API PSD2 STET 1.4 – Épisode 2

Dans la continuité de l’article précédent sur la version 1.4 de l’API STET, une évolution notable est l’introduction de la « Trusted Beneficiaries List », la liste d’exemption à la SCA (Strong Customer Authentication) prévue par la PSD2 pour les bénéficiaires de virements.

La plupart des banques françaises imposent déjà l’ajout d’un IBAN dans une liste de bénéficiaires, validée par une authentification forte, pour l’exécution de virements. La validation s’accompagne même d’une attente allant de 48h à 72h ouvrés selon les banques avant de pouvoir effectuer un virement, ce qui a de lourds impacts sur l’expérience client.

La mécanique proposée par la PSD2 et l’API STET est différente, car il ne s’agit pas de manipuler une liste de bénéficiaires vers lesquels les virements peuvent seulement être émis, mais de pouvoir initier des virements vers n’importe quel IBAN, qui seront validés ou non par une SCA en fonction de la présence de celui-ci sur la liste d’exemption.

Il est à noter que la liste d’exemption n’est pas obligatoirement mise à disposition par les ASPSP, dans le sens où certaines banques ne la proposent pas (et imposent une SCA pour le moindre virement), et que la logique d’équivalence entre le site web et l’API s’applique à ce sujet.

Lors de l’initiation d’un virement, par le biais du POST sur /payment-requests, cela se manifeste par le fait de passer le champ isTrusted à true dans l’objet beneficiary pour réclamer que le bénéficiaire soit ajouté dans la liste d’exemption à l’issue de l’exécution du virement :

POST /payment-requests

{
  "paymentInformationId": "MyPmtInfId",
  "creationDateTime": "2018-10-01T13:25:22.527+02:00",
  "numberOfTransactions": 1,
  "creditorAccount": {
    "iban": "YY64COJH41059545330222956960771321"
  },
  "beneficiary": {
    "isTrusted": true
  },
  "creditTransferTransaction": [
    {
      "paymentId": {
        "instructionId": "MyInstrId",
        "endToEndId": "MyEndToEndId"
      },
      "requestedExecutionDate": "2018-10-01",
      "instructedAmount": {
        "currency": "EUR",
        "amount": "900.00"
      },
      "remittanceInformation": [
        "LOYER"
      ]
    }
  ],
  "supplementaryData": {
    "acceptedAuthenticationApproach": [
      "REDIRECT",
      "DECOUPLED"
    ],
    "successfulReportUrl": "https://biapi.pro/PaymentSuccess",
    "unsuccessfulReportUrl": "https://biapi.pro/PaymentFailure"
  }
}

Une fois le virement réalisé, l’exemption est rajoutée sur ce bénéficiaire. Un service a été ajouté, à savoir /trusted-beneficiaries, accessible aux AISP, afin d’avoir une vue sur la liste des bénéficiaires, qui est celle que l’utilisateur a auprès de sa banque. Néanmoins, pour l’instant il n’est pas possible de manipuler directement cette liste.

Dans le prochain épisode on s’attardera sur les nouveaux types de paiement qui ont été introduits par la version 1.4 de la spécification.

One comment

Comments are closed.