DSP3 et PSR : authentification forte (SCA) et KYC
DSP3 et le PSR transforment les paiements dans l'UE dès 2027 : SCA biométrique, vérification du bénéficiaire et impact sur votre KYC et la fraude.
La DSP3 relève le niveau pour prouver qui se cache derrière un paiement
Le 27 novembre 2025, les colégislateurs de l'UE ont conclu un accord politique sur le paquet qui remplace la DSP2 : une troisième directive sur les services de paiement (DSP3) et, à côté, un règlement sur les services de paiement (PSR) d'application directe. Les textes convenus ont été publiés en avril 2026. L'application générale arrive environ 21 mois après la publication au Journal officiel, donc au plus tôt au second semestre 2027, certaines obligations glissant jusqu'en 2028.
« 2027 » paraît loin. Ce ne l'est pas, pour deux raisons. Les schémas d'authentification que la plupart des fintech ont bâtis pour la DSP2 vont cesser d'être conformes, et réagréer votre licence sous la DSP3 est un chantier qui démarre en 2026, pas la semaine avant l'échéance.
Ce guide couvre ce que la DSP3 et le PSR changent pour l'authentification, la fraude et les contrôles d'identité sous-jacents, et quoi faire dès maintenant.
Deux instruments, un seul corpus de règles
La séparation compte parce qu'elle change la façon dont les règles vous atteignent :
- La DSP3 (une directive) régit l'agrément des établissements de paiement. Elle fusionne en un seul les régimes distincts d'établissement de paiement et d'établissement de monnaie électronique, et durcit les exigences d'agrément, y compris le dispositif AML et KYC qu'un demandeur doit démontrer.
- Le PSR (un règlement) régit la conduite : authentification forte, fraude, transparence et accès aux données. Étant un règlement, il s'applique directement dans chaque État membre sans transposition nationale, ce qui supprime la surrèglementation et la divergence qui ont fragmenté la DSP2.
Si vous détenez ou demandez une licence de paiement ou de monnaie électronique, les deux tombent sur vous d'un coup. La licence est dans la directive ; les obligations quotidiennes d'authentification et de fraude sont dans le règlement.
L'authentification forte se durcit, et devient biométrique
La DSP2 a rendu la SCA obligatoire. Le PSR la reconstruit autour du risque et de la biométrie.
- Authentification adaptative, fondée sur le risque. Les PSP doivent exécuter une authentification qui reflète le comportement de l'utilisateur, les schémas de transaction et les typologies de fraude actuelles, pas une double authentification figée à chaque action.
- La biométrie, des deux types, est explicitement sur la table. L'accord autorise une SCA construite à partir de biométrie physiologique — empreinte, reconnaissance faciale — combinée à de la biométrie comportementale, comme le rythme de frappe et les schémas de toucher à l'écran. Les signaux comportementaux peuvent servir d'élément d'authentification, pas seulement de score de fraude.
- L'accessibilité devient un droit. Les PSP doivent proposer au moins une méthode de SCA qui fonctionne pour les clients sans smartphone, en situation de handicap ou peu à l'aise avec le numérique. C'est la clause qui casse le plus de flux existants : une approbation push uniquement sur mobile ne suffit plus à elle seule.
Pour la plupart des équipes, le facteur d'inhérence passe d'« un selfie à l'onboarding » à une capacité biométrique continue et accessible. C'est un problème d'identité avant d'être un problème de paiement.
Vérification du bénéficiaire : faire correspondre un nom à un compte
Le PSR étend à toute l'UE une obligation de vérification du bénéficiaire (VoP). Avant de traiter un virement, le PSP du payeur doit vérifier que le nom du bénéficiaire correspond à l'identifiant du compte (l'IBAN) et avertir le payeur de toute discordance. Cette obligation, et la responsabilité qui y est attachée, s'applique 24 mois après l'entrée en vigueur du règlement : un délai plus long parce qu'il impose des changements de système côté émetteur et côté récepteur.
La VoP est, au fond, un problème de rapprochement de données d'identité : résoudre un nom déclaré face au titulaire vérifié d'un compte. Si la logique de rapprochement est mauvaise, soit vous laissez passer la fraude, soit vous noyez le client sous des faux positifs qu'il apprend à ignorer.
Le basculement de la responsabilité en cas de fraude
Le PSR conserve la règle de base selon laquelle le payeur qui autorise un paiement frauduleux supporte la perte. Mais il découpe les cas où c'est le prestataire qui paie :
- Ne pas signaler une discordance nom/identifiant du bénéficiaire peut transférer la responsabilité au PSP qui a omis ou raté le contrôle VoP.
- La fraude par usurpation (« spoofing »), où un criminel se fait passer pour la banque ou une autorité publique, peut déplacer la responsabilité vers le PSP selon les termes convenus.
- Les défaillances de SCA peuvent engager la responsabilité des opérateurs de schémas et des prestataires techniques, pas seulement la banque face au client.
Traduction : une authentification faible et une vérification du bénéficiaire faible cessent d'être le problème du client et deviennent une ligne de votre bilan et de celui de vos prestataires.
Où se loge réellement le KYC
La DSP3/PSR est un corpus de règles sur les paiements, mais elle s'appuie sur l'identité en trois points :
- Agrément. Un agrément (ou réagrément) DSP3 exige de prouver des procédures AML et KYC solides. La même diligence d'onboarding qui satisfait MiCA pour la crypto et le paquet anti-blanchiment de l'UE est celle qu'un demandeur d'établissement de paiement doit montrer. S'il vous faut d'abord les bases, commencez par ce qu'est le KYC.
- Authentification. La SCA biométrique et comportementale est une vérification d'identité exécutée en continu, pas une seule fois à l'inscription.
- Fraude et comptes mules. Des contrôles d'identité solides à l'onboarding sont l'endroit le moins cher pour arrêter les comptes synthétiques et mules que les règles de fraude doivent ensuite traquer.
La DSP3 et eIDAS 2 se croisent aussi : un justificatif du portefeuille européen d'identité numérique à garantie élevée peut soutenir à la fois l'onboarding et le facteur d'inhérence de la SCA.
Le retour au réel : votre dispositif DSP2 est déjà en retard
Voici la lecture à contre-courant que la plupart des prestataires de paiement ne mettront pas en avant : le délai long est un piège. Trois chantiers ne peuvent pas attendre 2027.
- La SCA uniquement sur mobile est déjà non conforme dans l'esprit. Le mandat d'accessibilité impose un chemin d'authentification sans smartphone. Le construire touche votre flux d'authentification central, pas une fonction annexe.
- La biométrie comportementale exige des données et du temps d'entraînement. Vous ne pouvez pas activer une authentification fondée sur le comportement le mois où la règle s'applique ; les modèles ont besoin d'historique.
- La VoP change les deux côtés de chaque virement. Les 24 mois sont le délai justement parce que la tuyauterie est profonde.
Les équipes qui traitent la DSP3 comme un problème de 2027 passeront 2027 à éteindre des incendies. Celles qui gagnent commencent la refonte de l'authentification et de l'identité sur les textes de 2026.
Comment Joinble s'intègre
La plateforme d'identité dopée à l'IA de Joinble couvre la couche d'identité que le PSR exige désormais :
- Vérification biométrique physiologique avec détection du vivant certifiée pour le facteur d'inhérence de la SCA, plus un chemin accessible pour les clients qui ne peuvent pas utiliser un flux mobile.
- Authentification adaptative, fondée sur le risque, où les agents d'identité de Joinble pèsent le comportement et le contexte de la transaction pour décider quand renforcer un défi, plutôt que de le déclencher à chaque action.
- Vérification d'identité et filtrage AML pour l'onboarding des établissements de paiement et de monnaie électronique, la preuve qu'exige une demande de licence DSP3.
- Rapprochement nom/identité pour soutenir la logique de vérification du bénéficiaire sans noyer le client sous les faux positifs.
Pour les équipes fintech qui font déjà tourner leur KYC sur Joinble, le chantier SCA et VoP prolonge le même socle d'identité au lieu d'ajouter un prestataire d'authentification séparé.
Comment vous préparer avant l'échéance
- Cartographiez chaque point de SCA et repérez ceux qui supposent un smartphone : ceux-là ont besoin d'une alternative accessible d'abord.
- Commencez à collecter les données comportementales dont vos futurs modèles d'authentification auront besoin ; vous ne pouvez pas les reconstituer après coup.
- Traitez la vérification du bénéficiaire comme un projet de rapprochement de données sur les virements entrants et sortants, et budgétez le réglage des faux positifs.
- Intégrez le réagrément de licence DSP3, avec sa preuve AML/KYC, à votre feuille de route 2026 plutôt qu'à celle de 2027.
FAQ
Quelle est la différence entre la DSP3 et le PSR ?
La DSP3 est une directive qui régit l'agrément des établissements de paiement et de monnaie électronique et doit être transposée en droit national. Le PSR est un règlement qui régit la conduite — authentification forte, fraude et transparence — et s'applique directement dans toute l'UE sans transposition. La plupart des fintech sont concernées par les deux à la fois.
Quand la DSP3 et le PSR s'appliquent-ils ?
Les colégislateurs de l'UE ont trouvé un accord politique en novembre 2025, les textes étant publiés en avril 2026. La plupart des obligations s'appliquent environ 21 mois après la publication au Journal officiel, soit au plus tôt au second semestre 2027, certaines allant jusqu'en 2028. La vérification du bénéficiaire s'applique 24 mois après l'entrée en vigueur du règlement.
Le PSR impose-t-il l'authentification biométrique ?
Le PSR n'impose pas la biométrie, mais il autorise explicitement une authentification forte construite à partir de biométrie physiologique (empreinte, reconnaissance faciale) et de biométrie comportementale (schémas de frappe et de toucher). Il exige aussi au moins une méthode d'authentification qui fonctionne pour les clients sans smartphone, en situation de handicap ou peu à l'aise avec le numérique.
Qu'est-ce que la vérification du bénéficiaire dans le PSR ?
La vérification du bénéficiaire oblige le prestataire de services de paiement du payeur à vérifier que le nom du bénéficiaire correspond à l'identifiant du compte (IBAN) avant un virement et à avertir le payeur de toute discordance. Mal réaliser ce contrôle peut transférer la responsabilité de la fraude au prestataire. L'obligation s'applique 24 mois après l'entrée en vigueur du règlement.
Quel impact la DSP3 a-t-elle sur les obligations KYC ?
La DSP3 exige des établissements de paiement et de monnaie électronique qu'ils prouvent des dispositifs AML et KYC solides pour obtenir ou renouveler leur agrément. Au-delà de la licence, la SCA biométrique et comportementale du PSR est une vérification d'identité exécutée en continu, et des contrôles d'identité solides à l'onboarding restent le contrôle le plus efficace contre les comptes mules et synthétiques qui alimentent la fraude aux paiements.
Automatisez votre conformite avec des AI Agents
La plateforme d'identite agentique de Joinble reduit les revisions manuelles KYC jusqu'a 80%. Reservez une demo pour le voir en action.
Reserver une demoGuides de conformite associes
KYC pour la Fintech en Allemagne sous MiCA
Guide detaille des obligations KYC pour les entreprises fintech en Allemagne dans le cadre du reglement MiCA. Apprenez a naviguer les exigences de la BaFin, les licences CASP et les meilleures pratiques de verification d'identite.
KYC Fintech en Arabie saoudite (SAMA & Vision 2030)
Guide complet sur les exigences de conformite KYC pour les entreprises Fintech en Arabie saoudite. Reglementation de la SAMA, cadre Vision 2030, procedures de verification et obligations AML detaillees.
KYC & AML pour la Fintech en Argentine (UIF & CNV)
Guide complet sur les obligations de conformite KYC et AML pour les entreprises Fintech en Argentine. Reglementations de l'UIF et de la CNV, procedures de verification et cadre legal detaille.