AGRÉGATEURS : QUELS IMPACTS SI POUR LES BANQUES ?
Les nouveaux intermédiaires sur le marché du paiement, dont les agrégateurs, vont bénéficier de l’arrivée prochaine de la DSP21. Cette nouvelle directive qui va favoriser la concurrence et l’innovation autour du marché des paiements impose de nouvelles exigences vis-à-vis des banques. Elles se voient ainsi contraintes d’ouvrir leur SI à des tiers afin de mettre à disposition la liste des comptes d’un client (dès lors que ce dernier sera authentifié et que son consentement sera validé). Elles devront également permettre l’exécution d’opérations sur ces comptes (simple à priori dans un premier temps, mais certainement beaucoup plus complexes, lorsque les usages seront matures).
Une cinématique impliquant les agrégateurs comme les banques
Prenons le cas de M. Dupont, client de la Banque A et de la Banque B, qui décide d’avoir recours à l’agrégateur C pour gérer ses comptes de façon centralisée.
1 – Mr Dupont « s’enrôle » auprès de l’agrégateur C et peut ainsi gérer ses préférences _ Création d’un compte au niveau de l’agrégateur C
2- Depuis l’agrégateur C, un déport d’IHM1 vers la Banque A (ou une invocation de service) est réalisé pour assurer l’authentification
2 bis – Le même processus est réalisé pour la Banque B
3- Un jeton d’accès est créé depuis la banque A, il est stocké par l’agrégateur
3 bis – Un 2ème jeton d’accès est créé depuis la Banque B, il est stocké également par l’agrégateur
4- Un consentement (une forme d’opt-in client) est validé et stocké du côté de la Banque A pour confirmer la validation du client quant à l’accès à ses comptes depuis un agrégateur et à la possibilité de réaliser des opérations par l’intermédiaire de cet agrégateur.
4 bis – Un consentement est également validé et stocké du côté de la Banque B
Du côté des banques
De nouveaux processus à mettre en œuvre :
Afin de participer de façon sécurisée à cette nouvelle cinématique, de nombreux processus et fonctionnalités sont à mettre en œuvre du côté des banques :
- Gérer l’exposition de l’authentification afin qu’un client puisse, depuis un agrégateur, s’authentifier de façon transparente à son espace client bancaire
- Gérer le cycle de vie du jeton d’accès: sa création, son renouvellement, sa révocation…
- Gérer la délégation, par l’utilisateur, de ses accès auprès de l’agrégateur. En effet, c’est l’utilisateur qui décidera du niveau de délégation possible, pour chaque type d’actions, depuis l’agrégateur
- Gérer la traçabilité des actions de façon à pouvoir offrir des preuves opposables en cas de désaccord entre utilisateur, agrégateur et banque
- Gérer des restrictions pour se prémunir de tout acte malveillant (ex : capacité à révoquer en masse les délégations en cas de suspicion d’un hacking)
Une offre de service qui pourrait s’enrichir progressivement :
Dans une quête d’expérience client la plus fluide possible, tout en minimisant le risque de fraude, une gestion des différents niveaux d’authentification peut être assurée par la banque. En fonction du niveau d’authentification, les services associés seraient mis à disposition de l’utilisateur via son agrégateur. Par exemple, un jeton lié à une authentification forte, permet de valider un virement dans les dix minutes, de voir ses opérations pendant une semaine, de voir un solde (sans numéro de compte) pendant les semaines suivantes…
En utilisant une authentification basée sur les risques, la banque pourrait fournir un niveau de sécurité plus personnalisé. Ainsi des données transactionnelles et contextuelles (géolocalisation, device, comportement de navigation…) pourraient être utilisées pour réaliser des détections de fraude.
Les banques ne laisseront pas le marché se structurer sans elles :
Elles travaillent déjà sur un nouveau positionnement qui pourra prendre plusieurs formes .
Offrir des services d’agrégateur de comptes :
Dans ce cas, elles devront s’organiser pour stocker les éléments suivants :
- Les jetons d’accès fournis par les autres banques
- La liste des comptes d’un client, une fois ce dernier authentifié
- Les préférences en tant qu’utilisateur du service d’agrégation.
Se positionner sur le marché de l’identité numérique :
L’idée consiste à créer une identité numérique après vérification physique de la personne, pouvant être utilisée dans les nombreuses situations où la vérification d’identité est nécessaire. Cela constituerait une alternative aux solutions des GAFA qui ne peuvent assurer ce niveau de service. Néanmoins, ce positionnement est complexe à mettre en œuvre contrairement à d’autres acteurs de réseau qui disposent d’une plus grande proximité avec les clients (comme par exemple La Poste).
Évoluer vers la fourniture de services KYC (Know your customer) en mode SaaS. en proposant à d’autres entités d’identifier le bénéficiaire ultime lors d’une transaction bancaire.
Afin d’éviter un déplacement de la marge vers de nouveaux acteurs (agrégateurs ou nouveaux opérateurs qui «offrent» des moyens de paiement) les Banques sont donc amenées à innover rapidement pour à leur tour proposer de nouveaux services basés essentiellement sur la connaissance client.
1DSP2 : révision en 2013 de la Directive Services de Paiement afin de prendre en compte les évolutions technologiques et les nouveaux usages apparus sur le marché des paiements depuis l’adoption de la DSP1 en 2007