L’Union européenne vient de franchir une nouvelle étape décisive dans la lutte contre la fraude en ligne avec un accord politique ambitieux sur les services de paiement. Conclu le 27 novembre 2025 entre le Parlement européen et les États membres, ce « payment services deal » actualise en profondeur le cadre existant (PSD2) via la nouvelle directive PSD3 et le règlement PSR. Au cœur de cette réforme : la sécurisation des paiements d’e‑commerce, la responsabilisation accrue des banques et des plateformes, et une transparence totale sur les frais supportés par les consommateurs.
Ce tournant réglementaire ne surgit pas de nulle part. Il s’inscrit dans une stratégie plus large de l’UE visant à assainir le marché unique du numérique : lutte contre la fraude aux paiements, contre la fraude à la TVA dans l’e‑commerce, et encadrement des grandes plateformes. Entre la généralisation de la « Verification of Payee », la mise en place de la base de données CESOP et le paquet « VAT in the Digital Age », les acteurs du commerce en ligne , banques, fintechs, marketplaces, dropshippers , entrent dans une ère de conformité renforcée où la tolérance pour les zones grises se réduit drastiquement.
1. Ce que change l’accord UE 2025 pour les paiements en e‑commerce
Le nouveau paquet « services de paiement » repose sur deux piliers : le règlement PSR, directement applicable dans tous les États membres, et la directive PSD3, qui devra être transposée dans les droits nationaux. Ensemble, ils constituent la réponse de l’UE à la montée en puissance des fraudes en ligne, qu’il s’agisse de piratage de données de cartes, d’arnaques aux virements ou de publicités trompeuses poussant à des achats frauduleux. L’objectif est clair : faire des paiements numériques un terrain de confiance plutôt qu’un terrain miné.
Une évolution majeure concerne la répartition des responsabilités en cas de fraude. Les banques et prestataires de services de paiement (PSP) verront leur responsabilité explicitement renforcée : dès lors qu’un manquement aux mécanismes de prévention de la fraude est constaté, ils devront assumer les pertes subies par leurs clients. Ils sont également tenus de geler les transactions suspectes, ce qui renforce leur rôle de premier rempart opérationnel. Pour les e‑commerçants, cela signifie que la qualité de leur relation avec leurs PSP et la robustesse de leurs intégrations de paiement deviennent des enjeux stratégiques.
Autre nouveauté d’envergure : l’implication directe des plateformes en ligne dans la chaîne de responsabilité. Celles-ci devront retirer rapidement les annonces frauduleuses, sous peine de supporter indirectement les coûts de remboursement assumés par les banques au profit des victimes. Le message est sans ambiguïté : les marketplaces et plateformes sociales ne peuvent plus se considérer comme de simples intermédiaires neutres lorsqu’elles monétisent des contenus publicitaires susceptibles de piéger les consommateurs.
2. Des obligations antifraude renforcées pour les banques et PSP
Le nouveau cadre impose aux prestataires de services de paiement un arsenal de mesures techniques et organisationnelles. D’abord, ils devront mettre en œuvre systématiquement l’authentification forte du client (SCA) dans les parcours de paiement en ligne, en combinant plusieurs facteurs d’identification. Si la SCA existait déjà avec PSD2, PSD3 et le PSR visent à combler les lacunes de mise en œuvre et à intégrer plus largement les innovations comme la biométrie, tout en équilibrant sécurité et fluidité de l’expérience utilisateur.
Ensuite, les PSP sont tenus de fournir aux utilisateurs des outils de blocage proactif des transactions. Concrètement, il s’agit de fonctionnalités permettant de plafonner certains types de paiements, de mettre en liste noire des bénéficiaires ou des pays, ou de suspendre temporairement un moyen de paiement depuis une application mobile. Pour les marchands en ligne, cette nouvelle granularité du contrôle côté client implique de travailler davantage sur la confiance, la clarté des libellés de paiement et la gestion des échecs de transaction liés à ces blocages.
Enfin, un volet clé repose sur le partage de données de fraude. Les PSP seront obligés d’échanger entre eux , via des plateformes IT dédiées supervisées par l’Autorité bancaire européenne (ABE) , des informations relatives aux comptes frauduleux, aux schémas d’attaques et aux transactions suspectes. L’ABE devra mettre sur pied une infrastructure d’échange ainsi qu’un reporting annuel agrégé sur la fraude de paiement dans l’UE. Ce changement marque le passage d’une approche isolée, banque par banque, à un système de défense mutualisé où l’intelligence collective devient un atout central.
3. La “Verification of Payee” : un bouclier contre les faux virements
Au cœur des nouvelles mesures se trouve la généralisation de la « Verification of Payee » (VoP), ou vérification du bénéficiaire. Depuis le 9 octobre 2025, ce dispositif est obligatoire pour tous les paiements en euros au sein de l’espace SEPA, y compris les virements instantanés. Avant l’exécution du paiement, la banque doit contrôler la cohérence entre le nom du bénéficiaire et l’IBAN renseigné par l’initiateur. En cas de divergence, une alerte doit être affichée, voire le paiement bloqué, selon les cas.
La VoP cible en priorité les arnaques dites « APP fraud » (authorised push payment), où la victime autorise elle-même un virement vers un compte contrôlé par un escroc, souvent après une manipulation psychologique ou un scénario d’usurpation d’identité (faux conseiller bancaire, faux fournisseur, faux service client). En 2024, ces escroqueries ont coûté plus de 2,4 milliards d’euros aux entreprises de l’UE, ce qui en fait une menace systémique pour la trésorerie des PME comme des grands groupes. En forçant la vérification du nom, l’UE espère rendre ces fraudes beaucoup plus difficiles à industrialiser.
Pour les acteurs de l’e‑commerce, l’impact est multiple. Les marketplaces qui agrègent des milliers de vendeurs doivent s’assurer que les coordonnées bancaires de leurs marchands sont dûment vérifiées et synchronisées avec les systèmes VoP de leurs PSP. Les marchands B2B devront, de leur côté, mettre à jour leurs processus de gestion des factures et des mandats de paiement pour réduire les risques d’erreur ou de manipulation des coordonnées bancaires. À court terme, cela peut générer des frictions supplémentaires ; à moyen terme, cela devrait contribuer à réduire drastiquement les pertes liées aux faux ordres de virement.
4. Transparence totale sur les frais : fin des “frais cachés”
Au‑delà de la fraude au sens strict, l’accord de 2025 s’attaque aussi aux pratiques de « frais cachés » dans les paiements en ligne. Le nouveau cadre impose une transparence renforcée sur les coûts de conversion de devises, les retraits aux distributeurs automatiques et les frais transfrontaliers. Pour chaque transaction e‑commerce ou mobile, le consommateur devra connaître le coût complet avant de confirmer le paiement, qu’il s’agisse de marges de change, de commissions fixes ou de surcoûts spécifiques à certains moyens de paiement.
Cette exigence vise particulièrement les plateformes et prestataires opérant dans plusieurs États membres, où la diversité des régimes tarifaires et des devises crée des zones d’ombre. Les « surcharges » discrètes appliquées à certaines cartes, les taux de change peu lisibles ou les options de conversion dynamique à l’avantage du commerçant sont dans le viseur du régulateur. L’UE entend harmoniser les règles d’information pour que le consommateur puisse comparer clairement les options de paiement, quelle que soit la frontière numérique qu’il traverse.
Pour les e‑commerçants, la conséquence est double. D’un côté, ils devront veiller à ce que leurs prestataires de paiement affichent les frais de manière conforme, notamment dans les tunnels de paiement multidevise. De l’autre, ils pourront transformer cette contrainte en avantage concurrentiel en misant sur une politique tarifaire transparente et lisible. Dans un environnement où la confiance devient un facteur clé de conversion, afficher clairement les coûts peut autant rassurer les clients que les inciter à finaliser leurs achats.
5. Service client : la réhabilitation du contact humain en cas de fraude
Un aspect souvent sous‑estimé des réformes concerne le traitement des litiges. Les nouvelles règles interdisent aux banques et PSP de se reposer exclusivement sur des chatbots pour gérer les réclamations liées à la fraude et aux paiements contestés. Les établissements devront garantir un accès effectif à un interlocuteur humain, capable d’analyser la situation, de prendre des décisions et d’expliquer clairement les démarches de remboursement ou de contestation.
Cette obligation est une réponse directe au mécontentement croissant des consommateurs confrontés à des interfaces automatisées incapables de gérer des cas complexes ou émotionnellement sensibles. Lorsqu’un client découvre un débit frauduleux ou réalise qu’il a été victime d’une escroquerie en ligne, il attend une écoute personnalisée et une prise en charge rapide, plutôt qu’un flot de réponses génériques. L’UE reconnaît ainsi que la confiance dans les paiements numériques passe aussi par la qualité de la relation humaine en back‑office.
Pour les acteurs de l’e‑commerce, ce changement renforce l’importance de la coordination entre leur propre service client et celui de leurs PSP. Un litige de paiement mal géré peut rapidement se transformer en mauvaise publicité ou en perte durable de confiance. Intégrer des canaux de communication clairs (téléphone, chat avec transfert vers un humain, e‑mail prioritaire en cas de fraude) devient un élément essentiel de l’expérience client, au même titre que la simplicité du parcours d’achat.
6. CESOP, ViDA et TVA : la contre‑attaque contre la fraude e‑commerce
La lutte contre la fraude ne se limite pas aux paiements ; elle touche aussi la fiscalité, en particulier la TVA sur les ventes en ligne. Depuis le 1er janvier 2024, les prestataires de services de paiement actifs dans l’UE doivent surveiller les bénéficiaires de paiements transfrontaliers et conserver certaines données. À partir du 1er avril 2024, ils sont tenus de transmettre aux administrations fiscales les informations relatives aux bénéficiaires qui reçoivent plus de 25 paiements transfrontaliers par trimestre. Ces données alimentent le système central CESOP, accessible aux experts antifraude via le réseau Eurofisc.
CESOP permet de repérer, à grande échelle, les vendeurs e‑commerce suspectés de fraude à la TVA, y compris lorsqu’ils sont situés hors de l’UE. Il repose sur des règles d’échange de données adoptées dès 2020, mais devenues pleinement effectives en 2024. La Commission européenne estime que la digitalisation de la TVA, dont CESOP est un pilier, pourrait rapporter jusqu’à 6,6 milliards d’euros supplémentaires de recettes chaque année, tandis que le reporting en temps quasi réel via la facturation électronique pourrait réduire la fraude de TVA jusqu’à 11 milliards d’euros par an à horizon dix ans.
En parallèle, le paquet « VAT in the Digital Age » (ViDA), approuvé en novembre 2024, prévoit un basculement progressif vers une déclaration TVA quasi en temps réel pour les transactions transfrontalières d’ici 2030, avec une interopérabilité complète attendue pour 2035. Il étend et simplifie les guichets uniques TVA (OSS/IOSS) et impose, pour certains services (hébergement de courte durée, transport de passagers), que les plateformes collectent elles‑mêmes la TVA lorsque les petits prestataires ne le font pas. Pour les e‑commerçants et les plateformes, il devient de plus en plus difficile de jouer sur les ambiguïtés fiscales ou les montages contractuels complexes pour éviter la TVA.
7. Dropshipping et fin des zones grises : l’exemple français
Le durcissement européen en matière de TVA résonne particulièrement dans des secteurs comme le dropshipping. En France, la loi de finances pour 2024 a corrigé une faille qui permettait à certains dropshippers d’échapper à la TVA en laissant cette dernière à la charge du client final, souvent sans contrôle effectif. Grâce au croisement des données douanières, des flux de paiement et des systèmes européens d’information comme CESOP, l’administration fiscale est désormais mieux armée pour identifier ces schémas et les requalifier.
Les montages reposant sur des contrats fictifs ou des structures écrans à l’étranger, destinés à faire croire que le vendeur réel est le fournisseur hors UE plutôt que l’opérateur de la boutique en ligne, sont désormais explicitement qualifiés de fraude fiscale. Cette clarification réduit l’espace de manœuvre des acteurs qui s’appuyaient sur des « zones grises » juridiques pour éviter de facturer et de reverser la TVA. Elle s’accompagne d’un renforcement du risque pénal et d’un possible partage d’informations au niveau européen, ce qui augmente la probabilité de sanctions coordonnées.
Pour les dropshippers et plus largement pour tous les vendeurs e‑commerce opérant à l’international, le message est clair : la conformité fiscale n’est plus optionnelle. Les obligations de collecte de TVA, les registres de transactions, l’usage des guichets uniques et la transparence des flux de paiement deviennent des éléments centraux du modèle économique. Les acteurs qui investissent dans des outils de comptabilité automatisée, des solutions de facturation électronique et des intégrations natives avec les systèmes OSS/IOSS disposeront d’un avantage compétitif sur ceux qui tentent encore de contourner les règles.
8. Vers un marché unique du e‑commerce plus sûr et plus homogène
L’ensemble de ces réformes , PSR/PSD3, VoP, CESOP, ViDA , poursuit un triple objectif macroéconomique. D’abord, réduire drastiquement la fraude sur les paiements en ligne, qu’il s’agisse de fraude carte, d’APP fraud ou de fraude TVA sur les ventes transfrontalières. Ensuite, homogénéiser les obligations de conformité pour les PSP et les plateformes e‑commerce à travers les 27 États membres, de façon à créer un terrain de jeu plus prévisible et à diminuer les coûts de mise en conformité pour les acteurs pan‑européens. Enfin, maintenir un équilibre avec la protection des données, notamment en veillant à ce que les dispositifs de partage d’informations respectent le RGPD.
Sur le plan opérationnel, cela se traduit par une convergence progressive des pratiques : formats de reporting standardisés, procédures communes pour le gel des transactions suspectes, indicateurs de fraude harmonisés et, à terme, interopérabilité des systèmes de facturation électronique. Les PSP devront publier des statistiques annuelles détaillant le nombre et le montant des fraudes, ainsi que les transactions remboursées ou non, informations qui seront communiquées à l’ABE et à la BCE. Cette transparence accrue permettra aux régulateurs, mais aussi aux consommateurs et aux marchands, de mieux comparer les niveaux de sécurité et d’efficacité des différents prestataires.
Pour les e‑commerçants, cette homogénéisation est à la fois une contrainte et une opportunité. Elle impose de revoir certains processus internes (KYC fournisseurs, contrôle des IBAN, documentation TVA, gestion des litiges de paiement), mais elle réduit aussi l’incertitude juridique lorsqu’ils se développent sur de nouveaux marchés européens. À terme, un marchand sérieux et conforme devrait pouvoir opérer plus facilement dans plusieurs pays, avec des règles claires et prévisibles, tandis que les acteurs opportunistes ou frauduleux trouveront de moins en moins de refuge dans les disparités nationales.
Avec l’accord antifraude sur les paiements, l’Union européenne confirme sa volonté de faire du e‑commerce un moteur durable du marché unique, et non un angle mort de la régulation. Renforcement de la responsabilité des banques et des plateformes, généralisation de la Verification of Payee, transparence des frais, accès garanti à un service client humain : le consommateur n’est plus seul face à la complexité des paiements numériques. Dans le même temps, la digitalisation de la TVA et la mise en réseau des données de paiement via CESOP rendent la vie beaucoup plus difficile aux fraudeurs, qu’ils agissent sur les moyens de paiement ou sur la fiscalité.
Pour les acteurs du commerce en ligne, l’enjeu n’est plus de savoir s’il faut s’adapter, mais comment et à quelle vitesse. Ceux qui anticipent ces évolutions en investissant dans la conformité, la sécurité et la transparence pourront transformer ces nouvelles règles en avantage compétitif, en capitalisant sur la confiance accrue des consommateurs. À l’inverse, les modèles d’affaires fondés sur l’opacité, l’optimisation agressive de la TVA ou la négligence en matière de cybersécurité deviennent de plus en plus risqués. Dans cette nouvelle donne européenne, un e‑commerce prospère sera avant tout un e‑commerce responsable.
