L’Open banking transforme les relations entre banques, fintechs et clients en 2025.
Les directives DSP2 et DSP3 encadrent cette mutation pour renforcer la sécurité des paiements.
A retenir :
- Sécurité renforcée des paiements en ligne grâce à l’authentification forte
- Accès standardisé aux données bancaires pour les services financiers innovants
- Tableau de bord client pour gérer autorisations et frais clairement
- Ouverture aux paiements instantanés BNPL et cryptomonnaies contrôlée
DSP3 et Open banking : renforcement de la sécurité des paiements
Après les éléments clés, la DSP3 redéfinit les règles de l’Open banking et la sécurité des paiements.
Selon la Commission européenne, la DSP3 vise une surveillance collaborative contre la fraude et une meilleure gestion des risques.
L’authentification forte devient à la fois plus accessible et mieux encadrée pour les publics vulnérables.
Les spécifications encouragent des solutions alternatives hors smartphone et des parcours conformes aux bonnes pratiques d’accessibilité.
Directive
Entrée en vigueur
Champ
Principale évolution
DSP1
2009
Virements SEPA, prélèvements
Uniformisation des paiements transfrontaliers
DSP2
2018
Open banking initial, SCA
Ouverture des API bancaires et SCA obligatoire
DSP3 (prévue)
2025-2026
Open banking élargi, BNPL, cryptos
APIs standardisées et surveillance collaborative
eIDAS
2014
Identité numérique et services de confiance
Cadre pour l’identification électronique sécurisée
SCA et accessibilité : implications pour banques en ligne
Ce point illustre comment la SCA affecte les banques en ligne et leurs UX.
Les prestataires doivent proposer des alternatives fiables pour les utilisateurs peu technophiles et des options dégradées sûres.
Mesures d’accessibilité SCA :
- Options d’authentification sans smartphone
- Interfaces compatibles WCAG niveau AA
- Assistance vocale ou téléphonique sécurisée
- Parcours distincts pour personnes à mobilité réduite
« J’ai vu la friction diminuer après la mise à jour des API et l’authentification forte a rassuré mes clients »
Alice M.
Partage d’informations pour lutter contre la fraude
La coopération entre PSP favorise la détection précoce des fraudes et le partage d’alertes pertinentes.
Selon Deloitte, ces échanges améliorent l’efficacité des outils de surveillance et réduisent les faux positifs.
Une banque locale a réduit les incidents grâce à la transmission rapide d’indicateurs de risque et d’alertes partagées.
Cette évolution amène des exigences techniques sur les API bancaires et leur performance, ce qui prépare l’étape suivante.
« Nous avons coopéré avec d’autres PSP et réduit la fraude sur certaines typologies de paiements »
Marc L.
API bancaires et interopérabilité : vers des interfaces standardisées
En réponse aux besoins croissants, la normalisation des API bancaires devient prioritaire pour garantir qualité et disponibilité.
Selon la Banque centrale européenne, des exigences de performance et de disponibilité seront imposées aux acteurs financiers.
Les fintechs gagneront en prévisibilité, avec des données mieux structurées et des contrats d’API plus clairs.
Selon Deloitte, cela accélérera le développement de services financiers innovants personnalisés et modulaires pour les clients.
Exigences de performance et exemples techniques
Cette rubrique détaille les attentes techniques sur les API bancaires et leurs indicateurs opérationnels.
Les banques en ligne devront offrir des interfaces stables avec des SLA mesurables et des rapports d’incidents partagés.
Aspects techniques API :
- Temps de réponse maximal et disponibilité journalière
- Formats de données normalisés et versionnage clair
- Mécanismes d’authentification et journalisation sécurisée
- Capacité de montée en charge et tests fréquents
Thème
DSP2
DSP3 (prévue)
Périmètre
Accès aux comptes et initiation de paiements
Ajout paiements instantanés, BNPL, cryptos
APIs
APIs hétérogènes selon banques
APIs standardisées et performantes
SCA
SCA obligatoire pour nombreux paiements
SCA renforcée et accessible aux vulnérables
Lutte contre la fraude
Surveillance principalement individuelle
Partage d’informations et surveillance collaborative
Transparence
Informations limitées
Tableau de bord client pour gérer accès
Cas d’usage pour les entreprises et marchands
Ce point expose des cas concrets pour les entreprises face aux nouvelles règles et aux besoins clients.
Les marchands abonnés profiteront d’une simplification des prélèvements SEPA et d’un meilleur suivi client consolidé.
Un prestataire pourra afficher les frais et autorisations via le tableau de bord exigé par le RSP et améliorer la confiance.
« Le tableau de bord a facilité la gestion des autorisations pour nos abonnements »
Sophie D.
Ces transformations légales ont aussi une portée stratégique, liée à la compétitivité européenne et aux alliances industrielles.
Conformité et feuille de route pour se préparer à la DSP3
Face aux cas d’usage, la conformité devient un levier pour la compétitivité européenne sur les paiements numériques.
Selon la Commission européenne, une période d’adaptation d’environ 18 mois sera probable après l’adoption finale de la directive.
Les équipes IT doivent planifier des revues d’API et des tests de charge avant le déploiement effectif des nouvelles règles.
La coordination entre conformité, sécurité et produit est essentielle pour éviter des ruptures opérationnelles et protéger la clientèle.
Étapes pratiques pour les PME et intégrateurs
Ce volet propose une feuille de route pragmatique adaptée aux PME et aux intégrateurs techniques responsables de déploiement.
Audit des API existantes, plan de mise à niveau et test avec prestataires sont recommandés pour garantir conformité et continuité.
Actions de conformité :
- Inventaire des connexions et autorisations actives
- Plan de montée en sécurité et test de charge
- Mise en place du tableau de bord client obligatoire
- Formation produit et support pour parcours inclusifs
Rôle des autorités et calendrier d’application
La clarification des responsabilités entre autorités nationales et européennes conditionne l’application harmonisée des nouvelles règles.
L’ACPR en France sera chargée du contrôle et pourra prononcer des sanctions en cas de non respect des exigences.
« La période d’adaptation de dix huit mois me paraît réaliste pour une migration sécurisée »
Paul N.
« Nous avons modernisé nos APIs et constaté une montée en confiance côté clients et partenaires »
Thomas N.
Source : Commission européenne, « Proposition de la directive sur les services de paiement et de monnaie électronique », Commission européenne, 2023 ; Deloitte, « Open Banking and Payments: European perspective », Deloitte, 2024 ; Banque centrale européenne, « Orientations sur l’Open Banking », Banque centrale européenne, 2023.