DSP2 : Opinion de l’EBA, notre analyse

Après une attente de plusieurs mois, l’EBA a publié le 4 juin dernier son “Opinion” sur le sujet des obstacles que peuvent présenter certaines API PSD2 à la prestation de service des TPP comme Budget Insight.

Cette opinion vient essentiellement préciser l’article 32(3) des RTS (SCA & CSC) et qualifier ce qui doit être considéré comme un obstacle et donc interdit par les autorités nationales compétentes (ACPR en France).

En voici les principaux enseignements :

1) Procédures d’authentification que les interfaces des ASPSP doivent prendre en charge

  1. La redirection ne doit pas être plus lourde que le parcours sur le canal de l’ASPSP (accès BEL)
  2. Les ASPSP offrant une authentification biométrique doivent également prendre en charge ce moyen pour les TPP, c’est-à-dire via la redirection app to app ou le parcours decoupled
  3. La redirection vers une interface web n’est autorisée que s’il s’agit de l’interface mobile de l’ASPSP
  4. Une redirection vers l’ASPSP doit rediriger automatiquement vers le TPP une fois l’authentification réalisée

2) Redirection obligatoire en point de vente

  1. Pas d’obligation pour les ASPSP d’implémenter une approche embedded pour le paiement en point de vente
  2. Les ASPSP doivent proposer la même offre de virements via leur API PIS que ce qu’ils proposent directement à leur PSU. Si le virement instantané est rendu disponible directement auprès de leur PSU alors il doit être supporté via leur API PIS

3) Multiples SCA

  1. Un parcours AIS uniquement ne doit pas nécessiter plus d’une SCA
  2. Un parcours PIS uniquement doit permettre un paiement unique avec une seule SCA si le PISP fournit toutes les informations nécessaires et notamment l’IBAN du payeur
  3. Les ASPSP demandant deux SCA doivent le justifier spécifiquement
    • En cas de suspicion de fraude sur un paiement particulier
    • Le fait que l’ASPSP nécessite une SCA distincte pour se connecter n’est pas une raison suffisante
  4. Cependant, si un PISP ne fournit pas l’IBAN du payeur et que le PSU doit d’abord sélectionner le compte, une deuxième SCA pour cela peut être requise sur le volet AIS
  5. Si d’autres données de compte sont récupérées avant l’initiation, cela justifie également une deuxième SCA

4) Ré-authentification de 90 jours

  1. Pas de changement d’opinion de l’ABE, seuls les ASPSP peuvent faire la SCA
  2. Les ASPSP peuvent déléguer cela à un TPP (avec un contrat d’ externalisation), mais les TPP ne peuvent pas la faire eux-mêmes, pas même la SCA de renouvellement
  3. L’ABE conseille aux NCA d’encourager les ASPSP à utiliser l’exemption de 90 jours afin que la SCA ne se reproduise pas plus souvent que tous les 90 jours.

5) Sélection du compte

  1. La saisie manuelle obligatoire de l’IBAN est un obstacle, non autorisé
  2. Les AISP peuvent récupérer la liste des comptes de paiement, mais les ASPSP n’ont pas à fournir une liste de comptes de paiement aux TPP
    • « L’ASPSP n’est pas tenu de partager avec les PISP la liste de tous les comptes de paiement du PSU »
    • « En fait, un PISP n’a pas le droit, en vertu de la PSD2, d’accéder à la liste de tous les comptes de paiement du PSU, car ces informations dépassent le scope des données auxquelles les PISP ont le droit d’accéder »
  3. S’ils ne le font pas, ils doivent autoriser le PSU à sélectionner son compte sans plus de friction que sans TPP impliqué
  4. Par conséquent, un PISP n’ayant pas de licence AIS, doit obtenir l’IBAN du payeur ailleurs

6) Contrôles supplémentaires sur le consentement

  1. L’obtention du consentement du PSU est une obligation des TPP
  2. Les ASPSP ne sont pas censés et ne sont pas autorisés à vérifier ou à revérifier le consentement du PSU
  3. Cependant, « cela n’exclut pas la possibilité pour le PSU de demander à l’ASPSP de refuser l’accès à son/ses comptes de paiement à un ou plusieurs TPP ». [Cela suppose que les banques peuvent proposer une option de retrait de consentement]
  4. L’accès aux comptes d’entreprise ne devrait pas non plus faire l’objet de contrôles supplémentaires par rapport au parcours sans TPP

7) Enregistrements supplémentaires

  1. Un certificat eIDAS valide suffit pour accéder aux comptes ASPSP
  2. Un processus d’inscription n’est normalement pas nécessaire
  3. La seule exception est si cela est techniquement nécessaire, par ex. pour implémenter une redirection app to app

Que retenons nous de cette publication de l’EBA ?

C’est une avancée mais une avancée insuffisante.

Cette “Opinion” a le mérite d’exister et de clarifier des points importants tels que l’interdiction de demander à saisir manuellement l’IBAN du PSU (largement implémenté par les banques belges) ou encore les obligations relatives à la fluidité du parcours redirect (parcours app to app avec retour automatique vers le TPP).

Cette opinion vient donc confirmer que la très grande majorité des parcours redirect implémentés par les banques présentent des obstacles à notre prestation de services et ne sont pas conformes.

Malheureusement cette opinion laisse le sujet de la SCA et de son renouvellement des 90 jours ouvert. Rappelons que c’est le sujet qui cristallise toutes les tensions et qui met en danger la pérennité de nos services.

L’EBA a donc décidé de confirmer son interprétation douteuse de la DSP2 en affirmant que c’est aux ASPSP de gérer cette SCA et son renouvellement. A quoi bon être agréé établissement de paiement dans ce cas ?

Que doit-on espérer maintenant ?Pas grand-chose à court terme malheureusement. Nous allons donc tout droit dans ce mur de la SCA et de son renouvellement qui va drastiquement perturber les usages innovants de nos technologies.

Il faut donc urgemment revoir les RTS pour modifier ce texte de niveau 2 et infléchir l’interprétation de l’EBA sur ce point précis de la SCA et de son renouvellement. Ce processus prendra plus d’un an mais il est crucial de l’entamer dès maintenant pour éviter que tous les TPP aient fermé leurs portes d’ici là, victimes collatérales de la SCA …

En complément, consultez nos derniers articles sur la DSP2