DSP2 : la directive qui encourage l’Open Banking ?

Nous avons vu dans un billet de blog précédent que pour les usagers l’authentification forte devient obligatoire dans le cadre des transactions de paiement.  Mais ce n’est pas le seul élément lié à la sécurité qui a été prévu par la directive sur les services de paiement (DSP2). L’un des volets sur lequel porte la directive concerne les communications sécurisées entre les banques et des services tiers. En effet, le champ d’application de la DSP2 s’étend aux services de paiement innovants et aux nouveaux fournisseurs sur le marché, tels que les sociétés de technologie financières (les Fintechs). Bien que non visible pour le grand public, c’est tout l’écosystème du paiement qui est bouleversé par ces nouvelles exigences et qui se tourne vers l’Open Banking !

Les normes réglementaires techniques (RTS – Regulatory Technical Standards) prévues par la DSP2 sont les exigences détaillées par l’Autorité Bancaire Européenne (ABE), en collaboration avec la Banque Centrale Européenne (BCE) et les banques centrales nationales. Divers RTS sont prévus par la directive pour en harmoniser la mise en œuvre opérationnelle. L’entrée en application des RTS sur les règles d’authentification forte et sur la mise en service des API DSP2 est prévue le 14 septembre 2019.

Encourager la concurrence et l’innovation

Quel est le lien entre DSP2 et Open Banking ? L’un des objectifs principaux de la DSP2 est d’encadrer les nouveaux acteurs de paiements. La directive cherche notamment à stimuler la concurrence et l’innovation dans le secteur bancaire en favorisant l’arrivée de nouveaux acteurs (Third Party Providers, TPP).

La directive identifie de nouveaux types d’acteurs tiers (TPP) :

  • Les émetteurs d’instruments de paiement.

Ces prestataires (Payment Instrument Issuer Service Provider – PIISP) fournissent des cartes de paiement qui sont reliés au compte bancaire. Lorsqu’un usager effectue une transaction, le PIISP doit s’assurer de la disponibilité des fonds auprès de l’AISP.

  • Les prestataires de services d’initiation de paiement (PISP – Payment Initiation Service Provider).

Les services d’initiation de paiement sont définis par le directive comme suit : un service consistant à initier un ordre de paiement à la demande de l’utilisateur de services de paiement concernant un compte de paiement détenu auprès d’un autre prestataire de services de paiement.

  • Les prestataires de services d’information sur les comptes (AISP – Account Information Service Provider).

Aussi appelé agrégateur de comptes bancaires, ce prestataire permet à un usager de regrouper sur une seule interface les informations sur les soldes et les opérations réalisées sur plusieurs ou l’ensemble de ses comptes.

Une mutation en profondeur du secteur bancaire

Pourquoi peut-on voir les mesures de sécurité prévues par la DSP2 comme une véritable révolution pour le secteur bancaire. Tout simplement parce que les banques traditionnelles responsables jusqu’alors de la tenue de compte, sont avec DSP2 « forcées » d’ouvrir l’accès aux informations de compte par le biais d’APIs. La DSP2 s’attache donc à organiser le droit d’accès aux informations de compte par les prestataires de paiement. C’est l’objet de cet article, l’Open Banking.

Les nouvelles exigences de la DSP2, qui entrent en application à compter de septembre 2019, permettront de renforcer la collaboration et d’améliorer l’interopérabilité entre les institutions financières et les nouveaux acteurs de la banque et du paiement.

Dans une étude récente, Deloitte explique que la révolution Open Banking incite les banques à ouvrir leurs systèmes d’information et à partager avec leurs concurrents une partie de leurs données clients. Un phénomène qui ne cesse de prendre de l’ampleur, notamment avec l’entrée en vigueur de la DSP2.

L’Open Banking : le monde bancaire de demain

Mais qu’entend-on par Open Banking ?

« L’Open Banking repose sur l’ouverture des systèmes d’information des banques et le partage de données de leurs clients à des tiers. L’API (Application Programming Interface) est au cœur de ce modèle », a expliqué le cabinet d’audit. « Cette avancée technologique permet aux développeurs d’intégrer les données et les services de tierces-parties au sein de leurs applications ». Deloitte précise que cette solution permet à tous les acteurs du marché de se connecter aux services des banques traditionnelles pour y développer leurs propres applications.

Open Banking : un besoin d’adaptation pour les acteurs du secteur

 La DSP2 reconnaît et réglemente les prestataires de services de paiement tiers qui sont autorisés à accéder aux comptes, à agréger leurs données et à initier les services de paiement et dont le rôle est d’accepter le paiement en ligne. La directive prévoit que les commerçants, les fintechs et les banques puissent communiquer via des API. Les banques devront proposer ce canal de communication sécurisé aux prestataires de services de paiement tiers souhaitant agréger les données des comptes bancaires et/ou initier des services de paiement.

Quelles obligations pour les banques avec l’Open Banking ?

Désormais, les clients souhaitent pouvoir disposer de leurs données bancaires partout et tout le temps, et simplement. Les banques sont donc contraintes de les mettre à disposition d’établissements financiers tiers, au travers d’interfaces de programmation (API). Nous sommes donc au coeur de l’Open Banking. L’objectif de cette mutation du secteur est de stimuler la concurrence et l’innovation.

Le site de Red Hat définit une API comme un ensemble d’outils, de définitions et de protocoles qui facilite la création et l’intégration de logiciels d’applications. Elle permet à un produit ou à un service de communiquer avec d’autres produits et services sans connaître les détails de leur mise en œuvre. D’après l’éditeur mondial de solutions logicielles Open Source, les API « constituent un moyen simplifié de connecter votre propre infrastructure au travers du développement d’applications natives pour le cloud. Elles vous permettent également de partager vos données avec vos clients et d’autres utilisateurs externes ».

Côté back-end, cela signifie que les communications entre les serveurs des différents acteurs de la chaine sont protégées grâce à des certificats électroniques.

Certifications électroniques : une obligation de s’équiper

Pour assurer le niveau de sécurité requis par la DSP2, les banques et les PSP doivent s’équiper de deux certificats électroniques :

  • Le certificat eIDAS QWAC (Qualified Website Authentication Certificate). Il permet aux serveurs d’un PSP et d’une banque de s’authentifier mutuellement et de maintenir les communications chiffrées.
  • Le certificat eIDAS QSEAL (Quailified electronic Seal Certificate). Il permet aux serveurs d’un PSP et d’une banque de sceller le contenu d’une transaction.

Ces certificats permettent aux banques et aux prestataires de services de paiement de sécuriser les transactions. Mais ce n’est pas tout. Ils permettent de protéger les données des comptes de paiement tout en garantissant la conformité avec la directive européenne. En outre, sécuriser les transactions entre les banques et les PSP assure la traçabilité des échanges et garantit une authentification mutuelle entre les deux parties.

 

Commandez vos certificats dès maintenant

h.toutchkov

h.toutchkov