Le cadre européen des services de paiement connaît sa réforme la plus importante depuis la DSP2. Après un accord politique en novembre 2025, la troisième Directive sur les Services de Paiement (DSP3) et le Règlement sur les Services de Paiement (RSP) sont en phase finale de procédure législative, avec une adoption formelle et une entrée en vigueur attendues au premier semestre 2026. Le RSP, en tant que règlement directement applicable, ne nécessitera pas de transposition nationale. La première vague d’application, couvrant l’essentiel des obligations d’authentification forte, de responsabilité fraude et d’open banking, est attendue entre fin 2026 et début 2027.
Pour tout établissement intervenant dans les paiements numériques, l’accès aux comptes ou l’onboarding de clients dans les services financiers, la DSP3/RSP n’est pas un horizon lointain. La fenêtre 2026-2027 est la période opérationnelle critique pour les décisions d’architecture, les mises à niveau d’authentification et la sélection des partenaires technologiques.
En France, ce nouveau cadre s’inscrit dans la continuité des obligations issues de la DSP2, transposée via l’ordonnance du 9 août 2017 et le décret du 31 juillet 2018, et supervisées par l’Autorité de Contrôle Prudentiel et de Résolution (ACPR) et la Banque de France. Le RSP viendra directement remplacer les règles opérationnelles de la DSP2, sans marge d’interprétation nationale, créant un niveau de jeu uniforme pour tous les prestataires de services de paiement (PSP) européens.
Cet article décrypte ce que la DSP3 et le RSP changent concrètement pour la signature électronique et l’authentification, comment le cadre d’authentification forte (AFS) évolue, comment la DSP3 converge avec eIDAS 2.0 et le Portefeuille EUDI, et comment les solutions de Signaturit Group, a Namirial Company sont positionnées pour accompagner la conformité.
1. De la DSP2 à la DSP3 : pourquoi la mise à jour était nécessaire
La DSP2, entrée en application en 2018, a produit des résultats significatifs : elle a réduit la fraude sur les cartes bancaires grâce à l’authentification forte (AFS), ouvert les données bancaires aux prestataires tiers, et posé les bases réglementaires de l’open banking en Europe. Mais sept ans de mise en œuvre pratique ont mis en évidence des faiblesses persistantes.
L’AFS sous DSP2 est restée très vulnérable au phishing. La livraison de codes OTP (mots de passe à usage unique) par SMS s’est révélée sensible aux attaques par échange de SIM (SIM-swap), à l’ingénierie sociale et aux logiciels malveillants. Les parcours d’authentification ont été mis en œuvre de façon incohérente selon les États membres. La fraude par virement autorisé, où un client est manipulé pour autoriser un virement frauduleux, n’était pas clairement encadrée dans les règles de responsabilité de la DSP2. Et l’écosystème d’APIs open banking, malgré ses promesses, est resté fragmenté.
La DSP3 et le RSP répondent directement à ces réalités. Ensemble, ils représentent une évolution plutôt qu’une révolution : ils renforcent ce qui fonctionnait sous DSP2 et corrigent fondamentalement ce qui ne fonctionnait pas. Les changements clés :
- Authentification (AFS) plus forte et plus large : couvrant non seulement les paiements mais aussi les connexions, les paramétrages de mandats, la gestion des bénéficiaires et la récupération de dispositifs
- Responsabilité fraude élargie : les PSP sont responsables des défaillances d’AFS, y compris lorsque l’authentification est déléguée à des tiers
- Vérification du Bénéficiaire (VoP) obligatoire : correspondance IBAN/nom avant tout virement
- APIs open banking standardisées : cohérentes, exécutoires et à parité de performance dans toute l’UE
- Alignement explicite avec eIDAS 2.0 : Signature SEQ et identifiants du Portefeuille EUDI reconnus comme moyens d’AFS valides
| 📅 Dates clés Accord politique : 27 novembre 2025 | Adoption formelle et entrée en vigueur : premier semestre 2026 | Première vague d’application RSP (AFS, fraude, open banking) : fin 2026 / T1 2027 | Transposition complète DSP3 : 2027-2028 | Acceptation obligatoire Portefeuille EUDI (parallèle) : décembre 2027 | |
2. DSP2 vs DSP3/RSP : les évolutions clés en un coup d’œil
Le tableau ci-dessous résume les changements les plus significatifs sur le plan opérationnel pour les organisations gérant des flux d’authentification et de paiement numériques :
| Thématique | DSP2 | DSP3/RSP |
| Périmètre de l’AFS (Authentification) | Paiements en ligne et accès aux comptes uniquement | S’étend aux connexions, paramétrages de mandats, ajout de bénéficiaires, modifications de plafonds et récupération de dispositif |
| Facteurs d’authentification | Deux des trois catégories : connaissance, possession, inhérence | Les biométries comportementales formalisées comme facteur d’inhérence ; approche basée sur les résultats (TRA) renforcée |
| Responsabilité en cas de fraude | Limitée ; répartition complexe entre PSP | PSP responsable des défaillances d’AFS, y compris lorsque l’authentification est déléguée à un tiers |
| Open banking / APIs | Mise en œuvre hétérogène selon les États membres | APIs standardisées, à parité de performance, avec obstacles prohibés explicitement listés |
| Authentification déléguée | Non encadrée | Explicitement autorisée mais qualifiée de sous-traitance ; directives ABE et DORA applicables |
| Portefeuille EUDI / eIDAS 2.0 | Hors périmètre | Alignement attendu ; SEQ et eIDs reconnus comme moyens d’AFS valides |
| Fraude par usurpation d’identité PSP | Non spécifiquement traitée | PSP responsable lorsque le client est victime d’une usurpation d’identité du PSP lui-même |
| Vérification du bénéficiaire (VoP) | Optionnelle / incohérente | Obligatoire : correspondance IBAN/nom avant toute exécution de virement |
L’effet net est une charge de conformité significativement alourdie pour les PSP et leurs partenaires technologiques, assortie d’une responsabilité élargie en cas de défaillance d’AFS, y compris pour les prestataires auxquels l’authentification est déléguée.
3. Le nouveau cadre AFS : ce qui change pour l’authentification
L’authentification forte du client (AFS) est au cœur de la DSP3/RSP. Le RSP maintient le principe à deux facteurs (au moins deux des trois catégories : connaissance, possession, inhérence) mais en étend considérablement le périmètre et les exigences techniques.
Un périmètre d’AFS élargi
Sous DSP2, l’AFS était principalement requise pour les paiements en ligne et l’accès aux comptes. Sous RSP, les obligations d’AFS s’étendent à :
- Toutes les connexions aux comptes de paiement, pas seulement l’initiation de paiement
- La mise en place de nouveaux mandats de paiement ou l’autorisation de paiements récurrents
- L’ajout ou la modification d’un bénéficiaire dans une liste de confiance
- La modification de plafonds de dépenses ou de la configuration du compte
- Les parcours de récupération de dispositif et de ré-enregistrement
- Toute action classifiée comme « à haut risque » par le système de surveillance de fraude du PSP
Des facteurs renforcés et l’ouverture à la biométrie comportementale
Le RSP formalise une approche basée sur les résultats (outcome-based) : les régulateurs permettront plus de flexibilité, notamment un recours élargi aux exemptions d’analyse du risque de transaction (TRA), lorsqu’un PSP démontre un taux de fraude constamment faible. De façon déterminante, le RSP élargit ce qui qualifie comme facteur d’inhérence valide. Les biométries comportementales, comme les patterns de frappe, la manipulation du dispositif et le comportement de navigation, pourront désormais être formellement combinées avec des biométries physiologiques pour constituer un second facteur valide.
L’authentification déléguée : autorisée, mais encadrée
L’une des précisions les plus importantes de la DSP3/RSP est l’autorisation explicite de l’Authentification Déléguée (AD) : un PSP peut déléguer le processus d’AFS à un tiers, comme un fournisseur de portefeuille numérique, une passerelle de paiement ou un prestataire de services de confiance. Toutefois, cette délégation est qualifiée de sous-traitance, déclenchant la pleine conformité aux directives de sous-traitance de l’ABE et aux exigences DORA. Le PSP délégant conserve la pleine responsabilité en cas de défaillance d’AFS.
| ⚖️ Ce que cela implique pour les organisations utilisant des plateformes de signature et d’authentification Si votre organisation délègue l’AFS à une plateforme tierce, y compris un Prestataire de Services de Confiance Qualifié (PSCo/QTSP) pour l’authentification par certificat, cette relation est désormais formellement encadrée comme sous-traitance. Vous conservez la responsabilité. Votre prestataire doit satisfaire aux normes de risque informatique DORA, maintenir des droits d’audit et démontrer sa conformité aux directives ABE. Choisir un PSCo certifié comme partenaire d’authentification n’est donc pas uniquement une décision technique : c’est une décision de gestion de la responsabilité légale. |
4. DSP3/RSP et eIDAS 2.0 : la convergence qui compte le plus
La DSP3 et le RSP ne s’appliquent pas de façon isolée. Ils convergent avec deux autres grands cadres européens d’une manière qui reconfigure fondamentalement l’infrastructure d’identité et de paiement numérique :
Le Portefeuille EUDI et eIDAS 2.0 comme instruments d’AFS
Le Portefeuille d’Identité Numérique Européen, obligatoire pour tous les États membres de l’UE avant 2026 et que les institutions financières devront accepter avant décembre 2027, est explicitement positionné comme un instrument d’AFS valide dans le cadre du RSP. Le portefeuille permet une vérification et une authentification d’identité à haut niveau d’assurance, transfrontalière, répondant à la fois aux exigences de possession et d’inhérence de l’AFS sans les faiblesses des méthodes OTP.
En France, FranceConnect+ (niveau élevé, notifié sous eIDAS) représente dès maintenant le mécanisme d’eID le plus avancé pour les services financiers réglementés, avant le déploiement du Portefeuille EUDI par l’État français.
Cette convergence crée une infrastructure partagée unique pour le KYC (via l’AMLR), l’authentification (via le RSP) et la vérification d’identité (via eIDAS 2.0) : un même identifiant qualifié peut simultanément satisfaire les obligations de ces trois cadres réglementaires.
La SEQ comme méthode d’authentification pour les paiements
Les Signatures Électroniques Qualifiées (SEQ), émises par un PSCo sous eIDAS, fournissent une voie d’authentification par certificat qui dépasse le seuil de sécurité de la plupart des mises en œuvre d’AFS sous DSP2. Sous RSP, l’authentification adossée à une SEQ est directement applicable pour les actions de paiement à haut risque, l’autorisation de mandats et les parcours d’onboarding réglementés où la certitude d’identité est primordiale.
Le lien avec l’AMLR : quand KYC et AFS partagent la même identité
À partir de juillet 2027, le chevauchement devient particulièrement significatif : les institutions financières qui acceptent le Portefeuille EUDI pour le KYC au titre de l’Article 22 de l’AMLR satisferont simultanément l’exigence d’AFS du RSP. Les organisations qui investissent dès maintenant dans une infrastructure d’identité unifiée, au lieu de construire des systèmes distincts pour chaque réglementation, disposeront d’un avantage structurel de conformité.
| 💡 L’opportunité stratégique La convergence de la DSP3/RSP, de l’AMLR et d’eIDAS 2.0 signifie qu’un seul investissement dans une infrastructure d’identité numérique qualifiée, comprenant la SEQ, le Portefeuille EUDI et l’authentification certifiée, peut satisfaire simultanément plusieurs obligations réglementaires. Pour les institutions financières, les fintechs et les PSP, il ne s’agit pas uniquement de conformité : c’est l’occasion de réduire les onboardings redondants, de diminuer la friction d’AFS et de construire la confiance client sur une base que les régulateurs reconnaissent déjà. |
5. Le calendrier législatif : votre fenêtre de préparation
La période 2026-2027 est la fenêtre de préparation décisive. Les principales décisions d’architecture, les mises à niveau d’AFS et les contrats avec les partenaires technologiques signés maintenant détermineront la posture de conformité au moment où les obligations deviendront exécutoires :
| Date | Étape clé | Implication pratique |
| Novembre 2025 | Accord politique entre PE et Conseil | Début de la finalisation technique des textes législatifs |
| Début/mi-2026 | Adoption formelle et publication au Journal officiel | Le RSP entre en vigueur 20 jours après publication (directement applicable) ; délai de transposition de la DSP3 commence (18 mois) |
| Fin 2026/T1 2027 | Première vague d’application du RSP | Obligations AFS, responsabilité fraude et open banking applicables ; l’ABE commence à élaborer les RTS sur les détails AFS |
| 2027-2028 | Transposition complète de la DSP3 | Règles nationales en vigueur dans tous les États membres ; conformité totale attendue |
| Décembre 2027 (parallèle) | Acceptation obligatoire du Portefeuille EUDI | Les institutions financières doivent accepter le Portefeuille EUDI comme preuve d’identité de niveau AFS (eIDAS 2.0 Art. 5f) |
Note pratique sur la distinction RSP/DSP3 :
Le RSP contient l’essentiel des règles opérationnelles (AFS, fraude, transparence, open banking) et sera directement applicable dans toute l’UE sans transposition nationale, 20 jours après publication au Journal officiel.
La DSP3 régit les aspects prudentiels et la supervision des établissements de paiement et nécessitera une transposition nationale sur 18 mois. Cela signifie que les obligations fondamentales d’AFS et de responsabilité fraude seront exécutoires avant que les règles nationales de la DSP3 ne soient pleinement en place.
6. Comment Signaturit Group, a Namirial Company accompagne la conformité DSP3/RSP
En tant que Prestataire de Services de Confiance Qualifié (PSCo / QTSP) sous eIDAS, opérant via Universign, Vialink, Validated ID et Ivnosys, Signaturit Group, a Namirial Company fournit l’infrastructure d’authentification, de signature et d’identité dont les PSP et les institutions financières ont besoin pour répondre aux exigences de la DSP3/RSP.
Signatures et certificats qualifiés pour une authentification de niveau AFS
Signaturit Group, a Namirial Company émet des certificats qualifiés via Universign et Vialink, permettant aux organisations de déployer une authentification par certificat qui dépasse les standards d’AFS de la DSP2 et est directement applicable sous RSP. Les certificats à usage unique (jetables), valables pendant la durée d’une transaction spécifique, permettent une signature et une authentification à haut niveau d’assurance sans stockage permanent de certificat, réduisant la friction pour les utilisateurs finaux.
Intégration du Portefeuille EUDI pour une AFS transfrontalière
Via Validated ID et la plateforme VIDwallet, Signaturit Group, a Namirial Company est un acteur actif de l’écosystème du Portefeuille EUDI. Notre infrastructure d’Identifiants Vérifiables (IV) permet aux organisations d’émettre, gérer et vérifier des credentials basées sur le portefeuille qui répondent au standard d’identité à haut niveau d’assurance requis pour la conformité AFS sous RSP, en avance sur l’échéance d’acceptation obligatoire de décembre 2027.
Authentification multifactorielle pour l’accès aux comptes de paiement
Nos solutions de Gestion des Certificats et de Création de Certificats fournissent une base solide pour les flux d’authentification à deux facteurs, combinant des facteurs de possession par certificat avec la vérification d’identité, couvrant les déclencheurs AFS élargis introduits par le RSP, des connexions à la gestion des bénéficiaires et au paramétrage des mandats.
La solution Signaturit pour la documentation réglementée des paiements
La DSP3/RSP introduit des obligations élargies de gestion du consentement et des mandats. La solution de signature de Signaturit fournit une plateforme juridiquement contraignante et conforme eIDAS pour la signature des mandats de paiement, des mises à jour de conditions générales et des autorisations SEPA avec piste d’audit complète et support SEQ, satisfaisant à la fois les exigences AFS pour le paramétrage des mandats et les standards probatoires requis en cas de litige fraude.
En France, Universign est reconnu par l’ANSSI comme prestataire de services de confiance qualifié et figure sur la liste de confiance de l’UE, ce qui constitue un gage de conformité directement opposable aux superviseurs (ACPR, Banque de France).
Préservation qualifiée pour les preuves de conformité
Les règles de responsabilité fraude élargies du RSP imposent aux PSP de conserver des preuves robustes et inviolables de la conformité AFS pour chaque transaction. Les solutions de préservation digitale qualifiée de Signaturit Group, a Namirial Company, adossées à un archivage certifié à long terme, fournissent l’infrastructure de piste d’audit nécessaire pour se défendre contre les réclamations de responsabilité fraude et démontrer aux autorités de supervision (ACPR, ABE) que l’AFS a été correctement appliquée.
Solutions Signaturit Group, a Namirial Company cartographiées sur les exigences AFS du RSP :
| Méthode d’authentification | Pertinence AFS/RSP | Solution Signaturit Group, a Namirial Company |
| SEQ (Signature Électronique Qualifiée) | Satisfait l’AFS via possession + inhérence grâce au certificat qualifié émis après vérification rigoureuse d’identité. Directement applicable pour les flux de paiement à fort enjeu. | Émission de certificats qualifiés (Universign, Vialink) + solution de signature Signaturit |
| Portefeuille EUDI / Identifiants Vérifiables | Reconnu sous eIDAS 2.0 comme identité à haut niveau d’assurance ; applicable comme preuve d’identité vérifiée pour l’AFS transfrontalière. | VIDwallet (Validated ID) + plateforme d’Identifiants Vérifiables |
| Authentification multifactorielle (MFA) | Satisfait l’exigence d’AFS à deux facteurs via possession + connaissance ou inhérence. Élargie sous RSP à la biométrie comportementale. | Gestion des certificats + couche d’authentification |
| eID (niveau AFS) via FranceConnect+ | FranceConnect+ (niveau élevé notifié sous eIDAS) constitue un moyen valide d’AFS pour les services financiers sensibles. | Reconnaissance des eIDs via Universign/Vialink + intégration FranceConnect+ |
Conclusion : la DSP3 est une évolution, pas une révolution. Mais la fenêtre de préparation est maintenant.
La DSP3 et le RSP s’appuient sur les fondations de la DSP2 plutôt que de les démanteler. Mais les changements sur le périmètre de l’AFS, la responsabilité fraude, l’authentification déléguée et l’alignement avec le Portefeuille EUDI représentent une évolution structurelle des obligations de conformité pour toute organisation intervenant dans les paiements numériques européens.
La fenêtre 2026-2027 n’est pas un horizon de planification future : c’est la période opérationnelle de préparation pour des décisions qui doivent être prises maintenant. Les organisations qui choisissent des partenaires technologiques alignés simultanément avec eIDAS 2.0, le Portefeuille EUDI et les exigences de l’AMLR ne se contenteront pas de satisfaire les obligations DSP3/RSP : elles bâtiront l’infrastructure d’identité qui sous-tend la prochaine décennie de transactions digitales de confiance.
Signaturit Group, a Namirial Company, en tant que PSCo pan-européen, est prêt à accompagner les PSP, les fintechs et les institutions financières dans cette transition : comme partenaire d’authentification certifié, comme plateforme d’identité prête pour le Portefeuille EUDI, et comme conservateur qualifié des preuves de conformité qui en découlent.
| 📥 TÉLÉCHARGER NOTRE LIVRE BLANC Prévenez la fraude avec un onboarding digital 100 % sécurisé 👉 signaturit.com/fr/ressources/onboarding-digital-100-securise/ |
📎 Articles associés sur signaturit.com
