Le cadre européen des services de paiement connaît sa révision la plus importante depuis PSD2. À la suite de l’accord politique de novembre 2025, PSD3 et le règlement sur les services de paiement (PSR) sont désormais dans leur phase législative finale. L’adoption formelle et l’entrée en vigueur sont attendues entre début et mi-2026. Le PSR, en tant que règlement directement applicable, ne nécessitera pas de transposition nationale et déclenchera la première vague d’application, couvrant la SCA, la responsabilité en matière de fraude et les obligations d’open banking, entre fin 2026 et début 2027.
Chez Namirial, nous considérons PSD3/PSR comme l’un des exemples les plus clairs de ce que nous avons décrit dans nos prévisions pour 2026 : les paiements, l’identité numérique et la Strong Customer Authentication convergent vers une infrastructure de confiance unique. Les cadres réglementaires ne suivent plus des trajectoires parallèles. PSD3/PSR, AMLR et eIDAS 2.0 convergent vers une architecture commune pour la vérification d’identité, l’authentification et l’autorisation des transactions. Les organisations qui se préparent dès aujourd’hui à cette convergence disposeront demain d’un avantage structurel en matière de conformité.
Cet article explique ce que PSD3 et le PSR signifient concrètement pour l’authentification, les signatures numériques et l’infrastructure d’identité, comment le cadre SCA évolue dans le cadre du PSR, comment le Wallet EUDI et la QES deviennent des instruments SCA de premier plan, et comment la plateforme Namirial couvre l’ensemble de ces exigences.
Pourquoi PSD2 devait être mise à jour : le fossé de l’authentification
PSD2 a apporté de réels progrès : elle a introduit la SCA, créé la base juridique de l’open banking et réduit les taux de fraude liés aux cartes. Cependant, sa mise en œuvre pratique a révélé des faiblesses structurelles persistantes que PSD3 et le PSR traitent directement.
La défaillance la plus critique concernait la qualité de la SCA. L’envoi d’OTP par SMS s’est révélé hautement vulnérable au phishing : les attaques SIM-swap, l’ingénierie sociale et les malwares mobiles ont fait de la SCA basée sur SMS une défense faible face à la fraude industrialisée qui caractérise le paysage actuel des menaces. Par ailleurs, les API d’open banking ont été mises en œuvre de manière incohérente entre les États membres, la responsabilité en matière de fraude Authorized Push Payment (APP) est restée floue, et l’authentification déléguée ne disposait d’aucun cadre réglementaire.
PSD3 et le PSR constituent une réponse ciblée à ces lacunes. Les principaux changements :
- SCA élargie et renforcée : couvrant les connexions, la mise en place de mandats, la gestion des bénéficiaires, la récupération d’appareil et toutes les actions à haut risque sur les comptes
- Responsabilité en matière de fraude élargie : les PSP sont responsables des défaillances de la SCA, y compris lorsque l’authentification est déléguée à des tiers
- Vérification obligatoire du bénéficiaire (VoP) : correspondance IBAN/nom requise avant chaque virement
- API d’open banking standardisées : parité de performance imposée avec des obstacles explicitement interdits
- Alignement formel avec eIDAS 2.0 : la QES et les identifiants du Wallet EUDI sont reconnus comme méthodes SCA valides
- Responsabilité en cas d’usurpation du PSP : le PSP est responsable lorsqu’un client est fraudé par une usurpation de l’identité du PSP
PSD2 vs. PSD3/PSR : les changements opérationnels
Le tableau ci-dessous présente les changements les plus significatifs pour les organisations gérant l’authentification numérique, les flux de paiement et les infrastructures d’identité :
L’effet combiné est une charge de conformité nettement plus lourde pour les PSP et leurs partenaires technologiques, avec une responsabilité étendue tout au long de la chaîne de délégation. Pour les fournisseurs de services SCA, y compris les QTSP, les fournisseurs IAM et les opérateurs de wallet, PSD3/PSR constituent un événement réglementaire direct.
L’évolution de la SCA : des mots de passe à une authentification résistante au phishing
La Strong Customer Authentication sous le PSR conserve le principe des deux facteurs, au moins deux parmi connaissance, possession et inhérence, mais rehausse considérablement le niveau d’exigence pour chacun des facteurs.
Le problème central que le PSR résout : l’OTP n’est plus suffisant
Sous PSD2, la plupart des institutions satisfaisaient la SCA avec un mot de passe (connaissance) et un OTP par SMS (possession). Cette combinaison s’est révélée profondément vulnérable. L’interception des SMS, la fraude SIM-swap et la capture d’OTP via des malwares ont fait de la SCA basée sur SMS un vecteur d’attaque privilégié. Le PSR répond en augmentant le niveau de qualité des facteurs d’authentification et en formalisant une approche basée sur les résultats : les PSP capables de démontrer des taux de fraude constamment faibles, via une Transaction Risk Analysis (TRA) robuste, auront accès à des exemptions plus larges. Cependant, le seuil pour démontrer ces faibles taux de fraude a également été relevé.
Biométrie comportementale comme facteur SCA formalisé
Le PSR formalise une extension significative de ce qui constitue un facteur d’inhérence valide. La biométrie comportementale, incluant les schémas de saisie, la dynamique d’utilisation des appareils et les signaux de navigation, peut désormais être formellement combinée avec la biométrie physiologique pour constituer un second facteur valide. Cela ouvre la voie à une SCA totalement sans friction pour les actions à faible risque, où une authentification adaptative basée sur le risque peut vérifier l’utilisateur de manière silencieuse, sans interaction active.
SCA déléguée : innovation permise, responsabilité maintenue
Le PSR autorise explicitement l’authentification déléguée (Delegated Authentication, DA) : un PSP peut déléguer la SCA à un tiers, tel qu’un opérateur de portefeuille numérique, une passerelle de paiement ou un prestataire de services de confiance. Cela constitue un levier important pour l’innovation en finance embarquée et en open banking. Toutefois, le PSR classe cette délégation comme une externalisation, déclenchant l’application complète des lignes directrices EBA et des exigences DORA en matière de risques ICT. Le PSP délégant conserve l’entière responsabilité en cas de défaillance de la SCA.
La convergence qui définit la décennie : PSD3, eIDAS 2.0 et AMLR
Comme nous l’avons écrit dans nos prévisions pour 2026, le développement le plus déterminant dans le domaine de la confiance numérique en Europe n’est pas une réglementation unique, mais la convergence de trois cadres autour d’une infrastructure d’identité partagée :
PSD3/PSR : l’authentification doit être forte, déléguée avec précaution et résistante au phishing
Les obligations de SCA deviennent directement applicables via le PSR à partir de fin 2026. La qualité des facteurs d’authentification, la responsabilité en cas de délégation et les exigences en matière de surveillance de la fraude établissent un nouveau niveau de référence pour chaque PSP opérant dans l’UE.
eIDAS 2.0 : le Wallet EUDI devient un instrument SCA de premier plan
Conformément à l’article 5f d’eIDAS 2.0, les institutions financières doivent accepter le Wallet EUDI comme méthode d’authentification valide d’ici décembre 2027. Il ne s’agit pas d’un scénario futur : c’est une obligation contraignante avec une échéance ferme, même si certaines zones d’ombre restent à préciser, puisque la formulation d’eIDAS (« strong user authentication ») diffère et est moins détaillée que celle requise par la réglementation des paiements et des services financiers. Les identifiants basés sur le portefeuille numérique, émis par des QTSP et vérifiés selon les niveaux d’assurance eIDAS, satisfont simultanément les exigences de possession et d’inhérence de la SCA du PSR, tout en permettant la divulgation sélective des attributs d’identité, réduisant ainsi l’exposition des données.
AMLR : la même identité qui réalise le KYC peut réaliser la SCA
Lorsque l’AMLR entrera en application à partir de juillet 2027, le chevauchement réglementaire deviendra opérationnellement décisif : une institution qui accepte un identifiant du Wallet EUDI pour le KYC au titre de l’article 22 de l’AMLR satisfait simultanément à l’exigence de SCA du PSR pour la même interaction client. C’est cette convergence qui rend les investissements en infrastructure stratégiques plutôt que simplement orientés vers la conformité. Une seule identité qualifiée, vérifiée une fois selon les normes ETSI TS 119 461 v2.1.1, peut servir d’ancre de confiance pour le KYC, la SCA et la signature de documents réglementés au sein d’un même flux.
Le calendrier législatif : agir avant l’entrée en application
La période de 2026 à 2027 constitue la fenêtre opérationnelle de préparation. Les décisions architecturales prises aujourd’hui détermineront la posture de conformité lorsque les obligations deviendront applicables :
Note pratique sur la distinction PSR/PSD3 : le PSR contient la majorité des règles opérationnelles, y compris la SCA, la fraude, la transparence et les obligations d’open banking, et entre en vigueur directement 20 jours après sa publication, sans transposition nationale. PSD3 régit l’octroi de licences et la supervision institutionnelle des établissements de paiement et nécessite une période de transposition de 18 mois. Les principales obligations relatives à la SCA et à la responsabilité en matière de fraude seront donc applicables avant que les règles nationales PSD3 ne soient pleinement en place.
Comment Namirial répond à PSD3/PSR : une plateforme complète d’authentification
Namirial est un Qualified Trust Service Provider (QTSP) au titre d’eIDAS, opérant sur plusieurs marchés européens via Namirial S.p.A. (Italie) et Uanataca (Espagne). Notre plateforme couvre l’ensemble de la pile SCA requise par PSD3/PSR : infrastructure Wallet EUDI, signature basée sur certificats qualifiés, intégration d’eID fédérée et archivage de conformité qualifié.
Namirial Wallet : SCA via Wallet EUDI, prêt avant l’échéance de décembre 2027
Notre plateforme Wallet, composée de Wallet Gateway (orchestration des protocoles), Wallet App (gestion des identifiants côté utilisateur) et Wallet Studio (gestion des émetteurs), permet aux organisations d’intégrer les identifiants du Wallet EUDI comme instruments SCA à la fois dans le cadre du PSR et de l’article 5f d’eIDAS 2.0. Namirial est un participant actif aux Large Scale Pilots du Wallet EUDI au sein du consortium Potential, avec une expérience couvrant les services publics, le secteur bancaire, les télécommunications et les signatures électroniques. Une offre Wallet-as-a-Service (WaaS) est en cours de développement pour les institutions qui ont besoin d’une intégration rapide sans construire leur propre infrastructure de portfeuille numérique.
QES via Namirial Sign Enterprise : signature de mandats et authentification des paiements à forte valeur
Les signatures électroniques qualifiées, émises par l’infrastructure multi-QTSP de Namirial en Italie, en Espagne et en France, fournissent une authentification basée sur des certificats qui dépasse la plupart des implémentations SCA de PSD2. Dans le cadre du PSR, l’authentification basée sur QES est directement applicable pour la mise en place de mandats, les autorisations SEPA et les processus d’onboarding réglementés où une certitude d’identité est requise.
Les certificats à usage unique (single-use), valables 60 minutes et liés à une transaction spécifique, permettent une signature QES à haute assurance sans stockage permanent des certificats. Cela rend la QES utilisable à grande échelle pour les flux de paiement où une authentification forte est requise par transaction plutôt que par session. L’architecture multi-QTSP, couvrant Namirial et Uanataca, offre également une résilience géographique et une continuité conforme aux exigences de DORA : si un QTSP n’est pas disponible, les flux SCA peuvent être redirigés sans interruption.
Namirial Archive : preuves de conformité SCA à l’épreuve des audits
Les règles étendues du PSR en matière de responsabilité pour fraude exigent que les PSP conservent des preuves robustes et inviolables attestant que la SCA a été correctement appliquée pour chaque transaction. Namirial Archive fournit une conservation qualifiée à long terme (QPRES, conforme à eIDAS eArchiving), certifiée NF 461 en France (AFNOR) et qualifiée SAE QC2 en Italie (ACN). Les événements d’authentification, certificats de signature, journaux de transactions et enregistrements de vérification d’identité sont conservés avec une pleine validité juridique pendant la durée requise par les autorités de supervision nationales.
Solutions Namirial associées aux exigences SCA du PSR :
Conclusion : la SCA est désormais un business, et non plus seulement une exigence de conformité
Notre Regulatory Observatory a identifié la SCA dans le cadre de PSD3/PSR comme une « nouvelle opportunité commerciale positive », en particulier dans le segment Keyless/IAM. Nous confirmons cette analyse. L’élargissement du périmètre de la SCA, la formalisation de l’authentification déléguée et l’alignement avec le Wallet EUDI créent un véritable marché pour une authentification résistante au phishing, de niveau FIDO2 et native pour les wallets au niveau des paiements — précisément l’infrastructure que Namirial a construite.
La période de 2026 à 2027 n’est pas un horizon de planification. C’est la fenêtre opérationnelle pour prendre des décisions d’infrastructure qui doivent être prises dès maintenant. Les institutions qui choisissent des partenaires d’authentification alignés simultanément avec le PSR, DORA, eIDAS 2.0 et AMLR ne se contenteront pas de satisfaire les obligations réglementaires : elles construiront l’infrastructure d’identité et de paiement qui soutiendra la prochaine décennie de la finance numérique fondée sur la confiance.
Namirial est prêt à accompagner cette transition : en tant que fournisseur de technologie de Wallet EUDI, en tant que QTSP multi-marché pour une SCA basée sur QES, et en tant que partenaire ICT aligné avec DORA sur l’ensemble du cycle de vie de l’authentification des paiements.
Contenu connexe sur namirial.com
- Prévisions Namirial 2026 : paiements, SCA et convergence de la confiance numérique
- Transformer la conformité en opportunité : le Wallet EUDI dans les services financiers
- De l’AMLR à eIDAS 2.0 : la conformité dans le KYC et l’onboarding
- AML-KYC : le tsunami qui arrive en 2026-2027
- Plateforme Namirial Wallet : services de confiance et d’identité numérique de nouvelle génération
