La DSP2, tout savoir sur la directive qui encadre l'Open Banking en Europe

La DSP2, ou 2ᵉ Directive sur les Services de Paiement, est bien plus qu'une simple réglementation européenne. Entrée en vigueur en 2018, elle a marqué un tournant décisif pour le secteur bancaire en Europe. Son objectif ? Encadrer, encourager l'innovation mais surtout sécuriser les services de paiement à travers une meilleure gestion des données bancaires et l'introduction d'une authentification forte des utilisateurs. Avec la DSP2, l'Open Banking a pris son envol, ouvrant l'accès aux informations bancaires des clients à des prestataires tiers via des API sécurisées. Deux grands types de services émergent de cette révolution : l'agrégation de comptes, qui permet une vision consolidée des finances personnelles, et l’initiation de paiement, facilitant des transactions plus fluides et rapides. En encourageant l'innovation et la concurrence, cette directive met à disposition des entreprises, fintechs et établissements financiers de nouveaux outils pour proposer des solutions sur mesure, tout en assurant la confidentialité et la protection contre la fraude. Focus sur la DSP2, ses services novateurs, les exigences de sécurité, et les évolutions qui vont encore redéfinir le paysage financier.

La DSP2 et l’agrégation bancaire

Initialement, l’Open Banking permet de proposer aux utilisateurs une vision consolidée de différents comptes bancaires, comme un compte chèque et un compte joint par exemple.

L’analyse des données bancaires permet également l’émergence de nouveaux usages. En accédant directement aux données d’un utilisateur, il est possible de vérifier instantanément sa solvabilité, détecter son profil consommateur, ses moments de vie et ses contrats ou encore prévenir les risques liés à de mauvaises habitudes de consommation ou à une mauvaise gestion financière.

📩 Pour connaître les cas d'utilisation les plus répandus de l'Open Banking par les professionnels, consultez notre livre blanc dédié.

Ce type de service est proposé par des agrégateurs de comptes bancaires, des Prestataires de Service d’Informations sur les Comptes (PSIC) qui doivent obtenir l’agrément de l’ACPR pour exercer leur activité.

La DSP2 et l’initiation de paiement

L’initiation de paiement permet aux utilisateurs de faire une demande de paiement d’un compte bancaire à un autre, sans avoir à utiliser de carte bancaire ou de RIB.

Ce type de service est proposé par les initiateurs de paiement, des Prestataires de Services d'Initiation de Paiement (PSIP) également soumis à l’agrément de l’ACPR.

Avec le paiement par carte bancaire, les demandes se font d’une banque à une autre par l’intermédiaire de schémas de paiement (tels que Visa, Mastercard ou American Express). Lors d’un paiement par carte, la banque du vendeur (acquéreur) doit attendre la confirmation de la banque du client (émetteur) avant de confirmer le paiement et la livraison des marchandises.

L’initiation de paiement facilite les échanges puisque seul l’initiateur du paiement (le prestataire) et la banque du client sont impliqués. Une fois l’authentification réalisée, le paiement est effectué. L’initiateur reçoit une confirmation de la part de la banque du client et la livraison des marchandises peut être effectuée.

La DSP2 impose l’authentification forte (SCA) pour sécuriser les opérations en ligne

Pour sécuriser l’accès aux données bancaires, l’ACPR impose un certain nombre de mesures de sécurité de la part des prestataires de services ainsi que la mise en place d’une authentification forte (ou SCA pour Strong Customer Authentification).

L’authentification forte est un dispositif de vérification d’identité visant à renforcer la sécurité des opérations en ligne telles que les paiements digitaux, l’accès aux données bancaires, l’ajout de RIB externe, les demandes de virement, etc.

Dans le cadre de l’agrégation de données bancaires, l’authentification forte impose également de renouveler la demande d’accès au moins tous les 90 jours pour autoriser l’agrégateur de comptes à continuer d’accéder aux données bancaires. Cette durée, jugée trop contraignante pour les utilisateurs, a récemment été allongée par l’EBA (European Banque Authority) pour passer à 180 jours.

Côté parcours, l’authentification forte consiste à prouver que l’utilisateur est bien à l’initiative de la demande. Pour se faire, l’utilisateur doit utiliser au moins 2 des 3 facteurs mis à sa disposition :

• Un élément de connaissance (que seul l’utilisateur connait) : mot de passe, code secret, question secrète.
• Un élément de possession (que seul l’utilisateur possède) : téléphone portable, montre connectée, clé USB.
• Un élément biométrique (ce que l’utilisateur est) : reconnaissance faciale, vocale, empreinte digitale.

Dans le cadre de l’accès aux données bancaires par exemple, un utilisateur devra d’abord renseigner ses identifiants bancaires sur l’interface dédiée puis valider sa demande depuis son application mobile en utilisant son code personnel ou son empreinte digitale.

Pour autoriser l’opération, les 2 facteurs doivent être validés. Dans le cas contraire, l’opération sera rejetée par la banque.

Les API DSP2, de nouvelles obligations pour les banques

La mise en œuvre de la DSP2 a contraint les banques à se mettre en conformité en mettant à disposition des prestataires de service des interfaces de programmation applicatives (API).

La directive impose aux établissements bancaires de créer 3 API minimum :

• L’API de consultation de solde pour vérifier le solde d’un compte avant d’autoriser la vente d'un produit ou service.
• L’API initiation de paiement pour déclencher un paiement directement depuis le compte bancaire.
• L’API d’agrégation bancaire pour collecter et analyser les données d’un compte bancaire.

Seuls les comptes courants, particuliers et professionnels, sont concernés par la DSP2, tels que les comptes chèques ou les comptes joints.

En l’absence de directives en matière de normalisation, chaque banque a développé ses propres API avec des documentations distinctes.

Toutefois, certains établissements bancaires sont allés plus loin que la DSP2 en ouvrant également des API pour les comptes épargne par exemple mais ce sont des cas minoritaires.

La DSP3 pour passer de l’Open Banking à l’Open Finance

Suite au bilan de la DSP2 et toujours afin de renforcer le marché des paiements en matière de sécurité et d’innovation, la Commission européenne planche actuellement sur la 3ᵉ Directive sur les Services de Paiement (DSP3).

Au programme :

• L’authentification forte et l’Open Banking.
• La régulation des acteurs non bancaires tels que les GAFAM et les fintechs.
• L’intégration de nouvelles technologies de paiement (les cryptomonnaies, l’euro numérique ou encore la monnaie numérique de banque centrale (MNBC)).
• Le BNPL (Buy Now Pay Later) qui suscite beaucoup de demande d’intervention des régulateurs.
• Le déploiement en masse du virement instantané.
• Le développement du paiement instantané avec le projet paneuropéen EPI (European Payment Initiative).
• L’intégration des services de paiement dans les messageries des réseaux sociaux.
• La lutte contre les nouveaux types de fraudes grâce aux ordinateurs quantiques.
• La mise en conformité avec les nouvelles normes de sécurité.
• La souveraineté européenne dans les paiements.
• L’identité numérique en Europe, etc.

Propulsée par la Commission européenne, la réglementation en matière de paiement et d'accès aux données financières vise à assurer la souveraineté des entreprises européennes face à la concurrence internationale.  Les différentes Directives sur les Services de Paiement définiront les contours des nouveaux services financiers en Europe. De belles opportunités commerciales sont donc à prévoir dans les mois à venir. Ne passez pas à côté de cette nouvelle tendance et réservez vite votre démonstration de la solution afin d'étudier l'apport de l'Open Banking pour votre activité !