Le paysage de la réglementation financière en Turquie se modernise rapidement
Ce n’est un secret pour personne que les clients exigent aujourd’hui beaucoup plus de leurs banques et de leurs marchés financiers. Par exemple, on s’attend à ce que les banques offrent une expérience entièrement numérique et transparente sur tous les canaux par lesquels le client interagit avec la banque. En outre, ce niveau de service est prévu si l’achat d’un article en ligne ou de prendre un prêt.
Dans le même temps, de nouvelles réglementations accordent une importance accrue à la sécurité qui, combinée à la menace persistante de fraude et de cyberattaques, signifie que la sécurité des clients doit être une priorité absolue dans le secteur bancaire.
Briser la nouvelle réglementation bancaire en Turquie
En novembre 2019, les modifications apportées à la loi turque sur les systèmes de paiement et de règlement des valeurs mobilières, les services de paiement et les institutions monétaires électroniques(loi no 7192) ont été promulguées et publiées au Journal officiel (numéro : 30956). La loi initiale de 2013 a fourni le cadre juridique pour les sociétés de paiement, les systèmes de paiement et de règlement des valeurs mobilières, et les sociétés de monnaie électronique.
La loi révisée est entrée en vigueur le 1er janvier 2020. Il renforce considérablement la loi existante pour l’open banking au sein de la République de Turquie. En outre, la loi permet étonnamment à la Banque centrale de la République de Turquie plutôt qu’à l’Agence de régulation et de surveillance bancaire de servir de régulateur des services de paiement et de services bancaires ouverts. En vertu de la loi, les fournisseurs de services bancaires et de paiement ouverts (PSP) doivent demander à la Banque centrale d’obtenir l’autorisation d’ici le 1er janvier 2021.
En réponse, le président de l’Association des paiements et de l’argent électronique du pays, Burhan Eliaçak,a déclaré :
« Ce développement est une source de grand bonheur et de fierté pour le secteur des services de paiement. »
« Grâce à cette loi, tout en respectant les réglementations et les normes internationales, nous nous dirigerons rapidement vers un écosystème de paiements où les produits et services innovants et peu coûteux se généralisent. »
Bien que la Turquie ait modifié sa loi et autorisé la Banque centrale à réglementer les services bancaires ouverts, elle n’a pas l’intention de développer son propre système bancaire ouvert. Au lieu de cela, grâce à ses relations étroites avec l’Union européenne couplées au fait que plusieurs banques étrangères opèrent également dans l’UE, la Turquie est l’un des premiers pays en dehors de l’UE à adopter la directive révisée sur les services de paiement (PSD2).
Il a véritablement adopté l’adoption de la PSD2. Selon Eliaçak, « les applications qui permettent aux utilisateurs d’interroger et de transférer leur solde entreront dans nos vies, ce qui garantira le respect de la directive 2 sur les services de paiement de l’UE que le secteur attend avec impatience, et des applications bancaires ouvertes seront élaborées dans le cadre des procédures et principes établis par la Banque centrale de Turquie. »
Pour coïncider avec la date d’entrée en vigueur de la loi sur les systèmes de paiement et de règlement des valeurs mobilières, les services de paiement et les institutions de la monnaie électronique, les dispositions bancaires ouvertes de PSD2 sont également entrées en vigueur le 1er janvier 2020.
Nouveau règlement en vigueur : 1er juillet 2020
Plus récemment, le 15 mars 2020, l’Agence turque de réglementation et de surveillance bancaire a publié dans la Gazette officielle le Règlement sur les systèmes d’information des banques et des services bancaires électroniques (édition : 31069). Le règlement entrera en vigueur le 1er juillet 2020 et aura un impact significatif sur les banques, les cabinets d’audit, les entreprises technologiques offrant des services externalisés aux banques et les entreprises offrant des solutions « bancaires ouvertes ».
Le règlement traite des propos :
- Établissement et gestion des systèmes d’information des banques
- Sécurité de l’information des banques
- Services bancaires électroniques
En raison de l’impact sur les services bancaires ouverts,il convient de mettre en évidence des articles spécifiques. Chaque canal (Internet, mobile, téléphonie) est soumis à des réglementations détaillées en termes d’authentification et de sécurité des transactions.
L’article 34 exige que le personnel et les clients des banques utilisent l’authentification à deux facteurs (2FA) pour l’accès et les transactions sur les comptes clients. Le règlement comprend un exemple d’utilisation de la carte d’identité turque avec le NIP ou les données biométriques de la carte ou l’utilisation de la signature électronique.
Le règlement répond aux préoccupations largement rapportées concernant les questions de sécurité liées aux SMS-OTP. Les banques sont autorisées à envoyer un mot de passe unique (OTP) ou un code de vérification par SMS dans les étapes initiales de configuration, d’activation et de réactivation de l’application bancaire mobile. Toutefois, les banques ne peuvent pas envoyer un OTP ou un code de vérification par SMS aux clients qui ont installé et activé l’application bancaire mobile, pour vérifier toute transaction pendant la connexion ou la session et l’utiliser comme élément d’authentification.
L’article 34 répond également aux préoccupations concernant la sécurité des applications mobiles. Le règlement exige que tout logiciel ou application mobile offert par la banque à ses clients pour une utilisation dans les services bancaires électroniques puisse être vérifié comme la banque concernée. Les banques doivent s’assurer que tout logiciel ou application mobile ne contient pas de code qui mettrait en danger la sécurité des clients et de fournir les correctifs et mises à jour nécessaires au client pour résoudre les vulnérabilités. Bien que le règlement n’indique pas spécifiquement que les applications mobiles doivent subir un processus de blindage d’applications mobiles pour se protéger contre les logiciels malveillants, il s’agit d’une pratique exemplaire de l’industrie.
L’article 36 exige de la banque qu’elle m’applique des mécanismes de suivi des transactions afin de détecter et de prévenir les transactions inhabituelles ou frauduleuses dans le cadre des services bancaires électroniques.
En cas de tentatives frauduleuses d’opérations, les banques doivent être en mesure de suivre et de faire rapport sur :
- Méthode de fraude connue(s) utilisée
- Une piste d’audit producible capable de prouver « le montant de chaque transaction effectuée et si le client affiche un traitement inhabituel de paiement, de transfert de fonds ou de comportement selon ces montants, en utilisant les informations de localisation »
- Tous les signes que les logiciels malveillants peuvent avoir infecté la session d’authentification
En cas de tentative de fraude, la banque doit alerter le client sur plusieurs canaux, par exemple lors d’une connexion à l’application mobile, au téléphone ou au message texte de la banque.
L’article 41 traite de la communication sécurisée lors de l’utilisation de services bancaires ouverts. La communication entre le client ou la partie agissant pour le compte du client et de la banque doit prendre la forme d’une communication sécurisée de bout en bout, à condition que la banque applique des contrôles compensatoires supplémentaires et des restrictions supplémentaires sur les ressources auxquelles le client peut contacter.
L’article 43 traite de l’identification à distance et de la confiance au tiers. Cela permet à une banque d’utiliser des méthodes d’identification à distance pour déterminer l’identité du client ou de la personne agissant au nom du client sans préjudice à la loi existante sur la prévention du blanchiment des revenus du crime ou, par le biais de services bancaires ouverts, d’une autre banque qui a déjà effectué l’événement de preuve d’identité.
En outre, le règlement exige des banques qu’elles détectent et préviennent la fraude dans les services bancaires électroniques avec des mécanismes de suivi. Les clients utilisant les services bancaires électroniques fournis par une banque doivent être explicitement présentés les termes et les risques associés aux services de banque électronique.
Le règlement prévoit également des dispositions d’authentification et de sécurité des transactions. Ces dispositions sont liées aux services bancaires en ligne, aux services bancaires mobiles, aux services bancaires par téléphone, aux services bancaires ouverts et aux services bancaires aux guichets automatiques.
Exigence d’hébergement en nuage dans le pays
Dans de nombreux pays, les institutions financières tirent parti des avantages en matière de sécurité, de redondance et de financement du stockage des données en nuage. L’utilisation des services d’informatique en nuage par l’externalisation est incluse. Toutefois, le règlement exige que les fournisseurs de logiciels ou de services cloud tiers hébergent leurs systèmes et leurs données en Turquie. Les services externalisés liés aux systèmes primaires sont également considérés comme des systèmes primaires et doivent être situés sur le territoire turc.
Quelle est la prochaine étape pour la réglementation bancaire en Turquie?
Le calendrier du règlement est étroitement lié à la publication de l’orientation de l’identité numériquedu Groupe d’action financière . Le règlement permet aux banques d’utiliser des méthodes d’identification à distance pour à bord numériquement de nouveaux clients (c.-à-d. l’ouverture de compte « non en personne ») pour déterminer l’identité du client.
Il est fort probable que le Financial Crimes Investigation Board (Mali Suçlarô Araàrma Kurulu) (MASAK) du ministère du Trésor et des Finances mettra à jour ses règlements en ce qui concerne Connaître votre client (KYC), la lutte contre le blanchiment d’argent (AML) et le financement de la lutte contre le terrorisme.
Le déploiement de la PSD2 et l’application du règlement sur les systèmes d’information des banques et des services bancaires électroniques mettront le système financier turc sous les feux de la rampe. Alors que les banques récolteront des récompenses en termes d’efficacité et d’économies de coûts, le peuple turc peut être le plus grand gagnant de tous.