Les bonnes pratiques du redirect

Non, le « redirect », à savoir le fait de rediriger le PSU (l’utilisateur) vers l’ASPSP (la banque), par le biais d’une page web, n’est pas une méthode d’authentification suffisante.

C’est écrit très clairement à l’article 31.3 des RTS :

« Account servicing payment service providers that have put in place a dedicated interface shall ensure that this interface does not create obstacles to the provision of payment initiation and account information services. Such obstacles, may include, among others, preventing the use by payment service providers referred to in Article 30(1) of the credentials issued by account servicing payment service providers to their customers, imposing redirection to the account servicing payment service provider’s authentication or other functions, requiring additional authorisations and registrations in addition to those provided for in Articles 11, 14 and 15 of Directive 2015/2366, or requiring additional checks of the consent given by payment service users to providers of payment initiation and account information services. »

Même si la redirection est une bonne pratique lorsque l’on implémente des protocoles tels que OAuth, la raison pour laquelle les TPP se sont assurés qu’il puisse exister une méthode alternative, est que la valeur ajoutée de ceux-ci réside pour beaucoup dans l’expérience utilisateur qu’ils proposent. Or l’historique, notamment de 3D Secure, a montré que les banques n’accordent pas une attention particulière à ces aspects, ce qui sera encore aggravé par le fait qu’elles ne souhaitent pas perdre la relation avec leurs clients.

Néanmoins, les solutions alternatives inventées par le Berlin Group (Embedded ou Decoupled) limitent l’innovation sur les méthodes d’authentification en figeant celles-ci dans un modèle unique.

C’est pourquoi les ASPSP augmenteront les chances que les TPP utilisent le redirect à condition que celui-ci respecte des conditions élémentaires :

  • Interface épurée ;
  • Adapté sur mobile (responsive) ;
  • Possibilité de faire le lien avec une application mobile, mais non obligatoire si celle-ci n’est pas installée.

Sans quoi les webviews risquent de se faire scrapper.