Esci
Open Banking, ou comment la DSP2 chamboule l’écosystème du paiement
DSP2 : la directive qui encourage l’Open Banking ?
DSP2 : la directive qui encourage l’Open Banking ?
L’authentification forte est obligatoire dans le cadre des transactions de paiement. Ces dernières nécessitent en effet un haut niveau de sécurité. La directive sur les services de paiement porte également sur les communications sécurisées entre les banques et les services tiers. Le champ d’application de la DSP2 s’étend désormais à d’autres services. Par exemple, ceux des paiements innovants et des nouveaux fournisseurs sur le marché, tel que les sociétés de technologie financières (aussi appelé Fintechs). Ainsi, ces nouvelles exigences bouleversent tout l’écosystème de paiement qui se tourne vers l’Open Banking.
Les normes réglementaires techniques prévues par la DSP2 s’appellent RTS (Regulatory Technical Standards). Elles suivent les exigences détaillées par l’Autorité Bancaire Européenne (ABE). Une collaboration existe entre la Banque Centrale Européenne (BCE) et les banques centrales nationales. Divers RTS sont prévus par la directive pour harmoniser la mise en œuvre opérationnelle. En septembre 2019, les RTS sur les règles d’authentification forte et sur la mise en service des API DSP2 sont entrés en vigueur.
Encourager la concurrence et l’innovation
Encourager la concurrence et l’innovation
Quel est le lien entre DSP2 et Open Banking ? L’un des objectifs principaux de la DSP2 est d’encadrer les nouveaux acteurs de paiements. La directive cherche notamment à stimuler la concurrence et l’innovation dans le secteur bancaire en favorisant l’arrivée de nouveaux acteurs (Third Party Providers ou TPP).
La directive identifie de nouveaux types d’acteurs tiers (TPP) :
Les émetteurs d’instruments de paiement (PIISP : Payment Instrument Issuer Service Provider
Ces prestataires fournissent des cartes de paiement reliées au compte bancaire. Lorsqu’un usager effectue une transaction, le PIISP doit s’assurer de la disponibilité des fonds auprès de l’AISP.
Les prestataires de services d’information sur les comptes (AISP – Account Information Service Provider)
Aussi appelé agrégateur de comptes bancaires, ce prestataire permet à un usager de regrouper sur une seule interface les informations sur les soldes et les opérations réalisées sur plusieurs ou l’ensemble de ses comptes.
Les prestataires de services d’initiation de paiement (PISP – Payment Initiation Service Provider)
Les services d’initiation de paiement sont définis par la directive comme suit : un service consistant à initier un ordre de paiement à la demande de l’utilisateur de services de paiement concernant un compte de paiement détenu auprès d’un autre prestataire de services de paiement.
Une mutation en profondeur du secteur bancaire
Une mutation en profondeur du secteur bancaire
Pourquoi peut-on voir les mesures de sécurité prévues par la DSP2 comme une véritable révolution pour le secteur bancaire ? Simplement parce que les banques traditionnelles, jusqu’alors responsables de la tenue de compte, sont avec la DSP2 « forcées » d’ouvrir l’accès aux informations de compte par le biais d’APIs. La DSP2 s’attache donc à organiser le droit d’accès aux informations de compte par les prestataires de paiement.
Les nouvelles exigences de la DSP2 permettront de renforcer la collaboration et d’améliorer l’interopérabilité entre les institutions financières et les nouveaux acteurs de la banque et du paiement.
Dans une étude récente, Deloitte explique que la révolution Open Banking incite les banques à ouvrir leurs systèmes d’information et à partager avec leurs concurrents une partie de leurs données clients. Un phénomène qui ne cesse de prendre de l’ampleur, notamment avec l’entrée en vigueur de la DSP2.
L’Open Banking : le monde bancaire de demain
L’Open Banking : le monde bancaire de demain
Mais qu’entend-on par Open Banking ?
« L’Open Banking repose sur l’ouverture des systèmes d’information des banques et le partage de données de leurs clients à des tiers. L’API (Application Programming Interface) est au cœur de ce modèle », a expliqué le cabinet d’audit. « Cette avancée technologique permet aux développeurs d’intégrer les données et les services de tierces-parties au sein de leurs applications ». Deloitte précise que cette solution permet à tous les acteurs du marché de se connecter aux services des banques traditionnelles pour y développer leurs propres applications.
Open Banking : un besoin d’adaptation pour les acteurs du secteur
Open Banking : un besoin d’adaptation pour les acteurs du secteur
La DSP2 reconnaît et réglemente les prestataires de services de paiement tiers qui sont autorisés à accéder aux comptes, à agréger leurs données et à initier les services de paiement et dont le rôle est d’accepter le paiement en ligne. La directive prévoit que les commerçants, les fintechs et les banques puissent communiquer via des API. Les banques devront proposer ce canal de communication sécurisé aux prestataires de services de paiement tiers souhaitant agréger les données des comptes bancaires ou initier des services de paiement.
Quelles obligations pour les banques avec l’Open Banking ?
Désormais, les clients souhaitent pouvoir disposer de leurs données bancaires partout, tout le temps et simplement. Les banques sont donc contraintes de les mettre à disposition d’établissements financiers tiers, au travers d’interfaces de programmation (API). L’objectif de cette mutation du secteur est de stimuler la concurrence et l’innovation.
Le site de Red Hat définit une API comme un ensemble d’outils, de définitions et de protocoles qui facilite la création et l’intégration de logiciels d’applications. Elle permet à un produit ou à un service de communiquer avec d’autres produits et services sans connaître les détails de leur mise en œuvre. D’après l’éditeur mondial de solutions logicielles Open Source, les API « constituent un moyen simplifié de connecter votre propre infrastructure au travers du développement d’applications natives pour le cloud. Elles vous permettent également de partager vos données avec vos clients et d’autres utilisateurs externes ».
Côté back-end, cela signifie que les communications entre les serveurs des différents acteurs de la chaine sont protégées grâce à des certificats électroniques.
Certificats électroniques : une obligation de s’équiper
Certifications électroniques : une obligation de s’équiper
Pour assurer le niveau de sécurité requis par la DSP2, les banques et les PSP doivent s’équiper de deux certificats électroniques :
- Le certificat eIDAS QWAC (Qualified Website Authentication Certificate). Il permet aux serveurs d’un PSP et d’une banque de s’authentifier mutuellement et de maintenir les communications chiffrées.
- Le certificat eIDAS QSEAL (Quailified electronic Seal Certificate). Il permet aux serveurs d’un PSP et d’une banque de sceller le contenu d’une transaction.
Ces certificats permettent aux banques et aux prestataires de services de paiement de sécuriser les transactions. Mais ce n’est pas tout. Ils permettent de protéger les données des comptes de paiement tout en garantissant la conformité avec la directive européenne. En outre, sécuriser les transactions entre les banques et les PSP assure la traçabilité des échanges et garantit une authentification mutuelle entre les deux parties.
Certificat SSL
Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou e-commerce de votre entreprise
Certificat DSP2
Ce type de certificat utilisé par les banques et les prestataires de services de paiement pour assurer la sécurité des données échangées
Certificat SSL
Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou
e-commerce de votre entreprise
Certificat DSP2
Ce type de certificat utilisé par les banques et les prestataires de services de paiement pour assurer la sécurité des données échangées
