Bancaire S3 - la supervision bancaire

baisse sur les prix/ services en faveur des consos. Les établissements de paiement (EP) auront des obl allégées par rapports aux banques notamment à en ce qui concerne leurs capitaux. 

Néanmoins, les utilisateurs devraient avoir les mêmes garanties de sécu que sur les OP effectuées par l’intermédiaire de ces établissements. Les EP devront avoir des assurances, mais ils ne sont pas adhérents du fonds de garantie bancaire qui garantie les dépôts de 100 000 € en cas de faillite d’un établissement bancaire. 

situation d’inégalité concurrentielle pour un même service à régulation très forte ce qui explique qu’au mois de sept : des critiques ont été remontées à la commission euro : pour que les banques euro bénef d’un allégement de la réglementation prudentielle, les grds acteurs bancaires américain bénef d’un allégement à crée de la concurrence entre européens et américains.

ça va favoriser des acteurs qui pourront produire des risques systémiques, surtout que les + grds faillites viennent des USA à idée que les acteurs européens se fassent racheter par des acteurs étrangers. 

• Ce n’est pas neutre : favorable aux consos mais dangereux pour les acteurs trad. 

En cas de perte ou de vol de carte, tous les retraits ou paiement pratiqués AP l’opposition sont à la charge de la banque, le client reste tenu des OP réalisées AV à dans la limite de 150 €.

Cas de contrefaçon/ usage frauduleux d’une carte alors que celle-ci est tjrs en possession du client : la banque devra créditer toute la somme concernée. 

Pour les opérations réalisées sans l’accord du client :

Le client peut les contester (utilisation de fichier, carte volée, utilisation des données d’ID de la carte…) pdt une durée de 13 mois AP l’OP contestée. Renversement de la charge de la preuve à TRES protecteur du consommateur àrenverse le risque sur l’établissement qui devra garantir le conso. 

Pour tous les cas de contestation (OP autorisée/ mal exécutée), c’est la banque ou à l’EP de prouve qu’aucune erreur n’a été commise ou que l’OP avait été valablement autorisée. 

Plsrs corps de règles à protection du conso. Elle apporte de nouv innovations en faveur de l’open finance + va créer de nouv catégories de prestataires de SP tiers. 

Cette 2^e directive étend la régulation européenne à de nouv prestataires de services de paiement (PSP tiers) àencadre le partage des données bancaires et renforce les exigences de sécu en faveur des consommateurs. 

Transposition : la directive européenne (2015/2366) sur les SP dans le marché intérieur a été adoptée le 25 nov 2015 avec entrée en vigueur dans toute l’UE au 13 janvier 2018. 

la DSP 2à régule + encadre l’activité de nouv acteurs dans le secteur bancaire. Elle étend le statut de PSP aux tiers de paiement (PSP T) qui disposent de nouv statut, il faut distinguer : 

• Les PSP « gestionnaires de compte », les banques essentiellement qui détiennent les comptes de leur clients à banque. 
• Les PSP Tiers : entreprises autres que les banques qui accèdent aux comptes ouverts dans les établissements bancaires classiques. 

Entreprise autre que les banques, pour les PSP tiers, 2 nouv statuts sont créés : 

• Prestataire de services d’info sur les comptes (PSIC) : fourni des services d’ « agrégation » d’info à objectif de récolter des infos. 

Il y a une fintech qui va proposer de télécharger une Appli qui fait un Dash Board de vos dépenses (ex : pour l’énergie, bien être…) apporte une vue à 360 des diffs dépenses à ce prestataire agréer ces données + les reformates de manière + lisible. 

• Prestataire de services d’initiation de paiement (PSIP) : fournir de nouv types de SP, par exemple pour traiter + faciliter les transactions entre e-commerçant et la banque et l’acheteur. 

En tant que PSIP, ces intermédiaires proposent des SP parallèlement à ceux déjà existant à , en créant un lien direct entre le débiteur et le bénéficiaire du paiement, sans passer par les acteurs bancaires et financiers classiques.

A terme, ces paiements devraient remplacer le paiement par carte ou portefeuilles électronique pour le commerce en ligne. 

Ce n’est plus le client qui donne l’ordre à sa banque de payer son créancier en utilisant CB/ chèque. C’est l’intermédiaire (PSP T) qui initie le paiement directement depuis le compte bancaire de son client et à sa demande, le + souvent sous forme de virement. Ex : SlimPay, SOFORT Banking…

En couplant les 2 statuts d’agrégateur d’informations et de PSIP un consommateur pourra effectuer directement des virements entre ses différents comptes bancaires, sans avoir à se rendre sur le site de sa ou de ses banques. 

Utile pour les pers fortunées ayant plsrs comptes (diff pays) intéressant qu’un PSP tiers fasse le monitoring d’1 seule personne. 

Pour exercer leurs activités d’initiateur de paiement, les PSIP doivent obtenir un agréement d’E de paiement de la part de l’ACPR, autorité de supervision compétente en FR. 

Les PICS : doivent adresser une demande d’enregistrement à l’ACPR. Dans les 2 cas, ces prestataires doivent rép à des exigences prudentielles + doivent être couvert par une assurance RC professionnelle. 

Les établissements de crédit, EP et EME qui souhaiteraient fournir également des services d’initiation de paiement et d’info sur les comptes devront se soumettre à une procédure d’extension d’agréement. 

Bouleversement pour les établissements gestionnaires de compte. La DSP2 oblige les banques à partager avec les tiers prestataires de services de paiement (PSP tiers) les données des comptes bancaires de leurs clients, en leur donnant accès au service de consultation de compte, émission de vitement… l’accord exprès du conso est nécessaire, il peut révoquer cette autorisation quand il veut. 

Avant DSP2, les agrégateurs de compte utiliser la technique du « screen scraping » (capture d’écran pour récup les données des comptes bancaire) à à ce moment là les banques n’était pas tenu de leur donner les infos bancaires, donc c’était le client qui le faisait. 

• Le titulaire du compte communique ses identifiant + code d’accès à l’agrégateur. Pas satisfaisant. Celui-ci se connecte sur le compte pour récup les données qui y figure. 

Cette méthode d’accès, de communication de ses codes à un tiers et collecte des données à RISQUE ELEVE DE FRAUDE ! Interdiction de donner ses données à un tiers car en cas d’usage frauduleux ça sera au client de couvrir cette négligence à source d’insécurité forte. 

La DSP2 interdit l’usage de cette technique, remplacée par des interfaces sécurisées dénommées API (Application Programming Interface). Ces interfaces de partage de données vont devoir être mises en place par les banques, en respectant des standards techniques. L’accès aux données du client sera ainsi sécurisé.

La banque va payer pour que de nouveaux acteurs lui fassent concurrence… 

La DSP2 encadre l’accès aux informations des comptes de paiement uniquement. Ce qui exclut, pour l’instant, les comptes d’épargne, comptes-titres, crédits…

CB perdue ou volée à dans ce cas le consommateur peut ne pas savoir vers qui se diriger. 

La DSP 2 dit qu’en cas d'OP de paiement non autorisée, la banque (PSP gestionnaire du compte) est le pt de contact unique pour l'utilisateur. Elle doit procéder au remboursement, même si la fraude provient d'un prestataire de service d'initiation de paiement (PSIP). La banque pourra ensuite se retourner contre le PSIP si ce dernier est responsable de l'opération.

Depuis le 13 janv 2018, le montant de la franchise en cas de transaction frauduleuse à la suite du vol ou perte de la CB a été abaissé à 50 € contre 150 € précédemment. Pour les OP frauduleuse effectuées av opposition : montant de 50 € max est laissé à la charge du titulaire si les transactions frauduleuses ont été validées avec son code confidentiel. 

• La carte perdue ou volée a été utilisée dans validation du code confidentiel

• La perte, le vol ou l’utilisation frauduleuse de la carte ne pouvait pas être détectée av le débit frauduleux 

• Les OP frauduleuses sont le fait d’un employé de la banque émettrice. La banque doit rembourser les OP frauduleuses au + tard 1 j ouvré AP la notif de l’usage frauduleux de la carte ? sauf si la banque soupçonne une fraude de la part du titulaire de la carte, le temps de procéder à des vérifs. 

La DSP2 généralise l'authentification forte pour les paiements et l'accès aux comptes, rendant l’indication seul du cryptogramme visuel situé au dos de la CB insuffisant. Désormais, chaque validation doit reposer sur au moins deux éléments d'authentification ou +, au lieu d’un seul. 

Ces 2 éléments d’authentification doivent appartenir à 2 catégories diff de facteurs d’authentification parmi les 3 catégories existantes (ART L133-4 CMF) :

• « Connaissance » (qlq chose que seul l’utilisateur connait) : MDP, code PIN, infos perso…
• « Possession » : (qlq chose que seul l’utilisateur possède) : un ordi, téléphone, bracelet connecté… 
• « Inhérence » (qlq chose que l’utilisateur est) : caractéristique biométrique : empreinte digitale, reconnaissance faciale, vocale… 

• L’accès au compte de paiement en ligne 
• Une OP de paiement électronique (virement ou paiement par carte)
• Une action exécutée par un mode de communication à distance, qui représente un risque élevé de fraude (ex : enregistrer un nouveau bénef de virement sur son compte bancaire en ligne). 

La commission souhaite que les propositions comprennent des mesures visant à uniformiser les règles entre les banques et les autres prestataires de Service de Paiement (PSP). 

L’UE saisi aussi cette opportunité pour faciliter le dév de l’OPEN BANKING (dév avec DPS2). Il est prévu de renforcer les OBL liées à la mise à disposition des APIs + simplifier certaines exigences d’authentification pour les consommateurs + introduire des interfaces d’autorisation client obligatoire. 

DSP2 : texte relativement neuf : 2018 à qu’est-ce qui justifie DSP3 à dév de l’IA générative qui permet des schémas de nouv fraudes : imitation de la voix d'un dirigeant pour obtenir un virement (fraude au président) ou usurpation du numéro et de la voix d'un conseiller pour inciter à transférer des fonds vers un compte frauduleux.

Cet ensemble comprend également des propositions visant à renforcer la protection contre la fraude et la protection des consommateurs. Les PSP devront adapter leurs systèmes d'indemnisation face aux nouvelles fraudes. Les consommateurs verront leurs droits de remboursement élargis, notamment en cas d'usurpation d'identité des PSP par les fraudeurs.

Pas une source de risque systémique à ce type de fraude est un type de risque à ligne rouge pour les banques. 

L'adoption des textes renforcerait la résilience et la compétitivité des paiements dans l'UE, mais nécessiterait la mise en conformité des investissements et efforts importants de la part des acteurs du secteur

Selon l'ART L. 133-19, IV du CMF, le payeur supporte les pertes liées à des opérations de paiement non autorisées s'il a gravement négligé de respecter les obligations de sécurité, comme la protection de ses données personnelles. Dans ce cas, la charge de la perte incombe entièrement au payeur à ça c’était la JP constante. 

Arrêt 23 oct 2024 : Personne victime d’une arnaque téléphonique :

Qu’est-ce que le spoofing téléphonique ?

Il s'agit d'une escroquerie où l'escroc se fait passer pour un conseiller bancaire et, en gagnant la confiance de la victime, obtient ses données de sécurité (comme le code de carte ou de virement) pour réaliser des virements et voler de l'argent.

En l’espèce perte d’environ 65 000 euros à en l’espèce il va se retourner C/ sa banque mais la banque va invoquer l’ART L133-19 à avec la faute de négligence du client. 

CDC : considère que : 

• Les victimes d’une arnaque au faux conseiller bancaire ne peuvent se voir reprocher une négligence grave et conservent leur droit à remboursement

Décision en faveur du consommateur. La CDC s’interroge sur l’arnaque, ou le client lambda ne peut pas être négligent lorsque lui-même ne peut pas se douter de la fraude (même numéro/voix). 

Avenir compliqué pour les banques… Texte qui favorise le partage de donnée et la mise en concurrence avec des acteurs qui n’ont pas la même culture de la sécu sur les données + JP de + en + favorable aux consommateurs ont pu dire que si on couple DP2 avec cette décision les banques ont du souci à se faire. 

Banque fondée en 1850 avec une solide réputation mais qui va se déclarer en faillite en septembre 2008 à cause de son exposition aux crédit subprimes.

Le crédit subprime : accordé en général pour couvrir le cout d’acquisition d’un bien immo, qui va au-delà du montant prévu pour acquérir un bien. Aux USA jusqu’aux années 2007 à spéculation immo très forte, crédit massif des ménages américains pour acquérir des logements. Les banques américaines vont avoir des politiques de crédit très accommodantes. Les banques vont prêter massivement, indépendamment des règles de prudences (même à de très mauvais dossier). Les banques accordent des prêts à taux variables, en cas de non-remboursement elle se couvre avec l’hypothèque sur le bien immo (aléa morale en D éco). Donne lieu à un crédit en vague : titrisation.

La titrisation : technique financière qui consiste à transférer à des investisseurs des actifs financiers tels que des créances (par exemle des factures émises non soldées ou des prêts en cours).

Vente à découvert : vente d'un bien dont on a pas encore la propriété (???)

Leman avait proposé comme toutes les banques américaines à massivement des crédits subprimes + investit dans des instruments financiers à travers la titrisation (exposé au risque). A ce moment le marché immo se retourne. Les premiers consommateurs font défaut, donc les banques saisissent et vendent. Plus pers achètent les biens, ils ne valent plus rien. Les portefeuilles d’actif des banques ne valent plus rien aussi. Première faillite d’une banque systémique. 

Crise IMPORTANTE : la FED était obligée de lâcher Leman Brother car risque gros si elle perd l’AIG à géant de l’assureur (assurance-crédit). La FED a craint qu’elle fasse défaut, elle a donc sacrifié à la place Leman Brother. 

La crise donne lieu à des faillites en cascades. Le crédit mutuel fortement exposé à Leman Brother (même dans un secteur où l’on mutualise les risque à secteur fortement exposé aux banques). Montre que si un acteur fait défaut, tout le monde fait défaut. 

Il y a tjrs des liquidateurs qui travaillent sur la liquidation de Leman à essaye de trouver des actives. Ex : 100aines de mlld de $ demandé par les filiales européennes. Il y a autant de juge saisi qu’il y aura de réponses différentes, avec des solutions différentes à non satisfaisant… 

AV cette crise aucune règle juridique permettant de régler le sort d’une banque systémique en faillite. Cela donne lieu à un pan de nouvelles règles. 

 Service bancaire en ligne, assuré par une banque Islandaise, proposé en ANG et au P-B (aux consommateurs) via des succursales. En Oct. 2008 : le système islandais s’effondre, la banque nationalisée est mise sous séquestre tous les avoirs + actifs sont mis sous scellés. 

Les déposants, qui avaient des dépôts chez ICE SAVE, ne peuvent plus récup leurs avoirs (plus d’accès à leur compte). Montant important, les autorités nationales du P-B garantissent les dépôts de leur ressortissant nationaux et dédommage les consommateurs à hauteur de 100 000 euros. En ANG le gouv britannique dédommage intégralement les déposants britanniques. 

ANG + P-B se retourne C/ le gouv islandais pour obtenir le remboursement. Des négociations ont lieu, l’accord de refinancement devait être ratifié par le parlement islandais. Mais une crise politique majeure éclate, la loi de ratification fait l’objet d’un débat violent à la pop manifeste dans les rues. La population subit des mesures inédites d’inflation. La crise bancaire devient une crise politique, puis crise sociale puis juridique. Le parlement soumet la question au référendum : 2 X réponses : NON. 

Cela montre que si on ne prévoit pas de mesures extraterritoriales, on est incapable d’endiguer les effets d’une crise, règlement ne peut être qu’internationale. L’autre leçon à on ne peut plus demander aux citoyens d’éponger les dettes. Aussi, injustice car certains clients intégralement remboursé et d’autre qu’à hauteur d’un certains montant. 

• Il faut des règles harmonisé, internationales, de garantie des dépôts. 

Chypre est au bord de la faillite en mars 2013 souffre d’une image qui n’est pas très bonne en terme de compte offshore, d’évasion fiscale, d’argent provenant de transactions illicites, blanchiment… et au moment de la crise, les comptes publics et le secteur bancaire chypriote sont en très grande difficulté.

L’Europe décide alors, en urgence ( 1 nuit) , de mettre en place un plan de sauvetage avec le FMI qui prévoit une aide de 10 Milliards d’€. Mais, cette aide est conditionnée à des mesures qui vont affecter le système bancaire. Ex : Chèque de 10 Milliards en échange d’une restructuration du système bancaire. Mais en échange Chypre s’engage a restructuré son tissu bancaire.

Dans cette affaire, on a mit en contribution les actionnaires de certaines banques et les dépôts vont être utilisé pour récupérer des fonds.

Cette affaire va donner des idée au régulateur européenne pour constructive un nouvelle régulation euro. On a brisé le tabou d cela garantie du dépôt (LE PLAN QUI AVAIT ETE ACCCEPTE COMPRENAIT UNE GARANTIE DES DEOTS).

En matière bancaire t financier : présence d’acteurs globalisé très concentré dans le sens ou on a des mastodonte qui vont concentrer les flux et les risques. La question est de savoir comment réinventé un cadre juridique permettant d’endiguer une crise a l’celle d’un acteur.

Ce projet d’Union bancaire né dans l’esprit du législateur à partir de 2008 va reposer sur 3 piliers : 

- Supervision bancaire => BCE => Supervision des banques de la Zone Euro,

    - Mécanisme de résolution => Procédures + Fonds => Démantèlement ou reprise des banques en faillite, 

    - Garantie des dépôts => Dispositif => Empêcher des mouvements de paniques et des retraits de dépots bancaires. 

En un peu plus de 5 ans, on transforme un Etat du monde où on ne sait pas comment faire à un Etat où l’on a une véritable union bancaire. 

    L’article 127 TFUE, point 6 est une disposition très importante qui consacre le rôle de la BCE comme le pilier de cette union bancaire. Elle aura des missions spécifiques en matière de contrôle prudentiel (tout ce qui concerne le contrôle des risques systémiques : s’assurer qu’un bilan bancaire n’es pas constitué d’éléments mauvais).

RÈGLEMENT (UE) No 1024/2013 DU CONSEIL du 15 octobre 2013 confiant à la Banque Centrale européenne des missions spécifiques ayant trait aux politiques en matière de surveillance prudentielle des établissements de crédit. (Le règlement ci-après). 

RÈGLEMENT (UE) No 1022/2013 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 22 octobre 2013 modifiant le règlement (UE) no 1093/2010 instituant une Autorité européenne de surveillance (Autorité bancaire européenne) en ce qui concerne des missions spécifiques confiées à la Banque centrale européenne en application du règlement (UE) no 1024/2013.

On reteint qu’on a un système de double étage dans lequel la BCE va jouer un rôle fondamental, elle est en charge de la supervision directe unique des grandes banques systémiques. 

Pour ces grandes banques, c’est directement la BCE qui a une fonction de surveillance prudentielle. On a ici une supervision directe et unique. On vise uniquement les grandes banques. 

On sait également en Europe qu’on a une multitudes de petites banques qui ne sont pas systémiques. Ce sont les banques centrales nationales (BCN) qui vont être en charge de la supervision. 

Mais le texte prévoit que la BCE, a tout moment, peut reprendre la main. C’est une délégation. Ex : elle estime qu’une banque nationale n’est pas assez scrupuleuse dans le contrôle et reprend donc la main sur la supervision.

La BCE se voit dotée de nouvelles missions. Un nouveau superviseur s’installe en Europe, le but est d’éviter que le contribuable ne paye pour les banques, et de veiller à la solidité du système bancaire. La BCE s’est restructurée en montant de nouvelles équipes appelées « Join supervisory team » qui circuleront partout dans l’UE pour s’assurer de la solidité des banques. 

    Les articles 4 et 18 du règlement (UE) 1024/2013 posent les nouvelles missions de la BCE qui va avoir des fonctions nouvelles de surveillance et un pouvoir de sanction.

La BCE sera en charge de délivrer les agréments pour les établissements de credit. Elle va aussi évaluer les acquisitions, cessions de participation dans des établissements de credit, surveiller les nominations des dirigeants, avoir un droit de regard sur les règles de gouvernance de la banque.

On constate que ce droit nouveau qui se met en place est fortement dérogatoire au droit commun. En droit des sociétés, sur la décision du dirigeant d’une SA, a aucun moment la banque centrale n’intervient. Ici, c’est ce qui a été fait = zone de friction avec les règles du droit des sociétés qu’il va falloir articuler. 

Elle va mener des contrôle et a surveiller des  conglomérat financier avec des contrôles prudentiels. Réglementation qui a pour but d’éviter que la banque prenne des risques 

=> ratio Bale II = fond propre réglementaire/ risque de crédit ( risque liée au non rebroussement d’un prêt ) + risque du marché ( activité de la banque sur les marchés financiers) + risque opérationnelle (e x: le tarder qui connait le risque massive) = 8%

En résumé : La BCE a de nouvelles fonctions de surveillance très intrusives, elle s’immisce dans le fonctionnement des banques de manière complètement nouvelle et dérogatoire au droit des sociétés.

Article 18 du règlement : La BCE a aussi un pouvoir de sanctions pécuniaires, administrative. Elle peut sanctionner les acteurs qu’elle supervise. Elle a lue pouvoir de sanction sur l’agrément

Le fonctionnement interne des organes de supervision

La BCE initialement est une banque centrale, elle a alors un mission monétaire.

Avec la mise en place de l’UB, on a des missions de surveillance et de contrôle prudentiel.

Cette union bancaire a faire naitre de prorogatives dans le BCE,  dont le mandat a é&té étroitement calibré pour des missions monétaires. 

La question est de savoir si la BCE ne sort pas de son mandat avec les attributions de l’union bancaire ?

La BCE va avoir la supervision directe des banques importantes. Pour les banques qui le sont moins, c’est l’ACPR qui a la supervision directe, mais la BCE, à tout moment, peut reprendre la main sur le superviseur national. 

La plupart des entreprises du secteur bancaire et de l’assurance sont dans le périmètre de contrôle soit de la BCE soit de l’ACPR en France, mais pas tous les acteurs. 

En effet, on a des acteurs qui ne relèvent pas de l’activité bancaire mais financière, pour eux (organismes de titrisation, société civile de placements immobiliers…), l’agrément provient de l’AMF. En fonction de la nature de l’activité, on a un agrément délivré soit par la BCE soit par l’AMF. 

Les pouvoirs de l’ACPR

• Pouvoir de surveillance
• Pouvoir de sanction : autorité puissante

La finalité du mécanisme est d'éviter de recourir systématiquement au contribuable -> cer mécanisme a pour objet que la crise soit traiter uniquement à l'échel de la banque.

Création du FRU -> fond de résolution unique dans lequel on va aller puiser au cas ou.

Le but est de gérer les possibilités de faillite -> il reviendra à un CRU -> conseil de résolution unique, de metre en place le "bail-in" par opposition au bail-out (=situation dans laquelle les contribuables se portent au secours de l'insitution). -> le bail-in fait peser les conséquences de la faillite d'une insitution financière sur le secteur privé -> le mécanisme a la particularité de s'enclencher ultra rapidement -> en 24 h