obOpen Banking Lab
GlossaireSTETBlogContact
Réglementation

DSP3

Directive sur les Services de Paiement 3 (PSD3)

Successeur de la DSP2, proposé en juin 2023. Renforce la lutte anti-fraude, durcit la qualité d'API attendue et clarifie les responsabilités. Application visée : 2026–2027.

Voir aussi :DSP2PSRFIDASCAVoPAISPPISPASPSP

Définition

La DSP3 (Directive sur les Services de Paiement 3, ou PSD3) est le successeur de la DSP2, proposé par la Commission en juin 2023, accompagné d'un règlement PSR (Payment Services Regulation).

Elle vise à corriger les angles morts de la DSP2 — fraude grandissante, qualité d'API insuffisante, fragmentation entre États membres — pour une application estimée à 2026-2027.

DSP2 vs DSP3 + PSR : ce qui change

  • DSP2 — une directive seule, transposée en droit national avec des marges d'interprétation.
  • DSP3 + PSR — une directive (DSP3) et un règlement (PSR). Le règlement étant directement applicable sans transposition, il réduit la fragmentation.

Concrètement, l'essentiel des règles opérationnelles (consentement, API, SCA, fraude) migre dans le PSR, tandis que la DSP3 garde le cadre prudentiel (statuts, agréments, supervision).

Les apports majeurs

  • Anti-fraude renforcée : généralisation de la VoP sur les virements, partage d'informations sur la fraude entre PSP, droit au remboursement étendu pour les APP scams.
  • Qualité d'API : obligations de performance, disponibilité (> 99 %), service 24/7 et délais de réponse plafonnés, avec sanctions explicites.
  • Refonte du CBPII : intégration dans un cadre AIS étendu et simplification du statut.
  • Suppression du fallback obligatoire : l'API DSP devient le canal unique, fin de l'obligation de maintenir un canal de secours type screen-scraping.
  • Fusion des statuts EP et EME en un statut unifié.
  • Encadrement du liability shift : meilleure répartition des responsabilités entre banque, PISP et marchand.

Ce que la DSP3 ne fait pas

  • N'étend pas le périmètre aux comptes non-paiement (épargne, crédit, assurance) : c'est FIDA.
  • N'encadre ni la crypto (MiCA) ni la résilience IT (DORA).
  • N'est pas encore en vigueur : c'est toujours la DSP2 qui s'applique, et les fintechs ont 2 à 3 ans pour anticiper.

Calendrier indicatif

  • Juin 2023 — proposition de la Commission.
  • 2024 — travaux Parlement / Conseil et premières positions.
  • 2025 — trilogue, accord politique espéré.
  • 2026 — adoption formelle.
  • 2027-2028 — application effective.

Calendrier susceptible de glisser, comme souvent pour ce type de texte.

Dans l'écosystème PSD2 (qui devient PSD3)

La DSP3 ne remplace pas brutalement la DSP2 : elle la prolonge et la durcit, en intégrant 6 à 8 ans d'enseignements. C'est aussi une opportunité industrielle : anticiper dès maintenant (anti-fraude, VoP, qualité d'API) donne de l'avance sur la conformité.

Exemples concrets

  • APP scams : un client poussé par un faux conseiller à virer 8 000 € obtient rarement un remboursement aujourd'hui. Avec le PSR, la banque devra rembourser plus largement si elle n'a pas mis en place les bons garde-fous, à commencer par la VoP.
  • Marchands : la généralisation de la VoP (déjà obligatoire pour SCT Inst depuis octobre 2025) oblige tout site collectant des IBAN à gérer le rapprochement nom/IBAN dans son UX.
  • Agrégateurs : disparition probable du screen-scraping comme fallback ; les acteurs qui en dépendent encore devront migrer 100 % vers les API officielles.
  • Statuts : la fusion EP + EME simplifiera les démarches d'une fintech qui propose à la fois paiement et stockage de fonds.
  • Veille : suivre les rapports de l'EBA, les positions du Conseil de l'UE et les publications de l'ACPR pour caler sa roadmap conformité.

Sources

Retour au glossaire