La Directive européenne sur les Services de Paiement n°2 (DSP2) est en principe applicable depuis le début 2018 et l'on vient de sortir du délai de grâce qui courait jusqu'au 14 septembre. Mais les retards s'accumulent et rares sont les banques qui peuvent se dire totalement conformes DSP2 tandis que la FinTech trépigne !
La directive européenne tarde à être mise en application. Mais il faut dire qu'elle poursuit deux objectifs pour le moins contradictoires :
► Renforcer la sécurité des transactions en ligne en imposant une authentification forte (1) pour tous les règlements de plus de 30€ avec le passage à la norme 3DSecure 2, protocole déjà adopté par Visa, Mastercard, CB, CUP, Diners et Amex, qu'il s'agit maintenant de généraliser dans l'e-commerce en Europe.
► Favoriser l'Open Banking, c'est-à-dire l'accès par des tiers aux informations bancaires et aux comptes des clients de banques (avec leur accord quand même) afin de créer de nouveaux services tels que des tableaux de bord et l'aide au suivi du budget familial entre plusieurs comptes courants et comptes d'épargne. Les établissements bancaires sont tenus de fournir aux tiers des API ou à défaut d'autoriser le web scraping (récupération des données bancaires via un programme ou un script).
Authentification forte pour tous
Concernant le premier point, l'Observatoire de la sécurité des moyens de paiement (OSMP, organisme présidé par le gouverneur de la Banque de France) a fixé la semaine dernière de nouveaux délais : la grande majorité des consommateurs bénéficieront d'une authentification forte d'ici décembre 2020, mais l'infrastructure technique 3D Secure 2 n'accueillera tous les intervenants qu'au plus tard en mars 2021.
Pour ce qui est du 2ème point, très peu d'établissements financiers sont aujourd'hui entièrement conformes DSP2 au niveau API. Certains comme le Crédit Agricole le revendique. Mais on est loin du compte et la FinTech s'impatiente tout en observant les quelques progrès. C'est le cas de la startup française Bankin' (et de sa maison mère Perspecteev) qui propose des apps de coaching pour la gestion financière familiale (3,2 millions d'utilisateurs revendiqués). Elle est déjà agréée par l'ACPR (autorité administrative) mais se trouve freinée dans son développement par le retard mis par les banques à développer leurs APIs.
(1) L’authentification forte ou authentification à deux facteurs, combine l’utilisation de deux éléments parmi les trois catégories : quelques chose que l’on sait (mot de passe, code PIN), quelque chose que l’on possède (ordinateur, téléphone mobile), quelque chose que l’on est (empreinte digitale, rétine, voix).