PSD3: nouvelles obligations anti-fraude pour le commerce en ligne
La révision européenne du cadre des services de paiement (PSD3 + PSR) marque un tournant pour la lutte contre la fraude, avec un impact direct sur le commerce en ligne. Un accord politique provisoire entre le Parlement européen et le Conseil a été annoncé le 27/11/2025, mettant l’accent sur des obligations anti‑fraude renforcées, une meilleure transparence et une responsabilisation accrue des acteurs de l’écosystème des paiements.
Ce durcissement intervient dans un contexte où la fraude continue de progresser en valeur : selon le rapport conjoint EBA‑BCE (données 2024, EEE), la valeur totale de la fraude sur les paiements atteint 4,2 Md€ (contre 3,5 Md€ en 2023), même si le taux de fraude reste stable autour de 0,002% de la valeur totale des transactions. Les fraudeurs s’adaptent, notamment via la manipulation des payeurs (social engineering), ce qui pousse les régulateurs à exiger des parcours et des contrôles plus « future-proof ».
1) PSD3/PSR : où en est le texte et pourquoi l’e‑commerce est concerné
Le 27/11/2025, les colégislateurs européens ont annoncé un « provisional political agreement » sur PSD3 (directive) et PSR (règlement). L’objectif est de moderniser les règles de paiement, de renforcer la protection contre la fraude en ligne et de limiter des coûts « cachés » ou des pratiques trompeuses, avec une mise en cohérence plus opérationnelle à l’échelle de l’UE.
Pour un marchand en ligne, l’impact ne se limite pas à « la banque du client » ou au PSP (Payment Service Provider) qui exécute le paiement. Le parcours de paiement (checkout), l’authentification, les écrans d’information, la manière dont le nom du marchand s’affiche et la gestion des litiges sont directement concernés par des exigences qui visent à réduire les erreurs, la confusion et les scénarios de fraude.
Le périmètre anti‑fraude s’élargit aussi à l’écosystème. Le Parlement européen souligne que, selon les cas, des prestataires techniques et même certaines plateformes en ligne et fournisseurs de communications électroniques peuvent entrer dans le champ d’application. Cette approche reflète une réalité : de nombreuses fraudes commencent hors du canal bancaire (messagerie, réseaux sociaux, appels) avant de se matérialiser lors d’un paiement.
2) Responsabilité renforcée des PSP : quand l’anti‑fraude devient une obligation de résultat
Le signal le plus fort du paquet PSD3/PSR tient à la responsabilité accrue des prestataires de services de paiement. Selon l’accord du 27/11/2025, « If a PSP fails to implement appropriate fraud prevention mechanisms, it will be liable for covering customers’ losses. » Autrement dit, l’insuffisance des mécanismes anti‑fraude ne sera plus un simple sujet de conformité : elle devient un facteur direct de responsabilité financière.
Dans le commerce en ligne, cela se traduit par une exigence implicite : des parcours d’authentification et de paiement cohérents, documentés, mesurables et capables de résister aux attaques actuelles (ingénierie sociale, prise de contrôle de session, manipulation des bénéficiaires, fraude à l’identité). Les PSP auront intérêt à imposer (ou recommander fortement) des standards techniques et UX aux marchands pour réduire le risque global.
Pour les e‑commerçants, cette évolution peut se matérialiser par des demandes plus strictes des PSP et acquéreurs : collecte d’informations additionnelles, signaux de risque (device, géolocalisation, velocity), contrôles de cohérence, et exigences d’intégration plus rigoureuses. Même si la responsabilité juridique vise d’abord les PSP, les effets « contractuels » se répercuteront sur les marchands via les conditions d’acceptation, la tarification, ou la gestion des incidents.
3) Authentification forte (SCA) + approche « risk-based » : plus qu’un challenge 3DS
L’accord PSD3/PSR rappelle l’obligation d’assurer l’authentification forte du client (SCA) et d’effectuer une évaluation des risques. Le principe est clair : la sécurité ne peut pas être uniquement « statique ». Les PSP devront démontrer une gestion active du risque, avec des contrôles proportionnés au contexte de transaction.
Les données EBA‑BCE confirment que la SCA reste efficace contre les fraudes pour lesquelles elle a été conçue (notamment sur la carte), mais que les fraudeurs se déplacent vers des attaques plus complexes, en particulier la manipulation des payeurs. L’EBA avait déjà identifié en 2024 de « nouveaux types et patterns » de fraude, et recommandé de renforcer PSD3/PSR pour rester durablement efficace.
Concrètement pour un site e‑commerce, l’enjeu est d’éviter deux écueils : (1) une SCA trop agressive qui dégrade la conversion et pousse au contournement, (2) une SCA trop permissive qui augmente le risque et les contestations. Les marchands devront travailler avec leurs PSP sur des parcours adaptatifs (exemptions pertinentes, signaux de risque fiables, traçabilité) et sur la pédagogie client, car une part croissante de la fraude vise à convaincre l’utilisateur de valider lui‑même une action risquée.
4) « Name check » (vérification du bénéficiaire) : une brique anti‑fraude qui change les virements
Parmi les mesures phares, le « name check » impose de vérifier la correspondance entre le nom du bénéficiaire et son identifiant unique (par exemple l’IBAN) avant l’exécution d’un paiement. En cas d’écart, le PSP doit refuser l’ordre et informer le payeur (« refuse the payment order and inform the payer »). L’objectif est de réduire les erreurs et les détournements typiques des fraudes au virement (factures modifiées, redirection de paiements, usurpation de fournisseurs).
Cette logique s’inscrit dans une tendance déjà visible en France. Le ministère de l’Économie rappelle que la « vérification du bénéficiaire » est obligatoire depuis le 09/10/2025 dans le cadre du règlement UE 2024/886 sur les virements instantanés : le contrôle intervient immédiatement après la saisie des informations du bénéficiaire et avant l’autorisation.
Pour l’e‑commerce, l’effet dépend des moyens de paiement utilisés. Les marchands qui proposent le virement (classique ou instantané), le paiement de factures, des parcours B2B, ou des remboursements vers IBAN devront anticiper des rejets plus fréquents en cas de saisies approximatives (raison sociale, accents, abréviations). Il faudra donc améliorer l’UX de collecte des informations bénéficiaires, clarifier les libellés, et prévoir un support client réactif lorsque le paiement est bloqué pour incohérence de nom.
5) Plafonds et mécanismes de blocage : plus de contrôle côté utilisateur
Le paquet PSD3/PSR prévoit que les PSP doivent proposer des plafonds de dépense et des mécanismes de blocage afin de réduire les risques de fraude. Cette exigence vise à donner aux utilisateurs des « garde‑fous » simples et activables, notamment lorsque la fraude survient après compromission (SIM swap, vol de téléphone) ou après manipulation (l’utilisateur agit sous pression).
Pour les marchands, ces contrôles peuvent se traduire par des transactions interrompues ou plafonnées côté client, sans que le site n’ait « techniquement » échoué. Il devient important d’anticiper ces cas dans l’orchestration de paiement : messages d’erreur compréhensibles, options alternatives (autres moyens de paiement), et relance non intrusive.
Sur le plan stratégique, ces mécanismes peuvent aussi influencer le panier moyen et les taux d’acceptation selon les segments. Les e‑commerçants ont intérêt à suivre finement leurs KPI (taux d’autorisation, taux de friction SCA, abandons au paiement) et à travailler avec leurs PSP pour distinguer ce qui relève d’un contrôle anti‑fraude « sain » de ce qui relève d’une sur‑détection pénalisante.
6) Spoofing et partage d’informations : la lutte contre l’ingénierie sociale s’industrialise
Le Conseil de l’UE met explicitement l’accent sur les fraudes par usurpation (« spoofing/impersonation fraud »), où un escroc se fait passer pour le PSP afin de pousser l’utilisateur à agir. Ce point est crucial : une part croissante de la fraude ne consiste plus à « casser » l’authentification, mais à convaincre la victime de valider elle‑même une opération.
Autre levier clé : l’obligation de partager des informations liées à la fraude entre prestataires (« payment service providers will have to share fraud-related information between themselves »). L’idée est d’améliorer la détection à l’échelle du réseau (patterns, comptes mule, numéros, dispositifs, scénarios), au lieu de laisser chaque acteur lutter isolément.
Pour l’e‑commerce, cela implique une coordination plus étroite avec les PSP et, potentiellement, des attentes accrues sur la qualité des données transactionnelles transmises (références de commande, identifiants, contexte de livraison, signaux techniques). Les marchands peuvent aussi y gagner : une meilleure détection mutualisée réduit les rétrofacturations et les fraudes « répétitives » qui circulent d’une plateforme à l’autre.
7) Obligations côté marchands : cohérence du nom affiché et du libellé bancaire
Le Conseil de l’UE indique une obligation ciblée mais très pratique pour réduire la confusion et certaines contestations : les marchands doivent s’assurer que leur nom commercial habituel correspond au nom qui apparaît sur les relevés bancaires des clients (« merchants must make sure that their normal trading name matches the name that appears on customers’ bank statements »).
Ce sujet, souvent relégué à un détail de paramétrage acquéreur, est en réalité une source majeure de litiges : un client ne reconnaît pas le libellé, pense à une fraude, conteste, puis déclenche chargeback ou plainte. En harmonisant le nom visible sur le site, dans les emails et sur le relevé, on réduit les « faux positifs » de fraude et on améliore l’expérience post‑achat.
En pratique, cela suppose d’auditer la chaîne d’affichage : dénomination sociale vs marque, libellé acquéreur, descripteurs de paiement, filiales, marketplaces, vendeurs tiers. Les acteurs multi‑marques et les places de marché devront être particulièrement vigilants pour éviter un écart entre l’entité facturante et la marque connue du consommateur.
8) Extension du périmètre : plateformes et communications électroniques dans la prévention
La trajectoire réglementaire de 2025 confirme une ambition : traiter la fraude comme un phénomène « multi‑canal ». Le Conseil de l’UE, dès son mandat de négociation du 18/06/2025, évoquait l’inclusion de fournisseurs de communications électroniques (internet carriers, plateformes de messagerie) dans le champ de la prévention de la fraude.
Le Parlement européen va dans le même sens en indiquant que le règlement peut s’appliquer à des prestataires techniques et, dans certains cas, à des plateformes en ligne et fournisseurs de communications électroniques. Cette extension reflète le rôle central des SMS, appels et messageries dans les scénarios d’usurpation et de social engineering.
Pour les e‑commerçants, l’effet est indirect mais réel : l’environnement global devient plus normé (signalement, blocage, coopération), ce qui peut réduire certaines attaques en amont. Mais cela crée aussi de nouveaux standards d’attente : un marchand qui envoie des communications transactionnelles (emails, SMS, messages in‑app) devra renforcer l’anti‑phishing (cohérence des domaines, DMARC/SPF/DKIM, wording, éducation), car l’usurpation de marque est l’un des points d’entrée favoris des fraudeurs.
PSD3/PSR ne se résume pas à un texte de plus : c’est une refonte qui lie plus fortement responsabilité, prévention et coopération, avec des mesures concrètes comme le name check, l’approche risk-based autour de la SCA, la lutte explicite contre le spoofing et l’outillage utilisateur (plafonds, blocage). Dans un contexte où la fraude atteint 4,2 Md€ en 2024 dans l’EEE, l’UE cherche à réduire l’écart entre la sophistication des attaques et la capacité de réponse des acteurs.
Pour le commerce en ligne, l’enjeu est double : rester conforme tout en protégeant la conversion. La meilleure approche consiste à anticiper dès maintenant les impacts sur le checkout (messages, alternatives), la donnée (qualité des signaux), les libellés (nom marchand), et la relation avec les PSP (exigences contractuelles, partage d’informations). Les fraudeurs s’adaptent vite ; l’avantage concurrentiel reviendra aux marchands capables d’aligner expérience client, sécurité et transparence sans friction inutile.
