Menu

Nouvel avis de l'EBA sur les obstacles des API DSP2

Le dernier avis de l'Autorité Bancaire Européenne (EBA) vise à mettre en place des conditions de concurrence équitables pour les API DSP2 dans toute l'Europe, en appelant à la suppression des obstacles qui entravent l'accès des comptes aux fournisseurs tiers - d'ici le 30 avril 2021. Voici le point de vue de Tink sur les éléments les plus importants.

En bref

  • L'avis de l'EBA publié le 22 février 2021 indique que les obstacles des API DSP2 ne seront plus tolérés

  • Les autorités financières décideront de révoquer les exemptions de mécanisme de secours si les banques n'éliminent pas les obstacles de leurs API.

  • L'élimination des obstacles, en particulier pendant le parcours d'authentification, augmentera la conversion ainsi que l'adoption de solutions open banking.

What the EBA putting its foot down on PSD2 API obstacles really means

L'avis de l'EBA envoie un signal important au marché. Il établit que les obstacles des API DSP2, qui empêchent les fournisseurs tiers (TPP) d'accéder aux comptes pour offrir des services open banking, ne sont plus dépendants du retour d’information des TPP - et ne seront plus tolérés. 

L'objectif est de créer des conditions beaucoup plus équitables dans toute l'Union Européenne et entre les banques. Nous pensons que la suppression des obstacles, en particulier pendant le processus d'authentification, augmentera en fin de compte le taux de conversion, favorisera l'adoption des solutions d’open banking et fera en sorte que l'initiation des paiements devienne une véritable alternative à de nombreuses technologies de paiement établies. 

L'un des plus grands problèmes réside dans les exemptions de mécanisme de secours qui ont été accordées à un grand nombre de banques. Et ce, malgré les obstacles courants qui empêchent les TPP autorisés d'accéder aux comptes de paiement.

Cet avis de l'EBA indique essentiellement aux autorités financières de les révoquer si les banques ne suppriment pas les obstacles de leurs API DSP2 - suggérant qu’elles peuvent recourir à des amendes si les banques ne s’y conforment pas. Si l'EBA constate des incohérences dans la manière dont la DSP2 et les normes techniques réglementaires (RTS) sont appliquées après le 30 avril 2021, elle prendra des mesures pour y remédier dans tous les États membres de l'UE.

Pourquoi c’est important

Cet avis de l'EBA montre que les "obstacles" ne sont plus considérés comme subjectifs. Ils sont mesurables, et la responsabilité d'évaluer les API DSP2 relève de la compétence des autorités financières. Il s'agit d'une avancée significative par rapport aux obstacles définis par les retour d’information des TPP, qui varient inévitablement d'un État membre à l'autre en fonction du nombre de TPP présents et de la maturité du marché open banking.

Quels sont donc les obstacles auxquels l'EBA fait référence ? La plupart d'entre eux sont mis en évidence dans l'avis de l'EBA du 4 juin 2020 et concernent le flux d'authentification.

1 - La non prise en charge de la redirection d'application à application, lorsque celle-ci est proposée aux clients dans leur interface bancaire normale, obligeant les utilisateurs à effectuer des trajets peu pratiques et peu intuitifs où ils doivent saisir les détails de l'IBAN ou le nom d'utilisateur et les mots de passe sur leurs appareils mobiles.

2 - Exiger plus d’une seule authentification forte du client (SCA) pour l’AIS et le PIS. Certaines banques exigent que l'utilisateur effectue un flux SCA au début du parcours d'authentification, lorsqu'il sélectionne et confirme un compte auquel se connecter, et lorsqu'il donne accès à des informations de compte de paiement à faible risque pendant 90 jours. 

3 - Certaines banques ont intégré des étapes et des contrôles de consentement superflus dans le parcours d'authentification, obligeant les utilisateurs à passer par 5 à 15 écrans qui peuvent prendre en moyenne 2-3 minutes à l'utilisateur, au lieu de 1 à 3 écrans qui peuvent être complétés en 10-30 secondes. 

Mais les obstacles sont plus nombreux que ceux énumérés ci-dessus. Les TPP rencontrent fréquemment des obstacles dans le processus d'enregistrement, l'étendue de l'accès au compte, l'étendue des données, l'accès au compte lorsque l'utilisateur n'est pas présent, et bien d'autres domaines. 

Quels que soient les obstacles, l'EBA souligne que les API DSP2 ne doivent pas créer de frictions inutiles ni ajouter des étapes inutiles au parcours client.

La vue d'ensemble

Pour comprendre l'importance réelle de cet avis de l'EBA, nous devons revenir aux fondements de la DSP2et du RTS pour une authentification forte des clients (SCA) et une communication commune sécurisée (CSC).

Après l'entrée en vigueur de la DSP2 en 2016, l'EBA a défini la manière dont les TPP autorisés - offrant des informations sur les comptes ou des services d'initiation de paiement - pouvaient accéder au compte bancaire d'un client. Il était courant pour des sociétés comme Tink de le faire en accédant à l'interface client existante et éprouvée, pour fournir des services open banking de qualité avec le consentement explicite du client. 

Mais de nombreuses banques ont indiqué qu'il serait préférable pour leurs clients et leurs systèmes back-end que les TPP n'utilisent qu'une interface dédiée - les API DSP2 - pour accéder aux données des comptes de paiement. 

Afin de protéger les TPP établis de l'impact des mauvaises API DSP2, l'EBA a déclaré que les banques ne pouvaient bénéficier d'une exemption permettant aux TPP d'accéder à l'interface client que si l'API DSP2 répondait à des critères stricts :

1 - L'API DSP2 est disponible pour des tests pendant six mois et largement utilisée pendant trois mois.

2 - L'API DSP2  serait aussi performante, voire meilleure, que l'interface client d'un point de vue technique.

3 - L'utilisation de l'API DSP2  pour offrir des services open banking ne créerait pas d'obstacles pour le TPP.

Retour d'information et exemptions de mécanisme de secours

Lorsque les API DSP2 ont été introduites pour la première fois - entre mars et septembre 2019 - de nombreuses autorités financières n'avaient reçu aucun retour de la part des TPP sur la question de savoir si les API DSP2 créaient des obstacles. Dans les pays où il n'y avait qu'une poignée de TPP autorisés, les autorités ont été plus rapides à accorder des exemptions que dans les pays où des TPP établis fonctionnent depuis de nombreuses années. 

Au cours de l'été 2020, l'EBA a exhorté les autorités à supprimer les obstacles qui empêchaient les TPP d'offrir des services open banking à la concurrence, qu'ils aient reçu ou non des plaintes concernant les API DSP2.

L'EBA demande maintenant aux autorités financières d'appliquer la DSP2 et le RTS de la manière prévue. 

Maintenant que les TPP ont testé et utilisé les API DSP2 pendant 24 mois, l'EBA veut que les autorités financières revoient les exemptions et s'assurent que les obstacles dans les API DSP2 sont identifiés et supprimés dans un délai raisonnable. 

Si les banques n'éliminent pas ou ne peuvent pas éliminer ces obstacles, les autorités auront la possibilité de révoquer les exemptions et redonner aux TPP la possibilité de fournir des services open banking en faisant du screen scraping ou du reverse engineering de l'interface client. L'EBA a même suggéré que les autorités aient le pouvoir d'imposer des amendes pour non-conformité, et l'EBA prendra elle-même des mesures si des incohérences sont constatées dans l'application de la DSP2 et du RTS après le 30 avril 2021.

En bref

  • L'avis de l'EBA publié le 22 février 2021 indique que les obstacles des API DSP2 ne seront plus tolérés

  • Les autorités financières décideront de révoquer les exemptions de mécanisme de secours si les banques n'éliminent pas les obstacles de leurs API.

  • L'élimination des obstacles, en particulier pendant le parcours d'authentification, augmentera la conversion ainsi que l'adoption de solutions open banking.

More in France

De Stockholm à Paris - une fintech à la française (partie 4)
2021-12-02 · 6 min read

De Stockholm à Paris (partie 4) - une fintech à la française.

Découvrez les membres de l’équipe parisienne à travers une série d'interviews - avec cet interview nous vous présentons Jérôme Albus, Directeur Régional chez Tink depuis Mai 2019.

France
Améliorez l'évaluation des risques et les processus de demande de crédit grâce à la solution Risk Insights
2021-11-22 · 6 min read

Améliorez l'évaluation des risques et les processus de demande de crédit grâce à la solution Risk Insights

Créer des profils de risque détaillés peut s’avérer difficile. Mais nous avons un nouveau produit pour résoudre ce problème. Découvrez comment Risk Insights de Tink donne aux prêteurs plus d'informations sur lesquelles s'appuyer, tout en améliorant le processus de demande pour les consommateurs.

France
How Gimi is promoting financial education for children with open banking
2021-10-28 · 3 min read

Comment Gimi promeut l'éducation financière aux enfants grâce à l'open banking

Découvrez comment la startup suédoise Gimi enseigne aux enfants les concepts de base des finances personnelles tout en leur donnant les moyens de mieux gérer leurs finances - grâce à l'open banking.

France

Commencez avec Tink

Contactez notre équipe pour en savoir plus sur nos solutions ou créez un compte gratuit pour commencer dès maintenant.

Contact our team to learn more about our premium solutions or create a free account to get started right away.