DSP2 : l’émergence d’un nouvel écosystème
Entrée en vigueur depuis le 13 Janvier 2019, la Directive des Services de Paiement n°2 a obligé les acteurs exerçants dans un cadre encore non-réglementé à obtenir une des deux nouvelles licences bancaires, pour continuer à exercer leur activité :
AISP : l’agrégateur de compte permet aux utilisateurs de bénéficier d’une vision consolidée et interactive de et de leurs mouvements financiers sur une seule interface l’ensemble de leurs comptes bancaires.
PISP : l’initiateur de service de paiement permet à l’utilisateur de demander à un tiers de présenter un ordre de paiement pour son compte.
La prochaine échéance fixée à septembre 2019 signifie la fin du délai transitoire des Normes Techniques de Réglementation (RTS) et obligera cette fois-ci les banques à ouvrir l’accès à leurs données bancaires de manière encadrée. Il s’agit pour les établissements bancaires de proposer des APIs (Application Programming Interface) qui sont un standard d’échange de données entre deux applications. L’objectif est de renforcer la sécurité des clients et de mettre fin aux techniques de Screen Scraping qui permettaient aux nouveaux acteurs de récupérer les informations d’authentification de leurs utilisateurs et de les rejouer auprès de l’interface de connexion banque en ligne de leur client.
Toutefois, si le besoin de sécurité est vital, la prise en considération des contraintes et l’application de certains parcours d’authentification via les APIs bancaires remettent en cause la fluidité de l’expérience client. En effet, jusqu’à aujourd’hui l’authentification de l’utilisateur se réalisait dans l’environnement de l’AISP, prochainement, le client devra procéder à une authentification forte en dehors de l’environnement de l’AISP ou du PISP, directement sur l’interface banque en ligne du client.
La notion d’authentification forte
L’un des principaux enjeux poursuivis par la DSP2 est de renforcer le niveau de sécurité des paiements et la protection des clients. Avec le recours de plus en plus fréquent aux applications bancaires et aux paiements à distance, la fraude évolue. Les traditionnelles méthodes d’authentification ne permettent plus d’assurer un niveau de sécurité suffisant. La DSP2 définit la notion d’authentification forte comme le processus qui vise à s’assurer de l’identité du client au travers de la combinaison de deux facteurs indépendants parmi les trois suivants : la connaissance (mot de passe par exemple), la possession (n° de téléphone, token, ordinateur…) et l’inhérence (données biométriques).
Cette notion d’authentification forte couvre l’ensemble du secteur du paiement et s’applique également aux nouveaux acteurs. L’Autorité Bancaire Européenne est ainsi en charge de la définition des exigences et a instauré trois approches techniques d’authentification forte (Strong Customer Authentification) que les établissements bancaires devront considérer dans le développement de leurs APIs. Cependant, aucune obligation a été émise de la part du régulateur européen et les établissements bancaires pourront choisir quelle approche mettre en place.
Le modèle redirection : cette approche consiste à ce que le prestataire de service de paiement tiers redirige l’utilisateur vers l’interface de la banque en ligne du client pour procéder à l’authentification.
Le modèle découplé : cette approche consiste à ce que l’authentification soit réalisé sans redirection. Le client communique ses informations d’authentification bancaires au prestataire de service de paiement tiers qui les transmet par le billet de l’API à l’établissement bancaire. Celui-ci déclenche alors le processus d’authentification sans que l’utilisateur n’ait besoin de quitter l’interface du PISP ou AISP (ce modèle est une variante du modèle redirection).
Le modèle intégré : cette approche consiste à ce que l’utilisateur communique non pas ses identifiants mais les clés de son authentification au prestataire de service de paiement tiers qui transmet les informations à la banque et reçoit une confirmation (réussite/échec).
Source : https://blog.particeep.com/analyse-tout-ce-que-vous-devez-savoir-sur-la-dsp2-et-linfrastructure-api/
Concernant les AISP, cette authentification forte s’effectuera lors de la première connexion au service et tous les 90 jours, pour chaque banque que le client décide d’agréger. Par exemple, si un utilisateur agrège ses comptes détenus au sein de plusieurs établissements bancaires, il devra réaliser autant d’authentification forte que d’établissements bancaires agrégés. Pour l’utilisation d’un service d’initiation de paiement fourni par un PISP, cette authentification aura lieu systématiquement en dehors des quelques exemptions prévues par le texte de loi.
Concernant les différents modèles d’authentification, il semblerait que les établissements bancaires aient unanimement choisit le modèle redirection qui pourtant avait présenté certaines limites en termes d’expérience client. Le choix de la Banque de France de ne pas considérer la mise en œuvre de ce modèle comme une entrave aux RTS oblige les nouveaux acteurs à composer avec ce nouvel obstacle.
PISP et virement instantané
Le déploiement du virement instantané et le nouveau cadre définit par la DSP2 offre de nouvelles opportunités pour les marchands et les entreprises. Disponible depuis Novembre dernier, le virement instantané est un nouvel instrument de paiement qui permet en moins de 10 secondes au payeur d’être débité et au bénéficiaire d’être crédité.
Ce nouveau service de paiement a la particularité d’être disponible 24h/24, 7j/7, 365 jours par an pour des transaction d’un montant maximum de 15 000 euros. Déjà disponible dans certains pays notamment au Royaume-Uni depuis 2008 (Faster Payment Service), en Suède depuis 2012 (Swich), mais également en Pologne ou au Danemark, l’Europe espère promouvoir une solution de paiement pan-européenne et concurrencer les fournisseurs internationaux (Visa et Mastercard).
Concernant les avantages, le virement instantané offre aux entreprises de nombreux bénéfices. C’est la possibilité d’éliminer la fraude grâce à un ordre de paiement irrévocable, de réduire les délais de paiement, d’optimiser les commissions sur les paiements par cartes, d’automatiser la réconciliation des transactions et d’encaisser facilement des montants importants.
Le nouveau rôle joué par les prestataires d’initiation de paiement (PISP) permet d’imaginer de nouvelles expériences de paiement basées non-plus sur une carte bancaire mais sur des paiements par virement ou virement instantané initié par un prestataire de service de paiement tiers. Si son usage dans l’E-commerce semble assez simple à concevoir car déjà existant du point de vue de la cinématique (Ideal et Sofort), son déploiement dans le monde du retail reste plus vague. D’autant plus que le recours systématique à l’authentification forte via le modèle Redirect pourrait rendre son utilisation complexe.
Dans le cas d’une initiation de virement en point de vente physique et à destination du grand public, après le téléchargement de l’application du PISP, la cinématique de paiement pourrait être la suivante :
- L’utilisateur lance son application de paiement
- Il se connecte
- Il choisit son mode de règlement « virement » ou « virement instantané » et présente le mobile sur le terminal
- L’écran de téléphone affiche l’interface banque en ligne sur lequel l’utilisateur s’authentifie
- Il valide le résumé d’achat
- Il réalise le processus d’authentification forte en fonction de son établissement bancaire
- Le paiement est validé
La diffusion et l’adoption de ce service de paiement dépendront de la proposition de valeur offerte par ce moyen de paiement et comment les marchands l’intégreront dans leur stratégie de développement. Grâce à l’initiation de paiement, les marchands et e-commerçants vont pouvoir proposer de nouveaux moyens de paiement innovants tout en réduisant leurs coûts de traitement. Ils auront l’option de développer leur propre offre de paiement ou d’accepter des applications tierces qui le proposent.
À propos de nos solutions :
SAFEDEBIT est la première solution de paiement qui intègre le paiement par virement, virement instantané et par prélèvement. Nous fournissons aux marchands une offre complète clé en main pour accepter le paiement de compte à compte en point de vente. Chez Score & Secure Payment nous accompagnons nos partenaires dans le déploiement de solutions de paiement innovantes et sécurisées qui permettent d’offrir de nouvelles expériences de paiement simples et efficaces tout en créant de la valeur autour du paiement.
