Nouvel avis de l'EBA sur les obstacles des API DSP2
Le dernier avis de l'Autorité Bancaire Européenne (EBA) vise à mettre en place des conditions de concurrence équitables pour les API DSP2 dans toute l'Europe, en appelant à la suppression des obstacles qui entravent l'accès des comptes aux fournisseurs tiers - d'ici le 30 avril 2021. Voici le point de vue de Tink sur les éléments les plus importants.
L'avis de l'EBA publié le 22 février 2021 indique que les obstacles des API DSP2 ne seront plus tolérés
Les autorités financières décideront de révoquer les exemptions de mécanisme de secours si les banques n'éliminent pas les obstacles de leurs API.
L'élimination des obstacles, en particulier pendant le parcours d'authentification, augmentera la conversion ainsi que l'adoption de solutions open banking.
L'avis de l'EBA envoie un signal important au marché. Il établit que les obstacles des API DSP2, qui empêchent les fournisseurs tiers (TPP) d'accéder aux comptes pour offrir des services open banking, ne sont plus dépendants du retour d’information des TPP - et ne seront plus tolérés.
L'objectif est de créer des conditions beaucoup plus équitables dans toute l'Union Européenne et entre les banques. Nous pensons que la suppression des obstacles, en particulier pendant le processus d'authentification, augmentera en fin de compte le taux de conversion, favorisera l'adoption des solutions d’open banking et fera en sorte que l'initiation des paiements devienne une véritable alternative à de nombreuses technologies de paiement établies.
L'un des plus grands problèmes réside dans les exemptions de mécanisme de secours qui ont été accordées à un grand nombre de banques. Et ce, malgré les obstacles courants qui empêchent les TPP autorisés d'accéder aux comptes de paiement.
Cet avis de l'EBA indique essentiellement aux autorités financières de les révoquer si les banques ne suppriment pas les obstacles de leurs API DSP2 - suggérant qu’elles peuvent recourir à des amendes si les banques ne s’y conforment pas. Si l'EBA constate des incohérences dans la manière dont la DSP2 et les normes techniques réglementaires (RTS) sont appliquées après le 30 avril 2021, elle prendra des mesures pour y remédier dans tous les États membres de l'UE.
Pourquoi c’est important
Cet avis de l'EBA montre que les "obstacles" ne sont plus considérés comme subjectifs. Ils sont mesurables, et la responsabilité d'évaluer les API DSP2 relève de la compétence des autorités financières. Il s'agit d'une avancée significative par rapport aux obstacles définis par les retour d’information des TPP, qui varient inévitablement d'un État membre à l'autre en fonction du nombre de TPP présents et de la maturité du marché open banking.
Quels sont donc les obstacles auxquels l'EBA fait référence ? La plupart d'entre eux sont mis en évidence dans l'avis de l'EBA du 4 juin 2020 et concernent le flux d'authentification.
1 - La non prise en charge de la redirection d'application à application, lorsque celle-ci est proposée aux clients dans leur interface bancaire normale, obligeant les utilisateurs à effectuer des trajets peu pratiques et peu intuitifs où ils doivent saisir les détails de l'IBAN ou le nom d'utilisateur et les mots de passe sur leurs appareils mobiles.
2 - Exiger plus d’une seule authentification forte du client (SCA) pour l’AIS et le PIS. Certaines banques exigent que l'utilisateur effectue un flux SCA au début du parcours d'authentification, lorsqu'il sélectionne et confirme un compte auquel se connecter, et lorsqu'il donne accès à des informations de compte de paiement à faible risque pendant 90 jours.
3 - Certaines banques ont intégré des étapes et des contrôles de consentement superflus dans le parcours d'authentification, obligeant les utilisateurs à passer par 5 à 15 écrans qui peuvent prendre en moyenne 2-3 minutes à l'utilisateur, au lieu de 1 à 3 écrans qui peuvent être complétés en 10-30 secondes.
Mais les obstacles sont plus nombreux que ceux énumérés ci-dessus. Les TPP rencontrent fréquemment des obstacles dans le processus d'enregistrement, l'étendue de l'accès au compte, l'étendue des données, l'accès au compte lorsque l'utilisateur n'est pas présent, et bien d'autres domaines.
Quels que soient les obstacles, l'EBA souligne que les API DSP2 ne doivent pas créer de frictions inutiles ni ajouter des étapes inutiles au parcours client.
La vue d'ensemble
Pour comprendre l'importance réelle de cet avis de l'EBA, nous devons revenir aux fondements de la DSP2et du RTS pour une authentification forte des clients (SCA) et une communication commune sécurisée (CSC).
Après l'entrée en vigueur de la DSP2 en 2016, l'EBA a défini la manière dont les TPP autorisés - offrant des informations sur les comptes ou des services d'initiation de paiement - pouvaient accéder au compte bancaire d'un client. Il était courant pour des sociétés comme Tink de le faire en accédant à l'interface client existante et éprouvée, pour fournir des services open banking de qualité avec le consentement explicite du client.
Mais de nombreuses banques ont indiqué qu'il serait préférable pour leurs clients et leurs systèmes back-end que les TPP n'utilisent qu'une interface dédiée - les API DSP2 - pour accéder aux données des comptes de paiement.
Afin de protéger les TPP établis de l'impact des mauvaises API DSP2, l'EBA a déclaré que les banques ne pouvaient bénéficier d'une exemption permettant aux TPP d'accéder à l'interface client que si l'API DSP2 répondait à des critères stricts :
1 - L'API DSP2 est disponible pour des tests pendant six mois et largement utilisée pendant trois mois.
2 - L'API DSP2 serait aussi performante, voire meilleure, que l'interface client d'un point de vue technique.
3 - L'utilisation de l'API DSP2 pour offrir des services open banking ne créerait pas d'obstacles pour le TPP.
Retour d'information et exemptions de mécanisme de secours
Lorsque les API DSP2 ont été introduites pour la première fois - entre mars et septembre 2019 - de nombreuses autorités financières n'avaient reçu aucun retour de la part des TPP sur la question de savoir si les API DSP2 créaient des obstacles. Dans les pays où il n'y avait qu'une poignée de TPP autorisés, les autorités ont été plus rapides à accorder des exemptions que dans les pays où des TPP établis fonctionnent depuis de nombreuses années.
Au cours de l'été 2020, l'EBA a exhorté les autorités à supprimer les obstacles qui empêchaient les TPP d'offrir des services open banking à la concurrence, qu'ils aient reçu ou non des plaintes concernant les API DSP2.
L'EBA demande maintenant aux autorités financières d'appliquer la DSP2 et le RTS de la manière prévue.
Maintenant que les TPP ont testé et utilisé les API DSP2 pendant 24 mois, l'EBA veut que les autorités financières revoient les exemptions et s'assurent que les obstacles dans les API DSP2 sont identifiés et supprimés dans un délai raisonnable.
Si les banques n'éliminent pas ou ne peuvent pas éliminer ces obstacles, les autorités auront la possibilité de révoquer les exemptions et redonner aux TPP la possibilité de fournir des services open banking en faisant du screen scraping ou du reverse engineering de l'interface client. L'EBA a même suggéré que les autorités aient le pouvoir d'imposer des amendes pour non-conformité, et l'EBA prendra elle-même des mesures si des incohérences sont constatées dans l'application de la DSP2 et du RTS après le 30 avril 2021.
More in Open banking
Comment le règlement européen sur les paiements instantanés va changer le paysage des paiements dans l’UE
Nous explorons les détails du règlement sur les paiements instantanés, ainsi que ses avantages pour les consommateurs et les PSP, tels qu'une commodité accrue, davantage d'innovation sur le marché et une réduction des coûts.
Comment le nouveau portefeuille d’identité numérique de l’UE pourrait changer notre façon de payer
L’eIDAS 2.0 et le portefeuille d’identité numérique de l’UE arrivent et ont le potentiel de révolutionner le paysage des paiements numériques, rendant les transactions plus sécurisées que jamais. Découvrez ce que cela signifie pour les paiements, ainsi que pour les consommateurs et les entreprises.
Réglementation européenne sur les paiements : les trois étapes clés de 2024
Dans la perspective de la réglementation financière de l’Union européenne de l’année prochaine, trois développements importants devraient façonner l’avenir des PIS : la réglementation des paiements instantanés, le portefeuille d’identité numérique de l’UE et le système SPAA.
Commencez avec Tink
Contactez notre équipe pour en savoir plus sur nos solutions ou créez un compte gratuit pour commencer dès maintenant.
