Retour sur l’actualité réglementaire #2 : le 3e trimestre 2019

L’actualité règlementaire du 3^ème trimestre a été particulièrement dense et structurante pour les établissements de paiement. Lemonway a retenu pour vous 3 informations importantes qui impactent le marché.

1 – Rapport annuel 2018 TRACFIN : la qualité prime sur la quantité

Le 5 juillet dernier, TRACFIN a publié son rapport annuel d’activité et d’analyse. Comme rappelé par Tracfin, ce rapport “donne un état des lieux de la participation des professionnels assujettis au dispositif LCB/FT, de l’activité institutionnelle du Service (implication du service au sein du groupe Egmont, du GAFI, évolution des normes anti-blanchiment au niveau européen et national) et analyse les tendances et risques de blanchiment de capitaux et de financement du terrorisme”.

L’année 2018 a confirmé le dynamisme déclaratif des établissements de paiement avec plus de 12.000 déclarations de soupçon, une progression de 40% par rapport à 2017. Selon le rapport, la pertinence des signalements et le niveau de qualité de l’analyse du soupçon sont deux points à améliorer pour une exploitation optimale. Le rapport souligne toutefois la réactivité et la qualité, globalement très satisfaisantes, des réponses apportées par les établissements de paiement aux droits de communication envoyés par TRACFIN.

Le Département Sécurité Financière de Lemonway prend en compte l’ensemble de ces points et s’attèle à transmettre des déclarations de soupçon toujours plus pertinentes qui témoignent d’une appréhension manifeste des nouveaux schémas de fraude, de blanchiment d’argent ou encore de financement du terrorisme.

Pour plus d’informations, consultez le rapport

2 – DSP2 et authentification forte : un plan de migration en marche

Comme nous l’avions annoncé à la rentrée – cf. notre article « DSP2 vers une transition en douceur » – les dispositions de sécurité de la deuxième directive européenne sur les services de paiement (DSP2) sont entrées en application le 14 septembre 2019.

Les apports principaux sont :

• la garantie d’un niveau de sécurité élevé
• la limitation du risque de fraude lors des opérations de paiement sur internet, grâce à la généralisation de l’authentification forte du client pour les paiements en ligne.

À la suite de la lettre publique de l’Autorité bancaire européenne (ABE) parue le 21 juin 2019, l’Observatoire de la sécurité des moyens de paiement (OSMP) a élaboré un plan de migration national portant sur deux volets :

• Un premier volet à l’attention des consommateurs (validé le 9 juillet) visant à remplacer progressivement le recours aux codes SMS à usage unique par des solutions d’authentification plus avancées comme la saisie d’un code confidentiel ou d’une empreinte biométrique au travers de l’application mobile de banque en ligne. D’ici décembre 2020, la grande majorité des consommateurs bénéficiera de ces nouvelles solutions d’authentification renforcée.
• Un second volet à l’attention des acteurs professionnels de la chaîne des paiements, y compris les e-commerçants, prévoit la mise à niveau de l’infrastructure technique « 3D-Secure » utilisée pour la gestion de l’authentification du client lors d’un paiement par carte en ligne. D’ici mars 2021, l’ensemble des acteurs se connectera à cette nouvelle infrastructure et appliquera les règles de fonctionnement définies par la DSP2.

La mise en œuvre de ce plan de migration fera l’objet d’un suivi mensuel par l’OSMP.

Pour plus d’informations, consultez le plan de migration

Depuis l’entrée en vigueur de la Directive, Lemonway travaille de concert avec les établissements bancaires pour définir la cible concernée par l’authentification forte. Un travail d’information et de pédagogie est mené en parallèle auprès de ses partenaires et clients pour une transition en douceur, réussie. Un guide didactique sur le sujet « Marketplaces : s’adapter sereinement à la DSP2 » a d’ailleurs été mis en ligne cet été et téléchargeable ?

3 – L’externalisation au sein des établissements de paiement :
un dispositif désormais encadré par l’ABE

L’Autorité bancaire européenne (ABE) a défini des orientations concernant l’externalisation – tout particulièrement l’externalisation des « fonctions critiques ou importantes » – applicables depuis le 30 septembre à tous les accords conclus, révisés ou modifiés à partir de cette date.

Dominés par la notion de KYS « Know Your Supplier », ces orientations d’encadrement relatives aux Prestations de Services Essentiels Externalisées (PSEE) introduisent de nouvelles notions et de nouvelles obligations pour les établissements de paiement comme Lemonway :

• L’introduction de la notion de fonction critique ou importante,
• L’évaluation des risques a priori des PSEE avant même toute contractualisation,
• La création, la tenue et le suivi d’un reporting des PSEE

L’un des apports majeurs de ces lignes directrices est la mise en place d’un registre des PSEE. Les établissements de paiements doivent désormais tenir à jour un registre comprenant des informations sur toutes les prestations externalisées par l’établissement et les documenter en faisant une distinction entre l’externalisation « de fonctions critiques ou importantes » et les autres.

Les principales missions qui vont en découler pour Lemonway, comme pour les autres établissements de paiement, sont un important travail de qualification notamment celle de « fonction critique ou importante » ainsi qu’un audit interne pour tester le dispositif relatif à l’externalisation mis en place. L’ABE prévoit également d’encadrer les fins de contrat avec un PSEE. Au regard de l’importance des fonctions exercées par certains PSEE pour le compte d’un établissement, une stratégie de sortie est applicable pour les fonctions critiques et importantes.

La Direction de Lemonway, le Département juridique ou encore le Département du Contrôle interne travaillent conjointement pour mettre en œuvre ces nouvelles obligations en interne.

Pour plus d’informations, consultez le rapport