Bancaire S3 - la supervision bancaire

Historique : 2008 : concepteur inconnu qui se fait appeler Satoshi Sakamoto. De très nb Blockchain, on peut les utiliser pour autre chose que la crypto. 

Certaines entreprises envisagent la création de blockchain dites « PV » dont l’accès et utilisation sont limités à un certain nb d’acteur à NON-SENS car elle doit être PUBLIC. 

Toute blockchain publique fonctionne nécessairement avec une monnaie ou un token (jeton) programmable. Bitcoin est un exemple de monnaie programmable. 

Les transactions entre les utilisateurs du réseau à regroupées par blocks. Chaque Block est validé par des nœuds du réseau « les mineurs », selon des techniques qui dépendent du type de Blockchain. Dans la Blockchain Bitcoin àtechnique appelé « proof of Work » à résolution de Pb algorithmiques. 

Une fois le block validé à il est horodaté + ajouté à la chaine de block. La transaction est visible pour le récepteur + l’ens du réseau. Ce processus peut prendre du temps selon la Blockchain : (environ une dizaine de minutes pour Bitcoin, 15 secondes pour Ethereum). 

• La décentralisation complétée par son caractère transparent + sécurisé promet des applications + large que le domaine monétaire. 

On peut classer l’utilisation des blockchains en plusieurs catégories : 

Appli monétaire : utilisation de monnaies mondiales (Bitcoin/ Ether…) à étalon international et un potentiel de valeur refuge pour certaines populations soumises à l’inflation + non bancarisées. 

La tokenisation d’actifs de valeur : (immobilier, jeux vidéo…) à ex : la finance décentralisée à on récréer le double d’un ART sous forme digitale (œuvre d’art, tableau, photo : on code l’image…). 

Les applis financières + complexes : hedge funds, assurance, prêts…). 

•Les applications de certification utilisant la blockchain comme un notaire décentralisé, afin de garantir l’intégrité de fichiers numériques à avoir qlq chose de + transparent… 

La blockchain donne lieu à des échanges particuliers, entièrement automatisé par des algorithmes, avec une rétribution spécifique (Bitcoin/ Ether) attribués à des acteurs décentralisés qui contrôlent la validité des transactions. 

La genèse– La blockchain recouvre trois moments indissociables :

• Prouesse technologique
• Nouv valorisation des actifs : Contrairement aux billets qui représente une créance + puissance de la zone éco, en soit le bitcoin ne vaut rien, seulement ligne de code, le génie est de dire que l’on va créer un code que les gens vont acheter à mais derrière à rien. 
• Projet politique, assumé et conscient 

Libertariens à ex John Perry Barlow : idée que sur le cyber espace on créer un univers où les institutions traditionnels (E, instruments juridiques), ne sont pas les bienvenue à pas de souveraineté. Nouv qui obéirait aux règles du protocole info, instructions algorithmiques. 

Risque d’ubérisation du syst bancaire. La blockchain à la mode les 4/5 dernières années (on en parle -). L’industrie bancaire a mis en place toute une série pour utiliser la blockchain en interne. 

as si vrai, on va s’intéresser aux attaques possibles. 

• On dit qu’elles sont infalsifiables, modèle économique de la théorie des jeux. Fiabilité pas parfaite, on ne recherche pas l’exactitude à 100%. 

Ici incitation financière des mineurs, risque de conflit d’intérêt. Syst de preuve de la blockchain repose sur le consensus des mineurs à intérêt financier à valider les OP. 

Attaques sur les Blockchains : on en a tous les J. Pas fiable à 100% à attaque des 51 à goldfinger àrepose sur l’idée que des mineurs pourraient s’emparer du réseau Bitcoin : suffit d’avoir 51% des nœuds pour prendre le contrôle de la chaine à Aff emblématique : 

• a perdu 50 Mlls de dollar dans un piratage, la Blockchain Ether a utilisé des formes d’investissement en capital risque (manière de lever de l’argent) à victime de l’attaque des 51. 

Dans cette Aff un certain nb d’acteur de la blockchain se sont rendus compte d’une faille d’un codage à manière dont code est écrit, on pouvait le répliquer infiniment. Ils ont fait une action en répétition pour obtenir le max de Bitcoin : question de savoir s’il fallait laisser faire les acteurs ? à Profite juste de la faille. D’autre disait qu’il fallait corriger. Fork : il y a eu 2 blockchains diff : ceux qui voulait conserver la blockchain d’origine / pour les libertariens : code is law : pour eux le code info c’est la loi des parties donc il faut appliquer le code informatique même s’il connait un bug/ erreur

Ici cette affaire montre que si le code est mal rédigé la blockchain n’est pas robuste.

Sans solution juridique, un code info s’exécute mais mal, bien ou pas comme espérée… Le PB c’est que sur une chaine de block pers n’est proprio de la chaine… la Blockchain échappe aux règles de D classique : code is law. 

Il faut être vigilant, il faut comprendre comment elle fonctionne, autant de cas qu’il y a de code à c’est DES Blockchain (pas 1 seule). Aucune n’est fiable à 100% (même avec 100% de consensus), une vérité algorithmique n’est pas une vérité juridique à rapport parlementaire 2018. 

La formule Code is law : expression de Laurence Lessing : jour sur le mot « code » à juridique/ informatique : veut dire que l’informatique peut remplacer le D. innovation qui vient concurrencer le syst juridique sur le terrain de la preuve à sur la Blockchain, il y a un mode de preuve révolutionnaire. 

Ici bouleversement pour prouver son D de propriété (normalement tiers de confiance comme un notaire) ici idée de supprimer le tiers de confiance et privatiser la preuve et donc la confiance. 

Les smarts contractsà à exécution automatique à obl juridique est inscrite dans un algorithme et le contrat adossé à des objets connectés : 

• Modalité d’exécution du contrat, pas un contrat car ce ne faut jamais que mettre en œuvre une obl contractuelle préexistante
• L’intérêt : pouvoir gagner du temps et de cours circuiter les intermédiaires. 

Ex : Dans le domaine agricole, un smart contract d’assurance peut automatiser l’indemnisation en cas de sécheresse. Si l'événement est reconnu, le paiement est instantané, évitant les délais liés à l'expertise traditionnelle.

On va pouvoir mettre du droit dans les choses, on va pouvoir intégrer les suretés légales dans les objets connectés. 

Ex : achat d’une voiture à crédit, je m’engage à rembourser tous les mois une partie du crédit, mais je n’honore pas les échéances de prêt. Si le concessionnaire a une sureté sur la voiture normalement il doit appeler l’huissier pour saisir le véhicule. Mais CAS d’une saisie sur une voiture connectée, en cas de non-respect du contrat on bloque directement le véhicule par les algorithmes à les suretés se trouvent incorporés dans les biens pas besoin de passer par un huissier. 

Potentiel outils algorithmiques qui pourraient remplacer notre logique juridique, régler des contentieux, relation entre individus… 

Fil rouge à savoir dans la gouvernance par les nb de quelle manière le nb peut concurrencer le D. 

Une des propositions est d’intégrer dans le CCV= l’automaticité de l’exécution du Smart contract, en insérant un nouvel Al 3 ART 1342 CCV à adopté à + de 86% par les notaires, les pros du D essayent de rester à J. 

Nouvelle gouvernance de donné dans lequel l’algorithme est un moyen puissant. 

Le risque à moyen terme est de voir émerger à coté du D un monde parallèle, sorte d’avatar numérique de la réalité économique, juridique et financière. Le cyberspace crée un moyen intelligent, construit + décentralisé sans tiers de confiance, permet de valoriser des actifs matériels, permettre leur échange + contrôler la bonne exécution. Ne veut pas dire à fin du syst juridique. 

Il y a quand même des principe Généraux du D : resp civile, RD, contractuelle, on peut tjrs s’y rattacher. Un contrat sous forme de Smart contract est dure à lire, il faut faire appels à des informaticiens à contentieux très complexe !!!!

On réinvente des principes connus de D des contrats. Il faudra comprendre la méthode formelle car juste une ligne de code, il faut substantiellement voir qu’elle produit des D, effets, le regard juridique qu’on va porter est essentiel. 

Cadre réglementaire de l’UE, on passe d’un paysage bancaire et financier avec un quasi-monopole à l’émergence de nouv acteurs. Le LEG a voulu ouvrir le marché à d’autre acteur : EME, Fintech, SP… 

3^e directive sur les services de paiement et règlement sur les services de paiement : mise en concurrences des acteurs bancaire et financier. La commission européenne souhaite mettre en place un règlement FIDA : accès aux données financières à pour mettre en œuvre l’Open finance. 

Open finance : Avantages : idées que tous les flux économiques passent par la data et on pourrait utiliser un partage dans le but d’améliorer la but C/ le LCB-FT. Si on met en place les data dans un espace sécurisé + partagé on va pouvoir favoriser la concurrence : ex : Banque/ petites fintechs. 

Risques : vulnérabilité sur les données : ex : SG paye bcp de cybersécurité, les banques n’ont jamais subi d’attaque forte, elles ont les moyens financiers pour l’assurer. Les petits acteurs n’ont pas la même valeur du risque. 

Transposée dans les D nationaux et mise en œuvre par tous les États membres avant le 1er novembre 2009

Vise à garantir l’accès équitable et ouvert aux marchés de paiement + à renforcer la protection des consos à ouvre le marché des paiements à de nouv acteurs qui sont les établissements de paiement. 

-Harmonisation des règles  La DSP établi un cadre juridique harmonisé pour les Services de paiement (SP) dans l’UE, facilitant les paiements transfrontaliers + réduisant les coûts associés. 

-Création du statut E de paiement  permet à des institutions non bancaires d’entrer sur le marché des paiement  augmente la concurrence + innovation 

-Espace unique de paiement en euro : SEPA la directive a fourni la base juridique nécessaire à sa création  vise à harmoniser les moy de paiement en euro. 

-Protection des consos : introduit des mesures pour protéger les consommateurs, en réduisant les délais de traitement des paiements électroniques + limitant les frais pour les utilisateurs. 

Dire que le secteur bancaire, est un secteur où il manque de la concu, donc que les consos payent trop cher des services bancaires et de paiement. Afin d’ouvrir ce marché à des nouv concurrents la DSP crée un nouv marché àpour les Services de paiement (SP) à objectif de faciliter les consommateurs. 

Objectif de mise en concu : mtn des acteurs non bancaires vont pourvoir proposer des SP (cartes, virements, mise en place de prélèvements, porte-monnaie électroniques, ainsi que des SP par téléphone ou par internet) à lié à un compte de paiement qui lie le consommateur avec l’établissement (pas un compte de dépôt : ex PayPal). 

Nb : Le compte de paiement offrira des fonctionnalités limitées par rapport à un compte de dépôt. Il permettra de recevoir un salaire, utiliser une carte de paiement, et effectuer des virements, mais n'offrira ni chéquier ni découvert. Les crédits seront également restreints, avec une durée maximale d'un an.

 Idée de créer des règles harmonisées : communes aux SP. 

baisse sur les prix/ services en faveur des consos. Les établissements de paiement (EP) auront des obl allégées par rapports aux banques notamment à en ce qui concerne leurs capitaux. 

Néanmoins, les utilisateurs devraient avoir les mêmes garanties de sécu que sur les OP effectuées par l’intermédiaire de ces établissements. Les EP devront avoir des assurances, mais ils ne sont pas adhérents du fonds de garantie bancaire qui garantie les dépôts de 100 000 € en cas de faillite d’un établissement bancaire. 

situation d’inégalité concurrentielle pour un même service à régulation très forte ce qui explique qu’au mois de sept : des critiques ont été remontées à la commission euro : pour que les banques euro bénef d’un allégement de la réglementation prudentielle, les grds acteurs bancaires américain bénef d’un allégement à crée de la concurrence entre européens et américains.

ça va favoriser des acteurs qui pourront produire des risques systémiques, surtout que les + grds faillites viennent des USA à idée que les acteurs européens se fassent racheter par des acteurs étrangers. 

• Ce n’est pas neutre : favorable aux consos mais dangereux pour les acteurs trad. 

En cas de perte ou de vol de carte, tous les retraits ou paiement pratiqués AP l’opposition sont à la charge de la banque, le client reste tenu des OP réalisées AV à dans la limite de 150 €.

Cas de contrefaçon/ usage frauduleux d’une carte alors que celle-ci est tjrs en possession du client : la banque devra créditer toute la somme concernée. 

Pour les opérations réalisées sans l’accord du client :

Le client peut les contester (utilisation de fichier, carte volée, utilisation des données d’ID de la carte…) pdt une durée de 13 mois AP l’OP contestée. Renversement de la charge de la preuve à TRES protecteur du consommateur àrenverse le risque sur l’établissement qui devra garantir le conso. 

Pour tous les cas de contestation (OP autorisée/ mal exécutée), c’est la banque ou à l’EP de prouve qu’aucune erreur n’a été commise ou que l’OP avait été valablement autorisée. 

Plsrs corps de règles à protection du conso. Elle apporte de nouv innovations en faveur de l’open finance + va créer de nouv catégories de prestataires de SP tiers. 

Cette 2^e directive étend la régulation européenne à de nouv prestataires de services de paiement (PSP tiers) àencadre le partage des données bancaires et renforce les exigences de sécu en faveur des consommateurs. 

Transposition : la directive européenne (2015/2366) sur les SP dans le marché intérieur a été adoptée le 25 nov 2015 avec entrée en vigueur dans toute l’UE au 13 janvier 2018. 

la DSP 2à régule + encadre l’activité de nouv acteurs dans le secteur bancaire. Elle étend le statut de PSP aux tiers de paiement (PSP T) qui disposent de nouv statut, il faut distinguer : 

• Les PSP « gestionnaires de compte », les banques essentiellement qui détiennent les comptes de leur clients à banque. 
• Les PSP Tiers : entreprises autres que les banques qui accèdent aux comptes ouverts dans les établissements bancaires classiques. 

Entreprise autre que les banques, pour les PSP tiers, 2 nouv statuts sont créés : 

• Prestataire de services d’info sur les comptes (PSIC) : fourni des services d’ « agrégation » d’info à objectif de récolter des infos. 

Il y a une fintech qui va proposer de télécharger une Appli qui fait un Dash Board de vos dépenses (ex : pour l’énergie, bien être…) apporte une vue à 360 des diffs dépenses à ce prestataire agréer ces données + les reformates de manière + lisible. 

• Prestataire de services d’initiation de paiement (PSIP) : fournir de nouv types de SP, par exemple pour traiter + faciliter les transactions entre e-commerçant et la banque et l’acheteur. 

En tant que PSIP, ces intermédiaires proposent des SP parallèlement à ceux déjà existant à , en créant un lien direct entre le débiteur et le bénéficiaire du paiement, sans passer par les acteurs bancaires et financiers classiques.

A terme, ces paiements devraient remplacer le paiement par carte ou portefeuilles électronique pour le commerce en ligne. 

Ce n’est plus le client qui donne l’ordre à sa banque de payer son créancier en utilisant CB/ chèque. C’est l’intermédiaire (PSP T) qui initie le paiement directement depuis le compte bancaire de son client et à sa demande, le + souvent sous forme de virement. Ex : SlimPay, SOFORT Banking…

En couplant les 2 statuts d’agrégateur d’informations et de PSIP un consommateur pourra effectuer directement des virements entre ses différents comptes bancaires, sans avoir à se rendre sur le site de sa ou de ses banques. 

Utile pour les pers fortunées ayant plsrs comptes (diff pays) intéressant qu’un PSP tiers fasse le monitoring d’1 seule personne. 

Pour exercer leurs activités d’initiateur de paiement, les PSIP doivent obtenir un agréement d’E de paiement de la part de l’ACPR, autorité de supervision compétente en FR. 

Les PICS : doivent adresser une demande d’enregistrement à l’ACPR. Dans les 2 cas, ces prestataires doivent rép à des exigences prudentielles + doivent être couvert par une assurance RC professionnelle. 

Les établissements de crédit, EP et EME qui souhaiteraient fournir également des services d’initiation de paiement et d’info sur les comptes devront se soumettre à une procédure d’extension d’agréement. 

Bouleversement pour les établissements gestionnaires de compte. La DSP2 oblige les banques à partager avec les tiers prestataires de services de paiement (PSP tiers) les données des comptes bancaires de leurs clients, en leur donnant accès au service de consultation de compte, émission de vitement… l’accord exprès du conso est nécessaire, il peut révoquer cette autorisation quand il veut. 

Avant DSP2, les agrégateurs de compte utiliser la technique du « screen scraping » (capture d’écran pour récup les données des comptes bancaire) à à ce moment là les banques n’était pas tenu de leur donner les infos bancaires, donc c’était le client qui le faisait. 

• Le titulaire du compte communique ses identifiant + code d’accès à l’agrégateur. Pas satisfaisant. Celui-ci se connecte sur le compte pour récup les données qui y figure. 

Cette méthode d’accès, de communication de ses codes à un tiers et collecte des données à RISQUE ELEVE DE FRAUDE ! Interdiction de donner ses données à un tiers car en cas d’usage frauduleux ça sera au client de couvrir cette négligence à source d’insécurité forte. 

La DSP2 interdit l’usage de cette technique, remplacée par des interfaces sécurisées dénommées API (Application Programming Interface). Ces interfaces de partage de données vont devoir être mises en place par les banques, en respectant des standards techniques. L’accès aux données du client sera ainsi sécurisé.

La banque va payer pour que de nouveaux acteurs lui fassent concurrence… 

La DSP2 encadre l’accès aux informations des comptes de paiement uniquement. Ce qui exclut, pour l’instant, les comptes d’épargne, comptes-titres, crédits…

CB perdue ou volée à dans ce cas le consommateur peut ne pas savoir vers qui se diriger. 

La DSP 2 dit qu’en cas d'OP de paiement non autorisée, la banque (PSP gestionnaire du compte) est le pt de contact unique pour l'utilisateur. Elle doit procéder au remboursement, même si la fraude provient d'un prestataire de service d'initiation de paiement (PSIP). La banque pourra ensuite se retourner contre le PSIP si ce dernier est responsable de l'opération.

Depuis le 13 janv 2018, le montant de la franchise en cas de transaction frauduleuse à la suite du vol ou perte de la CB a été abaissé à 50 € contre 150 € précédemment. Pour les OP frauduleuse effectuées av opposition : montant de 50 € max est laissé à la charge du titulaire si les transactions frauduleuses ont été validées avec son code confidentiel. 

• La carte perdue ou volée a été utilisée dans validation du code confidentiel

• La perte, le vol ou l’utilisation frauduleuse de la carte ne pouvait pas être détectée av le débit frauduleux 

• Les OP frauduleuses sont le fait d’un employé de la banque émettrice. La banque doit rembourser les OP frauduleuses au + tard 1 j ouvré AP la notif de l’usage frauduleux de la carte ? sauf si la banque soupçonne une fraude de la part du titulaire de la carte, le temps de procéder à des vérifs. 

La DSP2 généralise l'authentification forte pour les paiements et l'accès aux comptes, rendant l’indication seul du cryptogramme visuel situé au dos de la CB insuffisant. Désormais, chaque validation doit reposer sur au moins deux éléments d'authentification ou +, au lieu d’un seul. 

Ces 2 éléments d’authentification doivent appartenir à 2 catégories diff de facteurs d’authentification parmi les 3 catégories existantes (ART L133-4 CMF) :

• « Connaissance » (qlq chose que seul l’utilisateur connait) : MDP, code PIN, infos perso…
• « Possession » : (qlq chose que seul l’utilisateur possède) : un ordi, téléphone, bracelet connecté… 
• « Inhérence » (qlq chose que l’utilisateur est) : caractéristique biométrique : empreinte digitale, reconnaissance faciale, vocale… 

• L’accès au compte de paiement en ligne 
• Une OP de paiement électronique (virement ou paiement par carte)
• Une action exécutée par un mode de communication à distance, qui représente un risque élevé de fraude (ex : enregistrer un nouveau bénef de virement sur son compte bancaire en ligne). 

La commission souhaite que les propositions comprennent des mesures visant à uniformiser les règles entre les banques et les autres prestataires de Service de Paiement (PSP). 

L’UE saisi aussi cette opportunité pour faciliter le dév de l’OPEN BANKING (dév avec DPS2). Il est prévu de renforcer les OBL liées à la mise à disposition des APIs + simplifier certaines exigences d’authentification pour les consommateurs + introduire des interfaces d’autorisation client obligatoire. 

DSP2 : texte relativement neuf : 2018 à qu’est-ce qui justifie DSP3 à dév de l’IA générative qui permet des schémas de nouv fraudes : imitation de la voix d'un dirigeant pour obtenir un virement (fraude au président) ou usurpation du numéro et de la voix d'un conseiller pour inciter à transférer des fonds vers un compte frauduleux.

Cet ensemble comprend également des propositions visant à renforcer la protection contre la fraude et la protection des consommateurs. Les PSP devront adapter leurs systèmes d'indemnisation face aux nouvelles fraudes. Les consommateurs verront leurs droits de remboursement élargis, notamment en cas d'usurpation d'identité des PSP par les fraudeurs.

Pas une source de risque systémique à ce type de fraude est un type de risque à ligne rouge pour les banques. 

L'adoption des textes renforcerait la résilience et la compétitivité des paiements dans l'UE, mais nécessiterait la mise en conformité des investissements et efforts importants de la part des acteurs du secteur

Selon l'ART L. 133-19, IV du CMF, le payeur supporte les pertes liées à des opérations de paiement non autorisées s'il a gravement négligé de respecter les obligations de sécurité, comme la protection de ses données personnelles. Dans ce cas, la charge de la perte incombe entièrement au payeur à ça c’était la JP constante. 

Arrêt 23 oct 2024 : Personne victime d’une arnaque téléphonique :

Qu’est-ce que le spoofing téléphonique ?

Il s'agit d'une escroquerie où l'escroc se fait passer pour un conseiller bancaire et, en gagnant la confiance de la victime, obtient ses données de sécurité (comme le code de carte ou de virement) pour réaliser des virements et voler de l'argent.

En l’espèce perte d’environ 65 000 euros à en l’espèce il va se retourner C/ sa banque mais la banque va invoquer l’ART L133-19 à avec la faute de négligence du client. 

CDC : considère que : 

• Les victimes d’une arnaque au faux conseiller bancaire ne peuvent se voir reprocher une négligence grave et conservent leur droit à remboursement

Décision en faveur du consommateur. La CDC s’interroge sur l’arnaque, ou le client lambda ne peut pas être négligent lorsque lui-même ne peut pas se douter de la fraude (même numéro/voix). 

Avenir compliqué pour les banques… Texte qui favorise le partage de donnée et la mise en concurrence avec des acteurs qui n’ont pas la même culture de la sécu sur les données + JP de + en + favorable aux consommateurs ont pu dire que si on couple DP2 avec cette décision les banques ont du souci à se faire.