XS2A sans prestataires de services tiers ? Pourquoi pas !

Dans le cadre de la DSP2, une interface pour les prestataires de services tiers (API XS2A) a été introduite dans toute l’Europe. En tant qu’initiateur, l’UE souhaite permettre à des tiers d’accéder aux comptes bancaires des clients et ainsi promouvoir la concurrence sur le marché. Le 14/09/2019, l’API XS2A a été mise en production par les banques en Europe dans les délais prévus. Depuis lors, les participants du marché adaptent l’API XS2A aux besoins des parties prenantes et font évoluer intensivement les services proposés aux consommateurs et entreprises.

En tant que « service obligatoire » conformément à la règlementation, l’API XS2A constitue un facteur de coûts initial pour les institutions financières. Cependant dès le début ont été pris en compte des services à valeur ajoutée et ils ont été spécifiés par le Berlin Group, par exemple, offrant ainsi aux institutions financières de nouvelles sources de revenus. Mais dans le battage médiatique actuel autour de l'API, il n'y a pas de limites aux fantasmes concernant les sources de revenus.

Pour l’instant nous surfons donc sur la vague médiatique et imaginons l'API XS2A comme un canal d'accès alternatif pour les entreprises. Pourquoi pas ? D’un point de vue technique, les obstacles devraient être peu importants. Une entreprise pourrait s’identifier comme prestataire de services tiers au moyen d’un certificat eIDAS. Le certificat ne différerait que dans les champs spécifiques pour les prestataires de services tiers. Comme c’est le cas pour EBICS, les ordres émis ou les demandes pourraient être accompagnés d’une signature, permettant au destinataire du message d’en vérifier l’intégrité. La sécurité du transport est garantie par l’utilisation de TLS.

Du point de vue métier, le cas d’application « Initier un paiement » permet tant l’exécution d’un paie-ment unique que l’exécution d’un paiement de masse. Les procédures d’autorisation habituelles de la banque en ligne pour la validation sont à la disposition des consommateurs (par exemple photoTAN et pushTAN). Cela ne conviendrait probablement pas aux entreprises, de sorte que les sceaux des entreprises seraient utilisés, ce qui reste à spécifier. L’API XS2A permet également de consulter les informations sur les comptes (soldes, transactions détails). Dans ce cas particulier où existe une relation de confiance entre l’entreprise et l’institution financière, le consentement (consent) requis à cette fin pourrait être donné par le biais d’un consentement valable en permanence.

L’API XS2A serait alors une vraie alternative qui est déjà discutée dans divers forums. L’idée est vue comme « moins cher, plus pratique, exécution en temps réel, plus flexible dans les ajustements ». Cependant le status quo nous ramène rapidement sur terre. La spécification du Berlin Group donne aux institutions financières une grande liberté d’implémentation de l’API. Dans le but d’atteindre toutes les institutions financières en Europe via XS2A, cette liberté d’implémentation représente actuellement un défi pour tous les participants sur le marché. C’est une situation qui n’est pas ou pas encore favorable pour les entreprises. Mais la première pierre en direction d’une alternative est posée.


Auteur: Christian Wenz
Réactions :

0 commentaires:

Publier un commentaire