La DSP2, tout savoir sur la directive qui encadre l'Open Banking en Europe

La DSP2 pour 2ème Directive sur les Services de Paiement est une directive européenne entrée en vigueur en 2018 qui vise à encadrer les prestations de service de paiement et à renforcer la sécurité des paiements sur le territoire. Cette directive est à l’origine de la généralisation de l’Open Banking, l’ouverture des données bancaires à des prestataires de services. Les services qui en découle se distinguent en 2 grandes catégories : l’agrégation de comptes et l’initiation de paiement.

La DSP2 et l’agrégation de comptes bancaires

L’agrégation de comptes bancaires (ou Open Banking) permet de proposer aux utilisateurs une vision consolidée de différents comptes bancaires, comme un compte chèque et un compte joint par exemple.

L’analyse des données bancaires permet également l’émergence de nouveaux usages. On accédant directement aux données d’un utilisateur, il est possible de vérifier instantanément sa solvabilité, détecter son profil consommateur, ses moments de vie et ses contrats ou encore prévenir les risques liés à de mauvaises habitudes de consommation ou à une mauvaise gestion financière.

Ce type de service est proposé par des agrégateurs de comptes bancaires, des Prestataires de Service d’Informations sur les Comptes (PSIC) qui doivent obtenir l’agrément de l’ACPR pour exercer leur activité.

La DSP2 et l’initiation de paiement

L’initiation de paiement permet aux utilisateurs de faire une demande de paiement d’un compte bancaire à un autre, sans avoir à utiliser de carte bancaire ou de RIB.

Ce type de service est proposé par les initiateurs de paiement, des Prestaires de Service d’Initiation de Paiement (PSIP) également soumis à l’agrément de l’ACPR.

Avec le paiement par carte bancaire, les demandes de paiement se font pas d’une banque à une autre par l’intermédiaire de schémas de paiement (tels que Visa, Mastercard ou American Express). Lors d’un paiement par carte, la banque du vendeur (acquéreur) doit attendre la confirmation de la banque du client (émetteur) avant de confirmer le paiement et la livraison des marchandises.

L’initiation de paiement facilite les échanges puisque seul l’initiateur du paiement (le prestataire) et la banque du client sont impliqués. Une fois l’authentification réalisée, le paiement est effectué. L’initiateur reçoit une confirmation de la part de la banque du client et le livraison des marchandises peut être effectuée.

La DSP2 impose l’authentification forte (SCA) pour sécuriser les opérations en ligne

Pour sécuriser l’accès aux données bancaires, l’ACPR impose un certain nombre de mesures de sécurité de la part des prestataires de services ainsi que la mise en place d’une authentification forte (ou SCA pour Strong Customer Authentification).

L’authentification forte est un dispositif de vérification d’identité visant à renforcer la sécurité des opérations en ligne telles que les paiements digitaux, l’accès aux données bancaires, l’ajout de RIB externe, les demandes de virement, etc…

Dans le cadre de l’agrégation de données bancaires, l’authentification forte impose également de renouveler la demande d’accès au moins tous les 90 jours pour autoriser l’agrégateur de comptes à continuer d’accéder aux données bancaires. Cette durée, jugée trop contraignante pour les utilisateurs, a récemment été allongée par l’EBA (European Banque Authority) pour passer à 180 jours.

Côté parcours, l’authentification forte consiste à prouver que l’utilisateur est bien à l’initiative de la demande. Pour se faire, l’utilisateur doit utiliser au moins 2 des 3 facteurs mis à sa disposition :

• Un élément de connaissance (que seul l’utilisateur connait) : mot de passe, code secret, question secrète…
• Un élément de possession (que seul l’utilisateur possède) : téléphone portable, montre connectée, clé USB…
• Un élément biométrique (ce que l’utilisateur est) : reconnaissance faciale, vocale, empreinte digitale…

Dans le cadre de l’accès aux données bancaires par exemple, un utilisateur devra d’abord renseigner ses identifiants bancaires sur l’interface dédiée puis valider sa demande depuis son application mobile en utilisant son code personnel ou son empreinte digitale.

Pour autoriser l’opération, les 2 facteurs doivent être validés. Dans le cas contraire, l’opération sera rejetée par la banque.

Les APIs DSP2, de nouvelles obligations pour les banques

La mise en œuvre de la DSP2 a contraint les banques à se mettre en conformité en mettant à disposition des prestataires de service des interfaces de programmation applicatives (API).

La directive impose aux établissements bancaires de créer 3 APIs minimum :

• L’API de consultation de solde pour vérifier le solde d’un compte avant d’autoriser un paiement
• L’API initiation de paiement pour déclencher un paiement directement depuis le compte bancaire
• L’API d’agrégation bancaire pour collecter et analyser les données d’un compte bancaire

Seuls les comptes de paiement, particuliers et professionnels, sont concernés par la DSP2, tels que les comptes chèques ou les comptes joints.

En l’absence de directives en matière de normalisation, chaque banque a développé ses propres APIs avec des documentations distinctes.

Toutefois, certains établissements bancaires sont allés plus loin que la DSP2 en ouvrant également des APIs pour les comptes épargne par exemple mais ce sont des cas minoritaires.

La DSP3 pour passer de l’Open Banking à l’Open Finance

Suite au bilan de la DSP2 et toujours afin de renforcer le marché des paiements en matière de sécurité et d’innovation, la Commission Européenne planche actuellement sur la 3ème Directive sur les Services de Paiement (DSP3).

Au programme :

• L’authentification forte et l’Open Banking,
• La régulations des acteurs non-bancaires tels que les GAFAM et les fintechs,
• L’intégration de nouvelles technologies de paiement (les cryptomonnaies, l’euro numérique ou encore la monnaie numérique de banque centrale (MNBC)),
• Le BNPL (Buy Now Pay Later) qui suscite beaucoup de demande d’intervention des régulateurs
• Le déploiement en masse du virement instantané,
• Le développement du paiement instantané avec le projet paneuropéen EPI (European Payment Initiative)
• L’intégration des services de paiement dans les messageries des réseaux sociaux,
• La lutte contre les nouveaux types de fraudes grâce aux ordinateurs quantiques,
• La mise en conformité avec les nouvelles normes de sécurité,
• La souveraineté européenne dans les paiements,
• L’identité numérique en Europe, etc…

De belles innovations sont donc à prévoir dans les années à venir. La DSP3 définira les contours des nouveaux services de paiement et de l’agrégation de compte en Europe. Ne passez pas à côté de cette opportunité et contactez dès maintenant nos experts de la connaissance bancaire afin d'étudier l'apport de l'Open Banking pour votre activité !