PSD3 et PSR : ce que la nouvelle réglementation européenne des paiements change pour les épargnants
L'Union européenne finalise la PSD3 et le PSR, deux textes qui redéfinissent les règles du jeu pour les banques, les fintechs et les consommateurs. Fraude, open banking, vérification IBAN : le point complet sur cette refonte majeure.
Le cadre réglementaire des paiements en Europe s'apprête à connaître sa transformation la plus profonde depuis une décennie. Après l'accord politique du 27 novembre 2025 entre le Parlement européen et le Conseil de l'UE, la troisième directive sur les services de paiement (PSD3) et le nouveau règlement sur les services de paiement (PSR) entrent dans leur phase finale de rédaction juridique. Publication attendue au Journal officiel : fin du deuxième trimestre 2026.
Cette réforme concerne directement les 450 millions de consommateurs européens, les établissements bancaires, les fintechs et les commerçants. Le marché européen des paiements, estimé à 740 milliards de dollars en 2026 selon Mordor Intelligence, avec une projection à 1 480 milliards d'ici 2031, se voit doté d'un nouveau socle réglementaire conçu pour répondre à l'explosion de la fraude et à l'essor de l'open banking.
Pourquoi la PSD2 ne suffisait plus
Adoptée en 2015, la PSD2 avait introduit l'authentification forte (SCA) et ouvert la voie à l'open banking en Europe. Mais le bilan reste contrasté. Le rapport conjoint de la BCE et de l'ABE publié en décembre 2025 révèle que les pertes liées à la fraude aux paiements dans l'Espace économique européen ont atteint 4,2 milliards d'euros en 2024, en hausse de 17 % par rapport aux 3,5 milliards de 2023.
Les virements frauduleux concentrent l'essentiel du problème : 2,5 milliards d'euros de pertes, soit environ 60 % du total. Les arnaques dites « APP » (Authorized Push Payment), où la victime est manipulée pour initier elle même le virement vers un fraudeur, représentent désormais plus de la moitié de la valeur des virements frauduleux. Fait marquant : les utilisateurs supportent 85 % des pertes liées à la fraude aux virements, contre seulement 38 % pour la fraude à la carte bancaire.
L'authentification forte a certes réduit la fraude sur les paiements par carte, mais elle a aussi complexifié les parcours d'achat en ligne. Et les cas d'usage non couverts se sont multipliés : paiements récurrents, « Buy Now Pay Later », marketplaces, paiements corporatifs. La PSD3 vise à combler ces lacunes.
Les mesures phares du nouveau cadre réglementaire
La vérification systématique du bénéficiaire
Le PSR impose aux prestataires de services de paiement (PSP) de vérifier la concordance entre le nom du bénéficiaire et son identifiant unique (IBAN) pour tous les virements en euros. Cette vérification devra s'effectuer « en quelques secondes », selon le texte. En cas de divergence, le payeur sera averti avant l'autorisation de la transaction. Si le PSP omet cet avertissement, il assume la responsabilité financière en cas de fraude.
Cette mesure constitue l'un des changements les plus concrets pour les consommateurs. Elle cible directement les arnaques par usurpation d'identité, où le fraudeur se fait passer pour un conseiller bancaire ou un organisme officiel. Les établissements disposent d'un délai de 24 mois après l'entrée en vigueur du PSR pour déployer ce dispositif.
Un transfert de responsabilité vers les prestataires
Le nouveau cadre redistribue la charge financière de la fraude. Lorsqu'un client est victime d'une arnaque par usurpation d'identité (un fraudeur se faisant passer pour un employé de banque, par exemple), la transaction sera traitée comme un paiement non autorisé. Conséquence : le PSP devra rembourser intégralement le client, à condition que celui ci ait signalé la fraude à la police et notifié son prestataire.
Les plateformes en ligne sont également concernées. Si un PSP rembourse un client victime de fraude et que la plateforme avait été informée du contenu frauduleux sans le supprimer, cette plateforme devient responsable envers le PSP. Ce mécanisme de responsabilité en cascade vise à impliquer l'ensemble de la chaîne de valeur dans la lutte contre la fraude.
L'open banking renforcé et encadré
La PSD3 corrige les faiblesses de l'open banking tel qu'instauré par la PSD2. Les banques devront fournir des interfaces dédiées (API) offrant des performances équivalentes à leurs propres canaux. Un tableau de bord standardisé permettra aux utilisateurs de visualiser, gérer et révoquer à tout moment les autorisations d'accès accordées aux prestataires tiers, le tout gratuitement.
Le texte dresse une liste précise d'obstacles interdits aux banques vis à vis des prestataires d'open banking. Les fabricants d'appareils mobiles et les fournisseurs de services électroniques devront accorder un accès équitable aux applications de paiement, selon des conditions « justes, raisonnables et non discriminatoires ». Cette disposition cible notamment Apple et Google, accusés de freiner l'accès à la technologie NFC de leurs téléphones.
Ce qui change pour les fintechs françaises
La France compte plus de 1 000 fintechs actives, ce qui en fait le deuxième marché européen du secteur après le Royaume Uni. Pour ces acteurs, la PSD3 apporte des opportunités et des contraintes nouvelles.
Côté opportunités : les prestataires de paiement non bancaires pourront accéder directement aux systèmes de paiement européens, réduisant leur dépendance aux banques traditionnelles. L'intégration des établissements de monnaie électronique (EMI) comme sous catégorie des établissements de paiement, avec l'abrogation de la directive EMD2, simplifie le paysage réglementaire.
Côté contraintes : les exigences de fonds propres sont revues à la hausse et alignées sur l'inflation. Les obligations de sauvegarde des fonds clients se renforcent. La conformité au règlement DORA (Digital Operational Resilience Act) devient incontournable. Les licences existantes restent valides pendant 24 mois après l'entrée en vigueur de la PSD3, avec une extension possible à 30 mois, mais une ré autorisation complète sera nécessaire.
L'impact sur les banques et les coûts de mise en conformité
Pour les établissements bancaires, la mise en conformité représente un chantier technique considérable. Le déploiement de la vérification IBAN en temps réel exige une modernisation des systèmes « cœur » (core banking), souvent vieillissants. Les taux de change de référence utilisés pour les conversions devront provenir d'un administrateur conforme aux normes IOSCO et ne pourront dater de plus de dix minutes.
Le partage de données relatives à la fraude entre PSP devient obligatoire via une plateforme dédiée, avec une conservation limitée à cinq ans après l'incident et l'obligation de réaliser une analyse d'impact sur la protection des données (DPIA) avant toute participation. Les banques devront former annuellement leurs employés à la prévention de la fraude.
L'authentification forte évolue également. Les PSP devront proposer au moins une méthode d'authentification adaptée aux personnes sans smartphone, en situation de handicap ou à faible maîtrise numérique. L'accessibilité de la SCA est élevée au rang de droit légal. La délégation de l'authentification à un tiers est désormais classée comme externalisation, avec les obligations de contrôle et d'audit qui en découlent.
Les protections concrètes pour les consommateurs
Au delà de la lutte contre la fraude, le nouveau cadre renforce la transparence et les droits des utilisateurs sur plusieurs fronts.
Plafonds personnalisés : les clients pourront fixer eux mêmes des limites de dépenses sur leurs instruments de paiement. Les banques ne pourront plus modifier unilatéralement ces plafonds.
Accès au liquide : les commerces de détail pourront proposer des retraits en espèces sans obligation d'achat, dans une fourchette de 100 à 150 euros selon les États membres, sans avoir besoin d'une licence de prestataire de paiement.
Transparence des frais : toutes les commissions devront être communiquées avant l'initiation de la transaction. Pour les conversions de devises aux distributeurs automatiques et en point de vente, le surcoût estimé par rapport au taux de référence de la BCE devra être affiché. L'interdiction de surfacturation est étendue aux virements et prélèvements dans toutes les devises de l'UE.
Service client humain : les PSP devront garantir un accès à un interlocuteur humain (les chatbots seuls ne suffiront plus). La participation à un mécanisme de résolution alternative des litiges (ADR) devient obligatoire.
Le calendrier et les prochaines étapes
Le texte législatif est actuellement en cours de révision juridico linguistique dans les 24 langues officielles de l'UE. La publication au Journal officiel est anticipée pour la fin du deuxième trimestre 2026. Après cette publication :
- Le PSR entrera en application 18 mois après son entrée en vigueur
- La vérification du nom du bénéficiaire sera obligatoire 24 mois après l'entrée en vigueur
- Les États membres transposeront la PSD3 dans un délai de 18 mois
- Les licences existantes resteront valides pendant 24 mois (extensible à 30 mois)
En pratique, l'application effective du PSR n'est pas attendue avant fin 2027 ou début 2028. Les établissements disposent donc d'un délai, mais les experts juridiques de Norton Rose Fulbright recommandent d'engager dès maintenant les travaux de mise en conformité, compte tenu de l'ampleur des modifications techniques requises.
Quelles conséquences pour les épargnants français ?
Pour les particuliers qui gèrent leur patrimoine financier en ligne, la PSD3 et le PSR apportent trois avancées majeures. La première est une protection renforcée contre les arnaques aux virements, avec le remboursement systématique en cas d'usurpation d'identité. La deuxième est un contrôle accru sur les données bancaires partagées avec les applications tierces, grâce au tableau de bord standardisé. La troisième est une transparence totale sur les frais de paiement et de conversion.
Le cadre réglementaire accompagne aussi l'essor des paiements instantanés en Europe. Depuis janvier 2025, tous les virements en euros doivent être réglés en moins de dix secondes, sans surcoût. La PSD3 et le PSR viennent compléter ce dispositif en garantissant que cette rapidité ne se fasse pas au détriment de la sécurité.
Cette réforme s'inscrit dans un ensemble plus large de textes européens : le règlement DORA sur la résilience opérationnelle numérique (applicable depuis janvier 2025), la proposition FIDA sur l'accès aux données financières, et le règlement MiCA sur les crypto actifs. Ensemble, ces textes redessinent l'architecture réglementaire de la finance européenne pour la prochaine décennie.