Le paysage européen des paiements n’a jamais vraiment été synonyme de rupture brutale, mais plutôt de « lente évolution ». La DSP2 en était un bon exemple : elle promettait une démocratisation massive des données, pour un bilan finalement… nuancé.
Le rôle de l’identité à l’heure de la DSP3
By
Published on 14 mars 2026 10h00
29%Les demandes d'assistance pour fraude aux virements ont augmenté de 29% en 2024.
Désormais, avec en ligne de mire l’échéance de de cette année pour la mise en œuvre de la troisième directive sur les services de paiement (DSP3) et du règlement sur les services de paiement (PSR), une réalité s’impose : l’ère d’une conformité envisagée comme un simple exercice administratif est terminée. Là où la DSP2 consistait essentiellement à ouvrir la porte à la concurrence, la DSP3, elle, vise à sécuriser la maison. Elle fait basculer l’identité, la lutte contre la fraude et la performance des API du rang de sujets « opérationnels » à celui d’enjeux pleinement stratégiques pour les acteurs du paiement.
L’impératif de l’identité
Le véritable tournant de la DSP3 ne tient pas seulement au renforcement de l’authentification forte (SCA) ; il réside dans la place centrale accordée à l’identité comme première ligne de défense face à une fraude désormais industrialisée. Sous la DSP2, l’écosystème s’appuyait encore largement sur les mots de passe à usage unique par SMS et une MFA basique, des mécanismes aujourd’hui largement contournés par l’ingénierie sociale et les deepfakes.
Avec la DSP3, le niveau d’exigence est relevé : elle impose une SCA modernisée, à la fois plus sûre et plus inclusive, en poussant vers des mécanismes biométriques résistants au phishing et le « couplage dynamique », qui garantit qu’une transaction ne peut être altérée une fois validée. Point clé, le texte encourage l’intégration d’une intelligence comportementale : en analysant des signaux passifs (maniement du téléphone, habitudes de navigation…), il devient possible de satisfaire les exigences de SCA tout en limitant les frictions pour les clients légitimes.
Le changement de paradigme est aussi juridique : la DSP3 transfère une part plus importante de la responsabilité des fraudes aux virements autorisés (APP) sur les prestataires de services de paiement. Pour la première fois, le simple « nous avons respecté les règles » ne suffira plus si les contrôles d’identité se révèlent insuffisants. Les institutions devront démontrer qu’elles disposaient, au moment précis de l’autorisation, de contrôles en temps réel, réellement adaptés au niveau de risque.
La DSP3 impose enfin une surveillance beaucoup plus fine et instantanée des transactions. Il ne s’agit plus de repérer un transfert douteux après coup : les PSP doivent analyser en amont les données de contexte, l’intégrité de l’appareil et les schémas de transaction avant que les fonds ne quittent le compte. Cela inclut le déploiement généralisé de la « vérification du bénéficiaire » (Verification of Payee – VoP), pour rapprocher noms et IBAN dans toutes les devises de l’UE. Dans ce cadre, il devient indispensable de s’appuyer sur un moteur de risque adaptatif capable, en quelques millisecondes, de déclencher une authentification renforcée ou de bloquer une opération dès qu’une anomalie laisse présager, par exemple, un compte mule.
Éliminer les obstacles à l’accès aux données
Les API d’Open Banking ont longtemps été critiquées pour leurs imperfections et leurs lenteurs. La DSP3 et le PSR mettent fin à ces frustrations en imposant des interfaces dédiées au partage de données et en bannissant les « obstacles » que les banques dressaient pour freiner les prestataires tiers (TPP).
L’objectif est clair : offrir aux utilisateurs d’un prestataire Open Banking une expérience aussi fluide que l’interface directe de leur banque. Pour les acteurs historiques, c’est un tournant décisif (« s’adapter ou disparaître ») : ils ne peuvent plus compter sur des parcours d’authentification volontairement complexes pour retenir leurs clients. À l’ère de la DSP3, la fidélité se gagne uniquement par une expérience utilisateur supérieure, sans friction… et plus sécurisée.
Vers une structure d'identité convergente
Les banques traditionnelles et les fintechs font face à un défi majeur : la fragmentation de leurs systèmes. Les outils anti-fraude sont isolés dans un silo, la gestion des identités (IAM) dans un autre, et la sécurité des API dans un troisième.
La DSP3 transforme cette dispersion en risque critique. Pour répondre aux exigences comme la surveillance des transactions en temps réel, la vérification du bénéficiaire (nom-IBAN) ou les nouveaux accès aux données financières (FIDA), les institutions ont besoin d’un socle d’identité unifié (identity fabric). L’identité devient « continue » : plus seulement un contrôle à la connexion, mais un signal permanent qui détecte les détournements de session et les comportements anormaux tout au long du parcours utilisateur.
Surtout, la DSP3 ne vit pas en silo. Elle s’articule avec eIDAS 2.0 et le futur Portefeuille européen d’identité numérique (EUDI Wallet). Ceux qui la voient comme un simple sujet « paiements » passeront à côté de l’essentiel : la transition vers un écosystème d’identité décentralisée et ultra-sécurisée à l’échelle européenne.
Le PSD3, catalyseur architectural
La réglementation est souvent perçue comme un frein à l’innovation. Pourtant, les institutions financières les plus agiles feront de la DSP3 un véritable catalyseur architectural.
Investir dès aujourd’hui dans des plateformes d’identité robustes et conçues selon une approche « API-first » ne revient pas seulement à répondre à une exigence réglementaire européenne. C’est aussi poser les fondations de la finance intégrée, des paiements transfrontaliers instantanés et des services bancaires numériques de nouvelle génération.
Le compte à rebours est lancé, et pour beaucoup, le chemin vers la conformité est bien plus long que le calendrier officiel ne le laisse croire. Finies les rustines sur des systèmes legacy : la DSP3 exige une architecture moderne centrée sur l’identité, dont le déploiement prend des mois. Le cadre réglementaire est posé, la technologie est prête. La fenêtre pour prendre l’avantage stratégique se resserre : ceux qui attendent se contenteront de courir après l’échéance, tandis que les autres construiront l’avenir.
Il est temps d’agir !