7ème matinée de l’API Connection – PSD2 : risque ou opportunité pour les acteurs des Services de Paiement

Budget Insight était présent lors de la 7ème matinée de l’API Connection organisée par CA Technologies. Nous avons eu l’occasion de pitcher sur l’expérience de l’agrégateur de comptes, nos limites actuelles, les perspectives offertes par la mise en place de la DSP2 aussi bien sur le plan technique que métier.

caClément Coeurdeuil qui nous parle des différents scénarios d’authentification

Quel est le lien entre l’agrégation bancaire et la DSP2 et quel est l’impact de la DSP2 sur le métier de l’agrégation bancaire ?

Quand nous regardons l’évolution de l’usage depuis 4 ans. Nous avons aujourd’hui plus de 2M d’utilisateurs de Personal Finance Management indépendant en France comprenant Linxo, Bankin et Budgea.

Nous avons plusieurs dizaines de milliers d’entreprises avec des évolutions de trafic de 20% par mois ainsi que des demandes croissantes de raccordement à de nouveaux établissements bancaires.

La DSP2 est donc la réponse à l’usage de technologies non régulées liées à la donnée bancaire. L’usage transforme le métier des banques et des Fintech mais aussi celui de tous nos partenaires et de leurs clients.

Bien sur le marché n’a pas attendu qu’un agrégateur arrive pour répondre en partie à ce besoin. De fait, il existe des protocoles substituts de l’agrégation bancaire par scrapping. En fonction de la taille des entreprises, il y a des solutions différentes (SWIFT, EBICS..).

La puissance de la DSP2, c’est l’immédiateté de l’accès à la donnée. Ce qui fait que nous nous développons, c’est cette capacité que possède la technologie de scrapping à connecter un nouvel utilisateur en 30 secondes grâce à votre identifiant bancaire.

Aujourd’hui, nous utilisons le webscrapping.

Il y a quatre acteurs : l’utilisateur (détenteur des codes et propriétaire des données), l’application utilisatrice des données, l’AIS et le site web de la banque.

Il y a différents scénarios possibles d’authentification que nous pouvons analyser :

Scénario 1 – OAuth2

Cette fois, avec Oauth, la banque met à disposition une webview grâce à son API, nous sommes donc passé du site web à l’API.

Cette Webview est transférée à l’utilisateur par l’AIS et l’application. En même temps que l’utilisateur enregistre ses données dans la Webview, l’AIS présente son certificat SSL avec sa licence. La banque vérifie que la licence est valide auprès de l’autorité de certification.

La banque donne accès ensuite à l’AIS  via un token à son API pour qu’il puisse faire des requêtes permettant de récupérer les données. On peut se demander à quoi sert l’AIS dans ce scénario, il est fort probable que chaque banque ait une API un peu différente sur laquelle il faudra faire un travail pour se raccorder. De plus toutes les banques ne disposeront pas d’une API en même temps.

C’est pour le moment, le système le plus sécurisé et le plus DSP2 compliant. L’AIS ne voit pas les IDs donc il y a moins de faille de sécurité possible et il est reconnu par la banque. La banque devra donc fournir les mêmes données à l’AIS qu’à l’utilisateur.

Scénario 2 : Le tiers de confiance

Nous sommes globalement dans le même scénario qu’avant mais la banque délègue le système d’authentification à un tiers. Ce système intègre un nouvel acteur qui n’existe pas et qui n’a pas de modèle aujourd’hui. La DSP2 d’ailleurs empêche potentiellement qu’il en ait un face à face AIS/PIS qui eux doivent pouvoir se connecter librement pour récupérer la donnée. Nous ne pensons pas que toutes les banques accepteront de déléguer l’authentification de leurs clients à un tiers.

La réponse technologique au besoin est de faire plus simple, plus rapide, plus fluide, c’est d’ainsi segmenter les services en un réseau d’API. Pour bien faire dans ce domaine, il faut être expert. L’API c’est le moyen de présenter une expertise.

Retour sur les différentes présentations..

 – Introduction de la matinée avec Marie-Benoite Chesnais de chez CA technologies

– L’objectif de la DSP2 et les impacts sur le marché par Narinda You de chez Crédit Agricole & EPC

– L’impact de l’ouverture du marché pour l’ensemble des acteurs, les bénéfices et partenariats par Jean-Louis Hoenen de chez SlimPay

– Les premières actions des clients de Solucom pour la mise en œuvre de la DSP2 par Bertrand Carlier de chez Solucom

Extrait de la présentation de Clément Coeurdeuil du 19 mai 2016