Tirons le bilan de DSP2 pour avancer

Créé le

21.01.2022

L’agenda européen s’intéresse au partage de données et à l’open banking. Très bien ! C’est l’occasion de commencer le bilan – positif ou négatif – de la DSP2. Et de rappeler que les risques cyber se sont accrus.

Image

Dès le vote par le Parlement et le Conseil européen de la révision de la directive sur les services de paiement en novembre 2015, la profession bancaire a engagé une réflexion sur la meilleure manière d’appréhender ce texte. Il est sans précédent en termes de contrainte dans une industrie. Il impose aux banques de donner accès à leurs systèmes d’information pour, d’une part, obtenir des données et, d’autre part, effectuer des opérations de paiement initiées par un tiers… sans que ces deux relations ne soient régies contractuellement ni ne fassent l’objet d’une rémunération ! Au passage, il laisse le soin aux banques de développer et de financer le canal permettant que l’échange d’informations se fasse selon les principes de sécurité, normés et détaillés, édictés par l’Autorité bancaire européenne.

Plus de six ans après l’adoption de cette directive, des réflexions s’engagent au niveau européen sur le partage de données en intersectoriel (Data Act) d’une part, et au niveau du secteur financier dans le cadre plus large de l’Open banking d’autre part. À ce moment du calendrier, il importe d’analyser précisément les effets de la DSP2 et d’en établir précisément le bilan. De le mettre aussi en perspective d’un environnement global qui a très sensiblement évolué depuis les prémices de cette directive...…

Première analyse : des investissements massifs

La DSP2 a été une directive très structurante pour la profession bancaire et l’univers des paiements. Pour les banques, cette réglementation a engendré de nouveaux investissements très conséquents.

Au niveau de l’IT

Les banques ont vu leurs systèmes d’information sursollicités par des third party providers (TPP) : elles ont été contraintes de les redimensionner alors qu’elles n’avaient aucune relation contractuelle ni commerciale avec les TPP. Des TPP qui utilisaient de manière sauvage le « screen scraping ».

Par ailleurs, les banques ont développé un standard d’API, le premier en Europe, en conciliant la sécurité des accès et une approche moderne et facilitée pour la connexion des TPP. Bilan ? La communauté bancaire française a été ambitieuse dans l’application de cette directive.

Sur les risques

Le régime de responsabilité impose que la banque teneur de compte soit guichet unique et soit l’entité en charge de rembourser à première demande toute opération, quand bien même la dernière a été opérée via un initiateur ! Cela a nécessité de revoir la gestion des risques et du traitement de la fraude au sein des banques pour tenir compte de cette intervention d’un tiers dans la relation entre le client et sa banque, source de risque, car les termes de sécurité et connexions techniques ne sont pas encadrés contractuellement.

Sur la gestion de l’authentification forte

Se sont déployées des solutions adaptées à l’ensemble des clients et pas seulement aux familiers des outils digitaux. Ce travail considérable a impliqué les équipes de développement technique, mais également les équipes de marketing, de communication et d’accompagnement de la clientèle. Cet investissement sans faille a participé à la très bonne appréhension des solutions de SCA par les clients.

Sur les back offices

Les obligations nouvelles imposées par le superviseur (DSP2 ou BCE) notamment liées à la collecte des informations de fraude, se complexifient et s’alourdissent chaque année : a minima trois millions d’indicateurs doivent être renseignés chaque mois, trimestre et année.

Ces enjeux structurels à étudier de près

La sécurité : le point faible est en bout de chaîne

Si les chiffres venaient à confirmer l’effet positif du déploiement de l’authentification forte sur la baisse de la fraude pour les transactions à distance, il serait cependant nécessaire d’apprécier la sécurité de l’ensemble de la chaîne des paiements. À première vue, il est un principe évident : le niveau de sécurité de la chaîne des paiements se situe au niveau de son maillon le plus faible. L’expérience montre que, face au renforcement continu de la sécurité des systèmes, ce sont les pratiques des clients qui sont utilisées par les fraudeurs comme porte d’entrée.

La communication permanente des banques à l’égard de leurs clients sur la sensibilisation aux risques et à la nécessité de protection de leurs identifiants bancaires est indispensable. Si elle est très active, cela n’empêche pas que les tentatives d’escroquerie via le phishing augmentent, en lien avec la forte croissance du nombre de transactions et d’usages, avec plus de 46 000 sites de phishing détectés chaque semaine [1] . La sensibilisation, l’éducation et la responsabilisation de tous les clients sont nécessaires : les banques y contribuent très largement au travers des nombreuses informations qu’elles diffusent à leurs clients, et la FBF, par son programme d’éducation financière des « clés de la banque » [2] .

Sur ce sujet, la profession bancaire mène un combat de tous les instants pour protéger ses clients ; elle agit d’ores et déjà auprès des fournisseurs d’accès internet afin d’améliorer et corriger les faiblesses propres de certains fournisseurs d'accès à Internet (FAI) dans l’utilisation des e-mails. C’est le canal privilégié pour les attaques cyber.

La question sécuritaire s’inscrit dans un environnement nouveau. Le risque cyber s’accroît considérablement et les ransomwares, à destination de particuliers ou d’entreprises, se multiplient. À titre d’illustration, l’ANSSI (Agence nationale de la sécurité des systèmes d'information) a recueilli 192 signalements en 2020, contre seulement 54 l’année précédente. Les attaques sont de plus en plus sophistiquées, avec à la clé une double extorsion : chiffrement et publication en ligne des données. Dans ce contexte, il est indispensable de sensibiliser chacun à sa cyberprotection.

La gratuité n’est pas un modèle économique

Dans un environnement très concurrentiel, les banques sont tenues de toujours proposer des services ou des solutions techniques permettant de répondre aux besoins de leurs clients. Pour ce faire, elles peuvent soit les développer en interne, soit se tourner vers des prestataires proposant les services attendus.

L’adéquation des services aux besoins des clients se trouve renforcée par une connaissance fine de celui-ci et de ses besoins, ce qui conduit certaines banques à promouvoir l’open banking. L’accès aux données et leur traitement sont facilités par le développement des API. Mais le développement de ces API par les banques pour une utilisation commerciale par des acteurs tiers a un coût : architectures informatiques, connexions, exploitation et traitement des requêtes… Ce coût est lié à la qualité de service et à la sécurité des accès, qui ne sont pas négociables. Par conséquent, la question du modèle économique est primordiale et le cadre mis en place avec la DSP2 ne saurait être reconduit tel quel. Ce point semble désormais être admis par l’ensemble des acteurs de l’écosystème paiement européen qui travaille, au sein de l’EPC, à l’élaboration d’un schème d’API paiement à valeur ajoutée.

Esquisses de conclusion

L’année 2022 sera marquée par de nombreuses initiatives et réflexions européennes autour de l’ouverture et de l’accès aux données. Une certaine prudence est de mise au regard des risques cyber actuels et de la nécessité d’appréhender la souveraineté européenne face à la puissance des BigTechs.

Parce que l’esprit d’innovation se nourrit de l’ouverture, et qu’il prospère dans la sécurité qui a une forte valeur pour les clients, les banques françaises sont résolument engagées dans une démarche de coopération avec de multiples acteurs. Cette approche doit permettre de répondre aux besoins des clients, et se fonder sur l’approche stratégique décidée par chaque banque mais pas imposée par les canons du modèle singulier de la DSP2.

Finalement, ce n’est peut-être pas un hasard si selon une enquête menée par IFOP, 7 Français sur 10 placent les banques très largement en tête des acteurs en qui ils ont confiance pour la sécurisation de leurs données à caractère personnel, loin devant les opérateurs de téléphonie (55 % environ) et deux fois plus haut que les GAFAM. Les banques préservent les intérêts de leurs clients, leur fournissent les produits et les services dont ils ont besoin et l’action reconnue de la profession bancaire dans la gestion de la crise sanitaire conforte ce constat. Il importe de s’en souvenir, et de s’en nourrir pour une innovation en toute confiance !

 

1 https://transparencyreport.google.com/
2 https://www.lesclesdelabanque.com/

À retrouver dans la revue
Image
Revue Banque Nº865
Notes :
1 https://transparencyreport.google.com/
2 https://www.lesclesdelabanque.com/
Club Banque