La survie dans le changement

Toujours pareil, mais différemment – en 2023 aussi, les défis à relever dans le domaine des paiements sont nombreux. La situation est toutefois plus compliquée, du fait que les effets de la procrastination semblent se développer du côté des banques. Les thèmes importants ne sont tout simplement pas abordés. Cela s’applique aussi bien à la mise en œuvre des tâches obligatoires à accomplir qu’à l’exploitation des opportunités commerciales qui se présentent.

La tâche obligatoire la plus sous-estimée pour 2023 est la mise en œuvre de la directive européenne 2020/284 « en ce qui concerne l’instauration de certaines exigences applicables aux prestataires de services de paiement ». La directive relative à la prévention de la fraude fiscale dans le commerce électronique transfrontalier pour les transactions commerciales et les services oblige les prestataires de services de paiement à déclarer certaines données de paiement. Les détails sont compliqués : il faut établir un système de déclaration supplémentaire très complexe avec ses propres interfaces avec le Bundeszentralamt für Steuern (Office central fédéral des impôts). Des données non disponibles jusqu’à présent doivent être collectées et déclarées : par exemple l’identification du lieu du bénéficiaire comme l’IBAN. Si disponibles, les données d’adresse et les numéros d’identification fiscale du bénéficiaire doivent être transmis. L’obligation de déclaration entre en vigueur le 1er janvier 2024. Le nombre des institutions financières ayant initié des projets dans ce sens est à ce jour très limité. Étant donné que les autorités financières sont connues pour ne pas plaisanter sur ces sujets, cela semble courageux.

SWIFT exige des données structurées
L’exigence de SWIFT de ne traiter que les données d’adresse structurées des clients dans les transactions financières à partir de novembre 2025 n’est pas aussi urgente mais tout aussi complexe. Cette réglementation concerne aussi bien les institutions financières que les clients finaux. Elle met en œuvre les spécifications des principaux pays industrialisés en matière de lutte contre les violations d’embargo, le financement du terrorisme et le blanchiment d’argent. Il est recommandé de n’utiliser que les données structurées dès 2023. Rien qu’en Allemagne, cela devrait concerner plusieurs millions d’enregistrement de données non disponibles sous cette forme. Les institutions financières devraient donc déjà élaborer des plans de communication et des scénarios de mise en œuvre techniques pour l’année prochaine – éventuellement déjà basés sur l’IA.

C’est triste mais le secteur accepte le fait que 50 % des coûts d’exploitation dans les paiements sont liés au respect des exigences réglementaires et que 25 % supplémentaires sont liés à la maintenance et à l’adaptation de l’infrastructure sur le plan procédural et technique. Il n’est donc pas étonnant que la perspective des potentiels et des opportunités de revenus soit souvent obstruée dans les institutions financières.

La demande de paiement suscite des opportunités
Pour les institutions financières, une offre qui associe la norme sur la demande de paiement (Request to Pay) encore récente à des cas d’application concrets tels que les factures électroniques présente par exemple un énorme potentiel. Si les institutions financières proposaient à leurs entreprises clientes le traitement et la gestion des factures électroniques et des demandes de paiement correspondantes, elles pourraient réduire leurs coûts par facture – y compris le rapprochement des paiements reçus – d’environ dix euros. Dans ce contexte, les institutions financières pourraient générer des frais de transaction attrayants, tout en renforçant le compte professionnel en tant que point central de la relation avec la clientèle et en contribuant de manière significative à la durabilité.

Le facteur de succès décisif pour les services correspondants est une accessibilité interbancaire. Il est d’autant plus réjouissant de constater que de telles infrastructures se développent déjà sur le marché. Il faut s’attendre à ce qu’à partir de 2026, seules les factures électroniques soient autorisées dans toute l’Europe.

Consolidation de TARGET2 : « Tout le monde sur le pont »
Voilà pour les thèmes sous-estimés. Les préparatifs pour la consolidation de TARGET2, repoussée au 20 mars 2023, et le début de la transition de SWIFT vers le format ISO 20022 ne sont pas sous-estimés. Cette date devrait rester inchangée, un nouveau report de la consolidation de TARGET2 risquant probablement de faire diverger la migration de TARGET2 et SWIFT.

Les paiements de masse seront également marqués par la mise en œuvre de nouvelles réglementations en 2023. Il s’agit du règlement de l’UE sur l’introduction obligatoire des paiements instantanés SEPA et de l’introduction de la dernière norme ISO pour toutes les procédures de paiement SEPA. Cette dernière n’a pas uniquement des répercussions sur le fichier de paiement et les systèmes de paiement en tant que tels, mais affecte également les systèmes périphériques, tels que les systèmes de données de base.

Prévention de la fraude dans les paiements en temps réel
La proposition de la Commission européenne présentée fin octobre 2022, visant à rendre obligatoires les virements en temps réel SEPA, fait actuellement l’objet de discussions approfondies et d’un travail de lobbying. Entre autres, le débat est intense pour savoir si les prestataires de services de paiement doivent proposer à leurs clients de comparer le numéro de compte et le nom. Cette proposition est motivée par le caractère définitif des virements en temps réel SEPA exécutés en quelques secondes. Cela les rend vulnérables à la fraude. La possibilité de faire vérifier, avant l’émission du paiement, si l’IBAN concerné appartient bien au bénéficiaire doit y remédier. La lutte réussie contre les tentatives de fraude devient un facteur essentiel pour le succès des paiements instantanés.

L’établissement global des virements en temps réel ne concerne pas uniquement les prestataires de services de paiement qui ne proposent pas encore cet instrument, mais aussi les acteurs actifs. La raison : puisque les virements en temps réel ne doivent pas être plus chers à l’avenir que les transactions traditionnelles, les acteurs du marché s’attendent à ce que leur part dans tous les virements passe de 10 à au moins 30 à 40 %. Cette tendance est renforcée par l’augmentation des taux d’intérêt qui récompense à nouveau la détention d’avoir. Cependant si le nombre de transactions augmente d’au moins un facteur trois, tous les prestataires de services de paiement dont l’infrastructure en temps réel repose jusqu’à présent sur des solutions provisoires se trouveront en difficulté. Il est donc temps de procéder à une vérification correspondante.

Dans le domaine des paiements de détail, l’initiative paneuropéenne EPI, dont l’étendue des prestations est désormais limitée en tant que procédure P2P et de commerce électronique, sera confrontée à des décisions fondamentales importantes au tournant de l’année 2022-2023. Cela implique par exemple de se demander si le groupe financier coopératif se joindra à nouveau à l’EPI et si l’initiative dans son ensemble continuera à évoluer et de quelle manière.

Nouveaux cas d’utilisation pour les paiements de détail
En 2023, les prestataires de services influents dans le domaine des paiements de détail continueront à travailler pour améliorer leurs capacités. Les émetteurs continueront par exemple à développer la Girocard pour le commerce électronique. De nombreux prestataires de services de paiement travaillent à la prise en charge de différents concepts omnicanal, notamment à cause de la pandémie du Covid 19. Dans ce contexte, l’accent est non seulement mis sur les cas d’utilisation désormais bien connus comme le Click & Collect mais aussi sur :

  • l’utilisation de méthodes de paiement en ligne au point de vente, comme « Acheter maintenant, payer plus tard »,
  • la prise en charge des modèles de franchise et de coopération, par exemple les retours inter-canaux et inter-sociétés,
  • l’analyse du comportement des clients aux différents points de contact.


En octobre 2023, la phase d’analyse de la BCE sur l’euro numérique prendra fin et le Conseil des gouverneurs décidera probablement de lancer la phase de réalisation. Étant donné que l’euro numérique est actuellement conçu comme un euro de détail, différentes institutions financières en Europe travaillent déjà en parallèle à l’introduction de ce que l’on appelle des jetons de monnaie scripturale en 2023.

Comment les établissements financiers peuvent-ils faire face à la multitude de tâches – notamment en raison de la pénurie de personnel qualifié ? Cela ne sera possible que si les institutions financières sont davantage prêtes à coopérer entre elles, si les solutions standard se répandent davantage et que l’externalisation est également envisagée. Il faudrait en outre être davantage préparé à renouveler les fondations si nécessaire, plutôt que de continuer à construire à partir des systèmes anciens existants en ignorant la « dette technique ».

Cela représente déjà de nombreux chantiers – et nous n’avons pas encore parlé des effets du règlement DORA qui se profile, des régularisations sur l’accessibilité et de la DSP3 qui se dessine à l’horizon.

Auteur : Hubertus von Poser, Head of Consulting Payments, PPI AG

Série d’articles de blog sur les stablescoins - partie 1 : contexte

Lorsque on étudie le thème des cryptomonnaies, on tombe inévitablement sur le sujet des stablescoins et on se pose rapidement la question de savoir de quoi il s’agit. Dans cette série d’articles de blog, nous voulons faire avec vous un voyage court mais pointu à travers ce sujet.

Un stablecoin est une cryptomonnaie stable par rapport à une monnaie de base définie. Le cas d’application le plus fréquemment utilisé est le domaine du cryptocommerce, car la compensation (transfrontalière) entre les cryptobourses peut être effectuée plus rapidement avec des stablecoins qu’avec les moyens de paiement classiques. Par ailleurs, ils gagnent en popularité dans les pays émergents et en voie de développement en raison de leur valeur stable par rapport aux devises locales.

En bref, l’utilisation de stablecoins peut être résumée en quatre points essentiels :

  • Référence de valeur et moyen d’échange pour le commerce
  • Protection contre les fluctuations de cours
  • Réalisation de produits d’intérêts dans le domaine de la « Decentralised Finance »
  • Paiements rapides et sans frontières

Algorithmes vs stablecoins collatéralisés
Il existe deux types de stablecoins : les stablecoins collatéralisés et les stablecoins algorithmiques :

Dans les cas des stablecoins collatéralisés par des USD, l’entreprise derrière le stablecoin stocke des USD dans une institution financière et émet son stablecoin. L’objectif est d’obtenir une couverture 1:1. Dans le cas des stablecoins algorithmiques, seul un algorithme essaie de stabiliser le taux de change entre le stablecoin et la valeur de base (par exemple USD).
Après l’effondrement du stablecoin algorithmique « TerraUSD » en mai 2022, il ne reste plus qu’un seul stablecoin algorithmique vraiment important : le « DAI » de MakerDao’s.

Les stablecoins collatéralisés sont souvent issus par des cryptobourses. Les plus grands stablecoins classés par capitalisation du marché sont Tether, USD Coin et Binance USD. Au total, ils atteignent ensemble une capitalisation du marché totale d’environ 130 milliards d’USD (situation en novembre 2022).

Les stablecoins représentent numériquement la valeur d’un actif sous-jacent dans un rapport 1:1 et sont considérés comme de la monnaie numérique. Ils sont souvent couverts par des dépôts bancaires en USD, des emprunts d’État des États-Unis ou d’autres titres. Si l’on se souvient du fameux étalon-or, on reconnaît des parallèles bien intentionnels.

Avantages par rapport aux transactions financières classiques
Les avantages par rapport aux systèmes de paiement classiques sont notamment que les stablecoins sont accessibles à tous 24 heures sur 24 dans le monde entier. Les frais de transaction sont faibles, les paiements transfrontaliers peuvent être effectués rapidement et sans problème. Un virement est par ailleurs possible sans KYC et sans l’implication d’une institution financière. Un smartphone avec une connexion Internet ainsi qu’un portefeuille numérique de la devise sont les deux seuls éléments nécessaires.

Comme indiqué au début de notre article, outre les traders de cryptomonnaie, de plus en plus de personnes issues des pays émergents et en voie de développement s’intéressent particulièrement aux stablecoins.

De nombreux pays émergents et en voie de développement sont confrontés à de hauts taux d’inflation à deux chiffres. Les devises nationales continuent de perdre de la valeur par rapport au dollar américain. Cela affecte également la confiance des citoyens dans les pays concernés. Récemment, nombreux parmi ces pays sont ceux qui ont connu ce que l’on appelle un « Bank Run ».
Un Bank Run ou une panique bancaire se produit lorsque les investisseurs veulent retirer leurs dépôts de leurs institutions financières le plus rapidement possible. Si plusieurs ou toutes les institutions financières au sein d’une économie de marché sont concernées par cette situation, on parle alors d’une panique bancaire.
Les gouvernements ont ainsi été forcés de fermer des institutions financières locales. Pour les citoyens locaux, les stablecoins peuvent devenir une alternative attrayante à leur monnaie nationale dans une telle situation afin de se protéger contre les difficultés financières.

Dans différentes situations, les stablecoins peuvent donc être une solution pratique aux problèmes qui ne peuvent pas ou sont mal résolus dans le système FIAT, ou peuvent même éventuellement constituer une alternative pour les citoyens en cas de difficultés économiques. Cependant là où il y a de la lumière, il y a aussi de l’ombre. C’est ce que nous souhaitons aborder avec vous dans la deuxième partie de notre série.

Auteurs : Philipp Uhinck, Benjamin Schreck

Coup de sifflet de mi-temps – premier bilan de la BCE sur la phase d’analyse de deux ans de « l’euro numérique »

Comme nous l’avons déjà rapporté dans un article de blog précédent, la Banque centrale européenne (BCE) a lancé en octobre 2021 un projet d’analyse de deux ans visant à évaluer la manière dont l’euro numérique doit être conçu. À l’issue de cette phase d’analyse, il sera décidé en 2023 si la BCE mettra en œuvre l’euro numérique et sous quelle forme.

À mi-parcours de la période de deux ans, un rapport intermédiaire a été publié par la BCE le 29 septembre 2022. Ce document examine de nombreuses questions et thèses que nous avons abordées dans la dernière série de blogs traitant de l’euro numérique. Le rapport de la BCE reprend les progrès réalisés et aborde les options de conception fondamentales de l’euro numérique qui ont été récemment approuvées par le Conseil de la BCE. Nous souhaitons présenter ces options dans cet article, de manière synthétique :

Exécution des paiements en ligne et hors ligne
Actuellement la BCE se concentre sur les deux options de transaction suivantes :

  1. Exécution des transactions en ligne validées par un intermédiaire
  2. Exécution des transactions hors ligne dans un contexte de pair-à-pair, validées directement ou sans intermédiaire.


Protection des données, anonymat et gestion des avoirs
Quant à la confiance des consommateurs, le Conseil de la BCE décrit dans son rapport que l’euro numérique présentera probablement des caractéristiques de protection de données similaires à celles des procédures de paiement numériques actuelles. Les paiements ayant une faible valeur doivent bénéficier d’une protection des données plus élevée que les paiements ayant des montants maximaux comparables. Une exécution entièrement anonyme des paiements sans limite de montant n’est pas envisagée actuellement.
En outre, il est envisagé d’introduire des limites pour la gestion des avoirs. L’objectif est de limiter la détention de l’euro numérique afin de ne pas créer artificiellement une forme d’investissement alternative pour les consommateurs.

Grandes étapes en 2023

  1. Au premier trimestre 2023, la Commission européenne élaborera une proposition de règlement pour l’introduction de l’euro numérique.
  2. D’ici fin octobre 2023, le Conseil de la BCE doit décider des modalités de poursuite du développement de l’euro numérique. La phase suivante pourra s’étaler sur trois années consécutives.

Source : BCE
https://www.ecb.europa.eu/paym/digital_euro/investigation/governance/shared/files/ecb.degov220929.en.pdf

L’argent public comme catalyseur ?

Même si le bilan à mi-course laisse encore une grande marge d’interprétation et d’organisation, les premières tendances se dessinent clairement.  À l’instar de ce qui est décrit dans le rapport, nous considérons chez PPI que l’argent public sous forme numérique peut apporter une contribution importante à l’ère numérique. L’euro numérique dans le contexte actuel des consommateurs serait un premier fondement important. Pour cette raison, nous continuons notre veille sur ce sujet avec beaucoup d’enthousiasme et nous suivrons en détails les développements de l’euro numérique dans ce blog EBICS.
À la prochaine fois.

Auteur : Philipp Schröder

Remise en temps réel EBICS – qui transfère des millions d’euros avec PayPal ?

Il faut bien admettre que la technologie développée par les FinTechs au cours des dernières années est intelligente, compacte et surtout rapide. Le feedback direct sur les terminaux mobiles en mouvement, au point de vente ou sur le canapé lors des achats en ligne est aujourd’hui tout à fait normal et les clients modernes ne voudraient plus en être privés.

Mais imaginez que vous deviez transférer de grandes quantités d’argent ou que vous ayez la responsabilité de fonds étrangers appartenant à votre entreprise. Quels seraient vos standards en matière de sécurité et de traitement fiable et transparent de vos paiements ? Les volumes, non seulement en termes de somme d’argent, mais également en termes de tailles techniques des fichiers pour les paiements de masse, supposent d’autres procédures qui ont été testées depuis longtemps et établies avec des partenaires de confiance des institutions financières. EBICS pour le traitement par lots de grands fichiers collectifs est le standard bancaire européen privilégié par tous les experts en matière de paiement, et qui est progressivement introduit de manière obligatoire par un plus grand nombre de pays européens. Ces concepts EBICS établis ont maintenant été adaptés à la remise en temps réel et aux paiements instantanés pour un traitement en ligne innovant.

La sécurité n’exclut pas la rapidité
La communication avec vos institutions financières établies et le transfert sécurisé de vos fichiers de paiement sont désormais également assurés par EBICS sous forme de remise en temps réel. En se basant sur l’interface WebSocket introduite avec la spécification en temps réel EBICS, les paiements saisis ou les fichiers de paiement transférés sont soumis au serveur bancaire avec le type d’ordre WIP (ou le BTF correspondant à partir d’EBICS 3.0). Dans le client EBICS, l’utilisateur reçoit immédiatement un message de réussite actif sous forme de message push sur le traitement du paiement auprès de l’institution financière en tant qu’avis C5N. Les messages de retour de protocole standard du rapport de statut pain.002 de l’institution financière sont bien entendu également fournis. Tout cela est possible si tous les produits impliqués sont parfaitement adaptés et intégrés dans le processus continu. Les applications mobiles EBICS pour la validation des paiements sur la route reproduisent également ces processus en temps réel. 

Sur la voie rapide en toute sécurité
Les premières institutions financières introduisent cette fonction dans leur production afin d’offrir à leurs clients la qualité et la sécurité habituelles ainsi qu’une rapidité innovante. Il faudra certes un peu de temps pour que les grands transferts de fonds soient effectués « intelligemment » et rapidement depuis son canapé vers les services comptables des entreprises.

Mais qui sait quelles habitudes se sont entre-temps glissées dans certains bureaux à domicile. Le travail décentralisé a en tout cas acquis une nouvelle dimension. La plupart des entreprises proposent désormais le travail à domicile, et les responsables de département et les fondés de pouvoir travaillent également depuis leur domicile. Les validations de paiements importants avec des signatures distribuées sont donc également soumises en temps réel et confirmées immédiatement.

Le protocole WebSocket offre en outre l’option supplémentaire de pousser des notifications de l’institution financière vers les utilisateurs de l’application de paiement. Outre les simples informations sur le statut des paiements, l’institution financière communique aussi avec ses clients sous forme de messages textes. Les messages apparaissent à la demande de l’utilisateur sous forme d’info-bulle sur l’interface et sont rassemblés dans une propre boîte aux lettres pour être lus et téléchargés.

API ou pas : un processus intelligent et rapide, respectant les normes de sécurité habituelles de votre institution financière n’est pas un problème grâce à EBICS !

Auteur : Christian Veith


DORA – Digital Operational Resilience Act Partie 2 : Perspectives et objectifs

DORA doit permettre de faire face aux cyberrisques croissants. Quelles réglementations sont prévues ? Qui sera concerné par ces réglementations ?

Nous souhaitons aborder ces questions dans deux articles de blog consécutifs. Dans la première partie, nous rassemblons des informations sur le contrôle et l’organisation et examinons les exigences étendues en matière de gestion des risques liés aux TIC, la notification des incidents liés aux TIC et les risques liés aux fournisseurs tiers de TIC.

Dans la deuxième partie, nous donnons un aperçu des futurs développements et nous discutons de la manière dont les fournisseurs de cloud américains peuvent être intéressés à s’installer dans l’UE. 

Partie 2 

Le Parlement européen et le Conseil adopteront le texte officiel du règlement probablement à l’automne 2022 et celui-ci sera ensuite publié au Journal officiel de l’Union européenne. On s’attend à ce que le règlement DORA soit applicable dans toute l’UE fin 2024. Dès à présent, les institutions financières et les prestataires de services financiers devraient réfléchir à la mise en œuvre d’une gestion adéquate des risques liés aux TIC et envisager des mesures appropriées.

Les entreprises financières actives dans les transactions financières ont un intérêt intrinsèque à protéger la résilience opérationnelle numérique et à la rendre plus résiliente aux cyberattaques, car les perturbations opérationnelles peuvent entraîner des pertes de chiffre d’affaires considérables et, par conséquent, d’immenses dommages à la réputation. Le fait que les grandes institutions financières, les Fin- et BigTechs, représentent une grande surface de projection pour les attaques de pirates et que la numérisation exponentielle devient de plus en plus pertinente, renforce la nécessité de mettre en œuvre des mesures européennes pour renforcer la résilience opérationnelle numérique des entreprises financières.

Étant donné que les entreprises financières sont généralement très interconnectées, même un cyberincident localisé peut entraîner d’énormes risques systémiques pour le secteur financier et menacer la stabilité financière. Les produits et services fournis par les entreprises financières sont souvent élémentaires pour le fonctionnement d’une société. Les coûts engendrés par une cyberattaque sont souvent très élevés pour la société et les entreprises financières.

D’une part, les entreprises financières pourraient être découragées de signaler les cyberincidents aux autorités compétentes en raison des coûts de notification et des dommages potentiels à leur réputation. D’autre part les rapports sur les cyberincidents pourraient générer des bénéfices externes importants en permettant à d’autres entreprises financières d’identifier et de combler les failles de sécurité. La proposition de règlement n’est toutefois pas proportionnée. La gestion des risques liés aux TIC des entreprises financières devrait se concentrer uniquement sur les éléments critiques de la résilience opérationnelle numérique. DORA, en revanche, couvre tous les composants physiques, les infrastructures, les locaux et les centres de traitement de données, indépendamment de leur risque opérationnel. 

DORA oblige les entreprises financières à résilier les contrats avec des fournisseurs tiers critiques de TIC si ceux-ci enfreignent les lois, les règlements, les directives ou les conditions contractuelles, ou si elles y sont contraintes par une autorité de surveillance financière.

Cela devrait augmenter le risque opérationnel pour les entreprises financières, car il pourrait être difficile de trouver des fournisseurs alternatifs appropriés rapidement. Au lieu de cela, DORA devrait encourager une coordination étroite entre les acteurs concernés, articuler une liste de niveaux de sanctions et prévoir au moins des périodes de transition. Un mandat strict de résiliation de contrat devrait être le dernier recours.

La restriction de conclure des contrats de fourniture informatique avec des fournisseurs tiers critiques de TIC issus de pays tiers est une forte atteinte à la liberté contractuelle des entreprises financières européennes. Cette mesure pourrait paradoxalement freiner le renforcement de la résilience opérationnelle numérique, car les sociétés financières pourraient se voir contraintes de conclure des contrats avec des fournisseurs présentant un niveau de cybermaturité inférieur. Cette contrainte a le potentiel de limiter le choix et l’accès à des solutions, produits et services TIC plus cybersécurisés et innovants.

L’objectif de la Commission européenne de réduire la dépendance du secteur financier européen vis-à-vis des fournisseurs de cloud américains ne doit pas se transformer en actionnisme. Une action plus ciblée consisterait à prendre des mesures réglementaires pour inciter ces fournisseurs à établir des filiales dans l’UE, afin qu’ils puissent être surveillés plus efficacement par les autorités de surveillance locales en ce qui concerne les risques opérationnels.

En 2023, l’Autorité bancaire européenne (EBA) aura pour mandat de créer le cadre réglementaire pour MiCAR et DORA. En plus de son rôle de supervision, l’EBA est chargée d’élaborer des directives et des procédures de supervision, ainsi que des lignes de conduite visant à assurer l’échange d’informations entre toutes les parties concernées. Il s’agit notamment des émetteurs de cryptoactifs réglementés, des autorités nationales compétentes, de la BCE et des autres banques centrales concernées. Le temps d’agir est limité, car tout doit être réalisé avant la date d’application de MiCAR et DORA. Le cadre à développer pour DORA fournira un cadre réglementaire pour assurer la surveillance et la limitation des cyberrisques et des incidents liés aux TIC. En revanche, pour le règlement MiCAR, l’EBA devra rédiger des exigences spécifiques concernant l’émission de cryptoactifs et l’offre de services de cryptographie.

Source de la figure : EU Digital Operational Resilience Act (DORA) | Compliance | Haufe


Auteurs : Salar Hydary, Judith Petersen

DORA – Digital Operational Resilience Act : Partie 1 : Pourquoi la résilience opérationnelle numérique doit être évaluée de manière uniforme au niveau de l’UE ?

DORA doit permettre de faire face aux cyberrisques croissants. Quelles réglementations sont prévues ? Qui sera concerné par ces réglementations ?
Nous souhaitons aborder ces questions dans deux articles de blog consécutifs. Dans la première partie, nous rassemblons des informations sur le contrôle et l’organisation et examinons les exigences étendues en matière de gestion des risques liés aux TIC, la notification des incidents liés aux TIC et les risques liés aux fournisseurs tiers de TIC.
Dans la deuxième partie, nous donnons un aperçu des futurs développements et nous discutons de la manière dont les fournisseurs de cloud américains peuvent être intéressés à s’installer dans l’UE.

Partie 1

Le 22 mai 2022, la Commission européenne, le Conseil de l’Union européenne et le Parlement européen ont conclu un accord préliminaire sur la proposition de loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act – DORA). En tant que partie intégrante de la stratégie de numérisation de l’ensemble du secteur financier européen, DORA se trouve ainsi au centre de l’attention. La Commission européenne a publié la proposition législative de DORA pour la première fois le 24 septembre 2020 dans le cadre du Digital Finance Package. Le triumvirat composé de la Commission, du Conseil et du Parlement a déjà adopté le Digital Finance Package en septembre 2020 pour réaliser une numérisation transfrontalière.
Le Digital Finance Package comprend les parties suivantes :

  • Stratégie de numérisation du secteur financier
  • Propositions législatives sur les cryptoactifs (Markets in Crypto Asset Regulation, règlement pilote de Distributed-Ledger-Technology et Transfer of Funds Regulation)
  • Propositions législatives sur la résilience opérationnelle des systèmes numériques (DORA) du secteur financier
  • Stratégie pour les paiements de masse  

La stratégie européenne en matière de résilience opérationnelle numérique a été complétée par deux règlements importants en matière de cryptographie, à savoir le Markets in Crypto Assets Regulation (MiCAR) et le Transfer of Funds Regulation (ToFR). Le 30 juin 2022, l’Union européenne a donné son feu vert au règlement MiCAR pour la surveillance du secteur de la cryptographie.
Un jour plus tôt, le 29 juin 2022, le Parlement européen avait déjà trouvé un accord sur le règlement ToFR.
L’objectif de DORA est, d’une part, de garantir la stabilité financière, la protection des consommateurs et l’intégrité du marché et, d’autre part, d’éliminer efficacement les obstacles réglementaires dans le secteur financier grâce à une harmonisation juridique. En outre, un cadre intersectoriel à l’échelle de l’UE sera mis en place pour gérer et atténuer les risques liés aux technologies de l’information et de la communication (risques liés aux TIC). Les acteurs financiers traditionnels tels que les institutions financières, les compagnies d’assurance et les sociétés d’investissement sont concernés par le règlement DORA, mais également les Fin- et BigTechs, les prestataires de services cryptographiques et les places de marché. Les micro-entreprises qui emploient moins de 10 personnes et dont le chiffre d'affaires annuel ou le bilan annuel n’excède pas 2 millions d’euros sont exclues. (art. 3, p. 1, point 50, en combinaison avec l’article 2, par. 3 de l’annexe de la recommandation 2003/361/CE).

Gouvernance et organisation
Les institutions financières et les prestataires de services financiers devraient disposer de cadres de gouvernance et de contrôle internes garantissant une gestion efficace et prudente de tous les risques liés aux TIC (art. 4, par. 1). Les institutions financières devraient disposer d’un cadre de gestion des risques liés aux TIC solide, complet et bien documenté, leur permettant de faire face aux risques liés aux TIC de manière immédiate et efficace (art. 5, par. 1). L’organe de direction définit, autorise et contrôle le cadre de gestion des risques liés aux TIC et doit rendre compte de sa mise en œuvre. Afin de garantir le bon fonctionnement de la gouvernance, des fonds doivent être alloués aux investissements dans les ressources des TIC, y compris la formation aux risques liés aux TIC pour le personnel (art. 4, par. 2).

Exigences en matière de gestion des risques liés aux TIC
Les exigences énumérées dans DORA pour répondre à une gestion adéquate des risques liés aux TIC requièrent des fonctions spécifiques. Le cadre de gestion des risques liés aux TIC est documenté et réexaminé au moins une fois par an, ainsi que lors de la survenance d’incidents graves liés aux TIC, résultant de contrôles ou de procédures d’audit quant à la résilience opérationnelle numérique. L’objectif est d’identifier les menaces potentielles à un stade précoce, de collecter des informations et d’assurer une amélioration continue de la gestion des risques informatiques. (art. 5 par. 9 DORA)
La gestion des TIC doit assurer la protection et la prévention contre les cyberattaques ou réduire au minimum la vulnérabilité aux cyberincidents et mettre en œuvre des stratégies et des procédures garantissant « la résilience, la continuité et la disponibilité des systèmes de TIC » et « des normes élevées en matière de sécurité, de confidentialité et d’intégrité des données » (art. 8, par. 2).
Les institutions financières et les prestataires de services financiers doivent mettre en œuvre une stratégie de TIC visant à réagir rapidement, efficacement et de manière appropriée à tous les incidents liés aux TIC, notamment les cyberattaques, afin de limiter les dommages et d’assurer la reprise des activités et le rétablissement des opérations (art. 10, par. 2). La mise en œuvre de mécanismes permettant à la fois de détecter les vulnérabilités et d’enregistrer tous les incidents liés aux TIC est indispensable.
En tant qu’acteurs du marché particulièrement orientés vers le client et considérés comme intègres, les institutions financières doivent disposer de plans de communication permettant de « divulguer de manière responsable les incidents liés aux TIC ou les vulnérabilités importantes aux clients et aux autres entreprises financières, ainsi qu’au public » (DORA, art. 13, par. 1).

Notification d’incidents liés aux TIC
DORA exige des institutions financières et des prestataires de services bancaires qu’ils mettent en place des procédures de gestion pour surveiller, identifier, classer, suivre, consigner et signaler aux autorités compétentes les incidents graves liés aux TIC (art. 15, par. 1).
Les destinataires des notifications d’incidents TIC graves sont les autorités nationales compétentes. Les institutions financières et les prestataires de services financiers doivent fournir des détails pertinents sur les incidents à d’autres institutions ou autorités, telles que les Autorités européennes de surveillance (AES), la Banque centrale européenne (BCE) ou les points de contact centraux désignés en vertu de la Directive sur la sécurité des réseaux et des systèmes d’information (Directive NIS). Les incidents graves liés aux TIC doivent être signalés de manière centralisée par les autorités au niveau de l’Union. Les entreprises financières seront tenues de présenter des rapports initiaux, intermédiaires et finaux. Si un incident lié aux TIC a une répercussion sur les intérêts financiers des utilisateurs de services et des clients de l’entreprise financière concernée, ceux-ci doivent en être informés sans délai (art. 17, par. 2).

L’une des principales tâches de l’AES consiste à publier annuellement un rapport complet, sous forme anonyme, fournissant des informations sur les notifications d’incidents graves liés aux TIC faites par les autorités compétentes. Cela concerne le nombre minimum d’incidents graves, leur nature, l’impact sur les activités commerciales des entreprises financières ou des clients, ainsi que les coûts (art. 20, par. 2). En outre, le projet de règlement oblige les institutions financières à veiller à ce que les contrats d’utilisation de services liés aux TIC soient résiliés si les fournisseurs tiers de TIC enfreignent les lois, les règlements ou les conditions contractuelles applicables (art. 25, par. 8). 

Contrôle de la résilience opérationnelle numérique
La gestion des risques liés aux TIC des institutions financières et des prestataires de services financiers doit faire l’objet d’audits réguliers afin de vérifier leur capacité à se défendre et à détecter les vulnérabilités, les défauts ou les lacunes ainsi que la mise en œuvre immédiate de mesures correctives. Les systèmes de TIC doivent être régulièrement examinés en profondeur. Un tel contrôle doit être effectué au moins une fois par an et être dûment documenté. La réalisation de tests de prévention, de détection, de réaction et de récupération est indispensable pour corriger exhaustivement tous les points faibles, défauts ou lacunes (art. 21, par. 5).

Les principaux outils utilisés pour tester la résilience opérationnelle numérique sont les suivants (art. 22) :

  • Évaluations et contrôles de la vulnérabilité
  • Analyses de logiciels à source ouverte
  • Évaluations de la sécurité des réseaux
  • Analyses des failles
  • Analyses de la sécurité physique
  • Vérifications de la sécurité physique
  • Questionnaires et solutions logicielles d’analyse
  • Audits de code source, dans la mesure du possible
  • Tests basés sur des scénarios
  • Tests de compatibilité
  • Tests de performance
  • Tests de bout en bout
  • Tests d’intrusion basés sur les menaces


Le niveau d’exigence des tests de résistance dépend en grande partie de la taille du profil commercial et du profil de risque de chaque entreprise financière.
Des exigences particulièrement élevées quant aux tests de résilience opérationnelle numérique s’appliquent aux établissements importants dans le domaine des paiements, par exemple les grands établissements de crédit, les grandes institutions de paiement et les grandes institutions de monnaie électronique. Cela s’applique également aux sous-secteurs jouant un rôle central dans les transactions financières, le secteur bancaire, la compensation et le règlement.

Risques liés aux fournisseurs tiers de TIC
DORA met un accent particulier sur la surveillance de l’UE, sur ce que l’on appelle les fournisseurs tiers de TIC et sur le risque de tiers en matière de TIC qui en découle. L’externalisation de fonctions numériques joue aujourd’hui un rôle important dans la stratégie TIC des entreprises financières. C’est là que les fournisseurs tiers de TIC entrent en jeu. Ils proposent aux entreprises financières la mise à disposition d’espace de stockage ou de performance informatique (Infrastructure as a Service) jusqu’à la mise à disposition d’applications logicielles (Platform as a Service).
L’externalisation ne peut fonctionner que si les institutions financières sont en mesure de surveiller et de contrôler pleinement les processus de sous-traitance. Les entreprises financières qui font appel à des services liés aux TIC de fournisseurs tiers de TIC ont la responsabilité de s’assurer que ces derniers respectent le règlement DORA (art. 25, par. 1). Toutefois, si une entreprise financière constate que le fournisseur tiers de TIC ne respecte pas les lois, les règlements ou les conditions contractuelles en vigueur lors de la fourniture de services informatiques, le contrat avec ce fournisseur doit être résilié (art. 25, par. 8). Les entreprises financières doivent mettre en place des stratégies de sortie pour faire face aux défaillances des prestataires de services tiers liés aux TIC. La résiliation du contrat ne doit pas être contraire aux exigences réglementaires ou affecter la qualité des services offerts (art. 25, par. 9).
En résumé, DORA vise à créer un cadre de surveillance européen pour les fournisseurs tiers de TIC « critiques » (art. 28, par. 1). DORA accorde à l’entreprise financière le droit de surveiller intégralement les prestations à fournir par le fournisseur tiers de TIC (art. 27, par. 2). Dans ce cadre, les autorités de surveillance financière compétentes peuvent forcer les entreprises financières à suspendre temporairement, partiellement ou totalement, leurs contrats avec des fournisseurs TIC tiers, jusqu’à ce que les risques soient éliminés. Les autorités peuvent, si nécessaire, exiger des entreprises financières qu’elles mettent fin à tout ou partie des accords contractuels pertinents conclus avec des prestataires tiers critiques de TIC (art. 37, par. 3).
Avant de conclure un contrat avec un fournisseur tiers TIC, les institutions financières et les prestataires de services financiers doivent vérifier si le fournisseur informatique en question doit être considéré comme un fournisseur critique ou s’il couvre des fonctions numériques importantes. Les institutions financières et les prestataires de services financiers doivent vérifier si votre fournisseur tiers TIC est remplaçable ou si plusieurs contrats sont conclus avec lui (art. 25, par. 5). L’évaluation de ces critères est importante dans la mesure où les entreprises financières ne peuvent pas entretenir de relations contractuelles avec des fournisseurs tiers TIC critiques qui ont leur siège en dehors de l’UE et ne sont donc pas basés dans l’UE (art. 28, par. 9).

Source de la figure : EU Digital Operational Resilience Act (DORA) | Compliance | Haufe


Auteurs : Salar Hydary, Judith Petersen

SEPA 2.0 bat son plein – la migration vers les nouvelles spécifications de format commence !

Depuis novembre 2021, de nouvelles spécifications de format de la Deutschen Kreditwirtschaft sont en vigueur. Jusqu’à présent, les changements n’ont pas eu d’impact important sur les institutions financières et leurs clients. Cependant, en novembre 2023, cela changera brusquement !

Les formats SEPA pour les virements et les prélèvements changent en profondeur et tous les prestataires de services de traitement des paiements ainsi que leurs clients finaux doivent se préparer aux changements imminents et s’y préparer.

Du fait que SEPA 2.0 affectera effectivement tous les composants et tous les systèmes, gérer en amont le sujet et toutes ses interdépendances est d’une grande importance pour un procédé sans heurt et un traitement ultérieur ininterrompu des paiements.

En juin de cette année, l’EPC a publié des directives d’implémentation qui, outre les spécifications correspondantes, fournissent des informations supplémentaires sur les modifications à venir. L’utilisation de données d’adresses structurées est un thème essentiel des adaptations futures. Jusqu’à présent, les adresses pouvaient être soumises et traitées de manière non structurée en indiquant le nom et l’adresse, mais avec SEPA 2.0, les adresses doivent être indiquées de manière structurée. Il y aura dorénavant des champs spécifiques pour le nom, la rue et le numéro, le code postal et le code ISO du pays. Outre l’utilisation de données d’adresses structurées, les adaptations de certains champs, comme l’identifiant de batch booking, ont des conséquences importantes. Le nouveau paramètre par défaut true de l’identifiant de batch booking permettra à l’avenir d’effectuer une écriture collective. Ce n’est que s’il existe un accord correspondant avec le client pour les écritures unitaires que chaque transaction sera représentée individuellement sur le relevé de compte du payeur (donneur d’ordre) en cas de valeur false.

Les changements à venir n’ont donc pas uniquement des répercussions sur le fichier de paiement et les systèmes de paiement en tant que tels, mais affectent également les systèmes périphériques, tels que les systèmes de données de base. De nombreuses institutions financières utilisant des solutions de conversion ou d’anciennes versions du format SEPA peuvent désormais revoir leurs systèmes dans leur ensemble dans le cadre d’un projet et assurer un traitement ultérieur des paiements sans faille. Selon cette procédure, il est recommandé de recourir à des tableaux de correspondance qui rendent les analyses, évaluations et recommandations de mise en œuvre plus aisées et plus ciblées. Il est ainsi possible d’établir des règles et des mécanismes propres à chaque institution.

La consolidation TARGET2/T2S a déjà montré que la migration du format MT vers le format MX ne doit pas être sous-estimée et que les projets correspondants prennent plus de temps que de nombreuses institutions ne l’avaient pensé. Un report de calendrier par le Conseil de la BCE a été avantageux pour de nombreuses institutions financières. Un report et de nouveaux scénarios de transition allant au-delà des scénarios des directives d’implémentation ne doivent toutefois pas être présupposés lors de la migration vers SEPA 2.0. Les institutions qui ne privilégient pas un démarrage précoce s’exposent à un risque énorme.

Auteur : Rebecca Stannull