Free cookie consent management tool by TermsFeed

dimanche 21 août 2016

Les banques dénaturent la PSD2

EBA
La nouvelle directive européenne des services de paiement (« PSD2 ») promettait une ouverture de l'accès aux comptes bancaires pour les acteurs du secteur. Las, les propositions de mise en œuvre formulées par l'autorité bancaire européenne (EBA) vont certainement tempérer l'enthousiasme de ceux qui y voyaient une avancée majeure.

Avant de critiquer les positions prises, il faut tout de même admettre que l'exercice imposé par le régulateur est particulièrement délicat, puisqu'il demande de concilier facilité d'utilisation et sécurité optimale (dans un contexte de fraude galopante). On ne peut cependant s'empêcher de penser que les rédacteurs du texte [PDF], aidés par les intervenants qui ont répondu à leur appel à contribution, tendent à profiter de la recherche d'un difficile équilibre pour faire pencher la balance du côté qui leur est le plus favorable…

Sur le strict plan de la sécurité, d'abord, les recommandations (article 3.47) sont sources d'inquiétude. Certes, que les banques imposent une authentification forte (implicitement à deux facteurs, au minimum) de la part du détenteur du compte pour l'exécution de paiements par un tiers est plutôt rassurant. Ce sont, en revanche, les conditions d'exemption (article 3.48) qui soulèvent des doutes, quand elles sont uniquement réservées à l'accès à des données non sensibles – en se contentant par là d'exclure (article 3.49) toutes celles qui peuvent suffire à perpétrer une fraude.

Or, depuis qu'un chercheur du MIT a démontré qu'il était possible d'identifier une personne à partir d'une poignée de transactions de carte de crédit, qu'est ce qui va caractériser une donnée sensible ? Par ailleurs, à cette incertitude s'ajouterait l'exigence de demander une authentification de l'utilisateur final au moins une fois par mois. Les services d'agrégation de compte qui rêvait d'un accès transparent et fiable aux données bancaires de leurs utilisateurs vont déchanter : chaque demande d'identification représente une occasion supplémentaire d'abandon du service.

Et les complications ne s'arrêtent pas là ! Un peu plus loin (article 3.69.g), l'EBA veut imposer une limite sur les accès aux informations de comptes : les intermédiaires ne pourraient interroger le teneur de compte que sur demande explicite de leur client final ou, au maximum, deux fois par jour ! Sans surprise, l'argument avancé pour justifier cette restriction est la crainte que les systèmes informatiques ne soient surchargés par des excès de sollicitations, mettant en danger la disponibilité des services.

La réserve peut sembler anodine, puisque, dans la plupart des établissements, les opérations sont aujourd'hui traitées par lots, de nuit, et que, en conséquence, aucun mouvement n'est enregistré immédiatement. Mais la transition vers les paiements en temps réel devient progressivement une réalité, laissant entrevoir une vague d'innovations permettant d'assister les consommateurs dans la maîtrise de leurs finances personnelles. Du moins si les banques laissent circuler l'information librement…

Il n'est jamais inutile pour des fournisseurs d'API (« interface de programmation applicative ») de préciser des modalités d'accès « raisonnables » dans leurs conditions générales d'utilisation mais jamais on aura vu une restriction à deux accès quotidiens ! Avec ces termes, l'EBA donne l'impression de ne pas prendre toute la mesure de l'enjeu de l'ouverture imposée par la directive PSD2 et, surtout, de vouloir préserver autant que possible le statu quo en vigueur dans les banques européennes. Les autres acteurs concernés devraient se mobiliser et réagir vigoureusement au texte présenté.

EBA

Information repérée grâce à Michal Kisiel (thanks!)

Aucun commentaire:

Enregistrer un commentaire

Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)