Retour à Hawk Nest
Insights
Implications de PSD2 et DORA pour l'IA dans les services financiers
PSD2 et DORA définissent ensemble les règles que l'IA doit respecter au sein d'une institution financière régulée. PSD2 gouverne l'authentification forte du client et l'accès tiers aux données de paiement ; DORA ajoute des obligations de résilience opérationnelle — gestion des risques TIC, reporting d'incidents et supervision des prestataires tiers, incluant désormais les fournisseurs LLM et IA cloud. Tout déploiement IA hérite des deux.
L'article complet est en cours de rédaction. Le résumé et les questions ci-dessous capturent le cœur de l'argument ; la pièce complète — avec des schémas d'architecture de référence et des exemples concrets — arrive prochainement.
Questions associées
- DORA traite-t-il un fournisseur LLM comme prestataire TIC tiers ?
- En pratique, oui — un LLM cloud est une dépendance TIC tierce et relève donc des exigences de DORA en matière de gestion des risques, de monitoring et de plan de sortie. Cela implique un inventaire fournisseurs documenté, des contrôles contractuels et un moyen testé de changer ou de retirer le service.
- Que requiert PSD2 lorsque l'IA accède à des données de paiement ?
- Les composants IA héritent de l'authentification forte du client et des contrôles d'accès de PSD2. Tout système lisant des données de compte ou de paiement doit respecter les mêmes règles d'authentification, de consentement et de moindre privilège que le reste du parc, le GDPR régissant la dimension des données personnelles.