SCA tous les 90 jours : vers une délégation au TPP ?

On le sait depuis des années, mais on en prend conscience que petit à petit : avec la PSD2, le consentement de l’accès aux comptes par un AISP doit être renouvelé tous les 90 jours par une authentification forte, ou SCA. Il s’agit d’une contrainte importante imposée aux PSU dans la mesure où la plupart du temps les banques la réalise par le biais de la saisie d’un code reçu par SMS.

Imaginez que vous utilisez Budgea ou Linxo, auquel vous avez connecté les comptes que vous possédez dans trois banques. Tous les trois mois, vous devrez initier trois authentifications fortes et saisir trois codes reçu par SMS. Il s’agit d’une contrainte importante, que l’on ne retrouve pas avec EBICS, qui est un protocole pré-PSD2 pour les professionnels.

L’idée n’est pourtant pas dénuée de sens, ce que le régulateur voulait éviter est qu’un canal de récupération des données bancaires d’un utilisateur puisse rester ouvert ad vitam vers un service qu’il n’utilise plus.

Or, les AISP sont des établissements de paiement régulés, et ne peuvent exercer leur activité qu’après audit et validation d’un NCA, en France l’ACPR. Il n’est donc pas exclu d’imaginer de pouvoir déléguer à l’AISP la gestion de la SCA, au même titre que la gestion du consentement, sous réserve qu’elle prouve qu’elle la réalise correctement.

Ainsi, l’AISP notifierait l’ASPSP systématiquement lorsqu’elle réalise une SCA de son utilisateur, ce que des applications comme Budgea font à chaque ouverture en validant les facteurs de possession et d’inhérence (fingerprint), et renouvèlerait pour 90 jours le jeton d’autorisation. Une personne qui n’utiliserait pas Budgea pendant plus de 90 jours devrait, en revanche, refaire une SCA auprès de la banque, ce qui n’est pas incohérent.

Nous pensons que cette approche offre un risque quasi inexistant (le consentement initial a été donné avec une SCA réalisée auprès de la banque, il ne s’agit que d’un renouvellement de consentement, recueilli par un acteur régulé), et limiterait considérablement le taux d’attrition de ce type de service.

Le sujet est dans la roadmap du Berlin Group, a trouvé son soutien auprès de membres de la commission européenne, et va faire l’objet de discussions au sein de l’EBA.