueur) 
T2 / T3 2028 Délai de transposition de la PSD3 (24 mois après l’entrée en vigueur) 
T3 2028 / T1 2029 Application des dispositions VoP (27 mois après l’entrée en vigueur) 

Dix-huit mois entre la publication et l’application, c’est une fenêtre étroite au regard de l’ampleur des évolutions d’infrastructure requises. Les acteurs qui attendront la publication des RTS de l’ABE avant d’entamer leur préparation se retrouverontsévèrement en retard.

Ce que PSR et PSD3 impliquent concrètement pour les services financiers 

Pour les consommateurs, PSR et PSD3 ouvrent une nouvelle ère en matière d’expérience utilisateur : l’authentification biométrique exclusive promet une expérience de paiement sans friction, l’intégration de l’EUDI Wallet permet d’utiliser une identiténumérique unique et sécurisée sur l’ensemble des services de paiement en Europe, la vérification obligatoire du bénéficiaire réduit le risque de paiements mal dirigés ou frauduleux, et le nouveau droit au remboursement en cas de fraude par usurpation d’identité offre une protection concrète contre le type de fraude à la croissance la plus rapide en Europe. 

Pour les banques, les établissements de paiement, les fintechs et les néobanques, l’horloge de la conformité tourne : mise à niveau de la SCA, intégration de l’EUDI Wallet, vérification IBAN/nom sur l’ensemble des virements, surveillance obligatoire de la fraude avec responsabilité attachée, et partage de données sur la fraude dans le respect du RGPD. 

PSR et PSD3 représentent la réforme la plus ambitieuse du droit européen des services de paiement depuis l’adoption de la DSP2 en 2015. 

Vous souhaitez savoir comment IDnow peut accompagner votre mise en conformité avec le PSR et la PSD3 ? Contactez notre équipe. 

À lire également : 

FAQ PSR / PSD3

Quelle est la différence entre le PSR et la PSD3 ? 

Le nouveau cadre européen des paiements se décline en deux instruments. Le règlement sur les services de paiement (PSR) est directement applicable dans tous les États membres dès son entrée envigueur : il couvre les règles opérationnelles telles que l’authentification forte du client, la prévention de la fraude, la vérification IBAN/nom et l’open banking. La PSD3 (directive) traite des questions institutionnelles, à savoir l’agrément, l’autorisation et la supervision, et laisse aux États membres une certaine latitude dans sa transposition en droit national. Ensemble, ils remplacent la DSP2.

Quand la PSD3 entre-t-elle en vigueur ?

La publication au Journal officiel de l’UE est attendue d’ici la fin du T2 2026. À partir de cette date, le PSR s’appliquera environ 18 mois plus tard (T4 2027/T1 2028), la PSD3 devra être transposée par les États membres dans un délai de 24 mois (T2/T3 2028), et les dispositions relatives à la vérification du bénéficiaire s’appliqueront 27 mois après l’entrée en vigueur (T3 2028/T1 2029).

Quels sont les principaux changements apportés à la SCA par le PSR ? 

La règle fondamentale de la SCA, qui exige deux éléments issus de catégories différentes (ce que l’on sait, ce que l’on possède, ce que l’on est), reste inchangée. Toutefois, le PSR introduit une nouvelle exception significative : les PSP peuvent désormais satisfaire à l’exigence de SCA en combinant deux éléments relevant de la seule catégorie de l’inhérence, c’est-à-dire une authentification biométrique exclusive (par exemple, reconnaissance faciale combinée à la reconnaissance vocale ou à la biométrie comportementale). L’ABE publiera des orientations dans les 18 mois suivant l’entrée en vigueur du PSR pour en préciser les modalités.

Les PSP seront-ils tenus d’accepter l’EUDI Wallet ? 

Oui. En vertu du PSR, qui opérationnalise eIDAS 2.0, chaque PSP établi dans l’UE sera légalement tenu d’accepter l’EUDI Wallet pour l’authentification forte du client, tant pour la connexion aux comptesen ligne que pour l’initiation des transactions. Il s’agit d’une obligation légale, non d’une intégration facultative. L’ABE fixera les normes techniques précises et le délai d’intégration via des normes techniques réglementaires (RTS).

Qu’est-ce que la vérification du bénéficiaire (VoP) et à qui s’applique-t-elle dans le cadre du PSR ? 

La vérification du bénéficiaire (VoP) impose au PSP émetteur de vérifier que le nom du bénéficiaire correspond au nom enregistré sur l’IBAN de destination avant d’exécuter un virement. En cas de discordance, le payeur doit en être informé avant que la transaction ne soit exécutée. En vertu de l’article 50 du PSR, cette obligation, jusqu’alors limitée aux virements instantanés en euros, est étendue à l’ensemble des virements, y compris les virements hors zone euro et hors SEPA.

Qui est responsable en cas de fraude par usurpation d’identité selon les nouvelles règles ?

En vertu de l’article 59 du PSR, si un consommateur est manipulé par un fraudeur se faisant passer pour son PSP en utilisant des numéros de téléphoneusurpés, des domaines d’e-mail ou des identifiants d’expéditeur SMS, le PSP doit rembourser intégralement le consommateur dans un délai de 15 jours ouvrés. La charge de la preuve est transférée au PSP : c’est à lui de démontrer la fraude ou la négligencegrave du consommateur s’il souhaite refuser le remboursement. Les PSP doivent également disposer de protections techniques pour empêcher les fraudeurs de reproduire leurs canaux de communication.

Quelles sont les obligations des PSP en matière de prévention de la fraude dans le cadre du PSR ? 

Le PSR transforme la prévention de la fraude, jusqu’alors régie par des orientations de droit souple, en obligations légales contraignantes. En vertu de l’article 83, les PSP sont tenus de mettre en place des mécanismes de surveillance des transactions avant d’exécuter un paiement et avant de mettre les fonds à disposition du bénéficiaire. Lorsqu’un PSP omet de procéder à cette surveillance et qu’un payeursubit une perte financière, la responsabilité directe du PSP est engagée. Le PSR impose également aux PSP de partager leurs données sur la fraude dans le cadre de dispositifs structurés et conformes au RGPD.

En quoi la PSD3 diffère-t-elle de la DSP2 ?

La DSP2 laissait une marge significative à des transpositions nationales hétérogènes, engendrant une fragmentation des interprétations de la SCA et des protections consommateurs inégales au sein de l’UE. PSR et PSD3 y remédient en rendant les règles opérationnelles clés directement applicables via le règlement PSR, en introduisant une SCA biométrique exclusive, en rendant obligatoire l’acceptation de l’EUDI Wallet, en étendant la vérification du bénéficiaire à l’ensemble des virements et en instaurant des obligations contraignantes de prévention de la fraude assorties de conséquences explicites en termes de responsabilité, une avan

Par

Le coût de la conformité : pourquoi 10 % des banques européennes ont disparu en deux ans ? 1

Jody Houton
Senior PR & Content Manager chez IDnow
Rejoignez Jody sur LinkedIn