Consultante Senior
Les moyens de paiement (espèces, chèques, cartes bancaires, virements ou prélèvements) sont régulés au sein de l’Espace Economique Européen (EEE) par une réglementation qui tente d’évoluer au rythme des changements technologiques, digitaux et comportementaux.
Une fois adoptée au niveau européen, les États membres disposent d’un délai de 18 à 24 mois pour transposer la directive dans leur législation nationale.
Directive : Loi adoptée au niveau européen fixant des règles que les Etats membres doivent inclure dans leur système normatif interne. Les Etats disposent d’une certaine latitude de moyens d’intégration dans le système normatif national.
Le mécanisme d’un virement bancaire ponctuel domestique
Le titulaire du compte à débiter donne l’ordre à sa banque (via une application mobile, en ligne, en agence bancaire ou par téléphone) d’effectuer un transfert de fonds avec les informations du bénéficiaire.
L’établissement financier du donneur d’ordre réalise ensuite des vérifications (compte suffisamment provisionné ou autorisation de découvert ainsi que la conformité des coordonnées bancaires du bénéficiaire), débite le compte de l’émetteur et achemine les fonds via un réseau sécurisé.
En France, lors d’un virement entre deux comptes détenus dans des établissements bancaires différents, le système de compensation et de règlement est utilisé pour acheminer l’argent via des plateformes sécurisées. Les opérateurs de compensation, à qui les banques transmettent les ordres de virement, valident les opérations et équilibrent les flux d’argent entre établissements bancaires en fonction des montants et des directions des transactions. Ce système normé, dans lequel les établissements bancaires sont régulés, permet de garantir la traçabilité des opérations.
Enfin, la banque du bénéficiaire crédite le compte concerné (le délai dépend des banques et des types de virement). La personne physique ou morale bénéficiaire, qui a été identifiée par l’émetteur via ses coordonnées bancaires, reçoit alors les fonds.
Les grands axes des directives DSP1, DSP2 et DSP3 qui ont fait évolué le virement bancaire*
Ouvrir le marché
DSP1
Suppression du monopole des banques en France avec l’introduction de nouveaux acteurs : les établissements de paiement, qui peuvent fournir des services de paiement liés à un compte de paiement (différences avec un compte de dépôts : pas de chéquiers, découverts impossibles et restrictions sur les crédits).
Ces établissements de paiement ont des obligations allégées par rapport aux banques (par exemple, ils ne sont pas adhérents du fonds de garantie, qui garantit les dépôts de la clientèle à hauteur de 100 000 € en cas de faillite d’un établissement bancaire).
DSP2
Extension de la réglementation à de nouveaux prestataires de services de paiement (PSP tiers) avec la création de deux nouveaux statuts :
-
Prestataire de services d’information sur les comptes (PSIC) : pour fournir des services d’agrégation d’informations.
-
Prestataire de services d’initiation de paiement (PSIP) : pour fournir de nouveaux types de services de paiement, pour traiter et faciliter les transactions entre un e-commerçant et la banque de l’acheteur par exemple.
Ce n’est plus le client qui donne l’ordre à sa banque de payer son créancier (un commerçant, une entreprise, un particulier…). C’est l’intermédiaire qui initie le paiement, directement depuis le compte bancaire de son client et à sa demande, le plus souvent sous forme de virement (exemple : SlimPay, Linxo).
Ces prestataires doivent répondre à des exigences prudentielles et être couverts par une assurance responsabilité civile professionnelle.
DSP3
Intégration des établissements de monnaie électronique (EME) en tant que sous-catégorie des établissements de paiement (EP), unifiant ainsi les cadres réglementaires auparavant distincts.
Protéger les consommateurs
DSP1
– Allongement de la durée de contestation des opérations : 13 mois pour les opérations réalisées sans l’accord du client (au lieu d’un délai compris entre 70 et 120 jours selon les contrats), 8 semaines pour les paiements « en blanc ».
– Diminution du délai de notification au client de la modification de sa convention de compte ou de contrat-cadre : 2 mois avant l’application de la nouvelle tarification (au lieu de 3).
DSP2
Généralisation de l’authentification forte (validation reposant sur deux facteurs ou éléments de sécurité, au lieu d’un seul) pour trois types d’opération :
– l’accès au compte de paiement en ligne,
– une opération de paiement électronique (virement ou paiement par carte),
– une action exécutée à distance présentant un risque élevé de fraude (ex. : enregistrer un nouveau bénéficiaire).
DSP3
Les banques et les fournisseurs de comptes de paiement devront fournir aux consommateurs un tableau de bord des consentements, leur permettant d’avoir la vision et le contrôle des entreprises qui ont accès à leurs données et de pouvoir les révoquer facilement.
Renforcer la sécurité du système
DSP2
Obligation pour les banques de partager, via des interfaces sécurisées (API), les données des comptes bancaires de leurs clients avec les PSP tiers, sous réserve de leur accord (révocable à tout moment).
La banque et le PSP tiers doivent s’identifier à l’aide d’identifiants spécifiques, permettant de recueillir uniquement les données autorisées par le client.
DSP3
– Encourage une coopération accrue entre les PSP pour détecter et prévenir la fraude, à travers le partage d’informations.
– Améliore la qualité des APIs et standardise les interfaces entre acteurs pour renforcer l’interopérabilité.
– Met en place une vérification de la concordance entre le numéro du compte (IBAN) du bénéficiaire et son identité (nom et prénom) avant la confirmation d’un virement.
La Vérification du Bénéficiaire (Verification of Payee – VoP)
Depuis le 9 octobre 2025, toutes les banques ont l’obligation de proposer un service de Vérification du Bénéficiaire (VoP) pour les virements SEPA classiques (SCT) et les virements SEPA instantanés (SCT inst) initiés.
La banque de l’émetteur envoie une demande VoP en temps réel à la banque du bénéficiaire pour vérifier l’IBAN et l’identifiant du bénéficiaire. En cinq secondes maximum, la banque du bénéficiaire exécute son propre algorithme de correspondance et fournit au demandeur VoP l’un des quatre résultats possibles :
– Match : les données sont correctes.
– Close match : les données sont similaires à celles du titulaire de compte.
– No match : les données sont erronées.
– No answer : aucune vérification n’a pu être effectuée (données incorrectes ou problème technique).
Si le résultat est différent de « Match », l’émetteur peut choisir de confirmer ou d’annuler le paiement. En cas de confirmation, le paiement suit alors le processus classique d’exécution.
