La numérisation mise en pratique – l’échange de clés par lettre INI

Depuis l’introduction des clés cryptographiques dans les services bancaires en ligne, tant pour les particuliers que pour les professionnels, le processus d’échange des clés publiques de l’institution financière et de l’utilisateur était toujours long et compliqué. Il est vrai que le processus est particulièrement pénible pour les utilisateurs ; pour le reste de l’humanité, c’est un mystère absolu :

La procédure de lettre INI s’est établie dans ce contexte. Utilisée depuis plus de 15 ans, elle constitue toujours un obstacle à l’utilisation d’EBICS, par exemple. Générer des clés, les envoyer, puis imprimer la lettre INI sur papier, la signer et la transférer à l’institution financière sont des opérations compliquées et fastidieuses pour nombre d’utilisateurs. Le traitement au sein même de l’institution financière, où un employé reçoit la lettre INI, ouvre le compte client correspondant dans le système EBICS et doit y comparer les valeurs de contrôle du transfert électronique avec les valeurs figurant sur la lettre INI, voire les saisir, est également laborieux. Il faut bien entendu vérifier également la signature apposée dans les données du compte ou sur le contrat. Cela ne ressemble pas du tout à la numérisation qui doit pourtant accompagner nos opérations commerciales.       

Simplifier la validation des clés EBICS
Pourtant, tout serait beaucoup plus simple si les institutions financières détachaient le processus décrit ci-dessus de leurs propres employés, le numérisaient entièrement et le déléguaient ainsi à l’utilisateur. La première étape à mettre en œuvre est la vérification indubitable de l’identité de l’utilisateur en échangeant d’un secret convenu ensemble (par exemple un TAN) ou – si elle existe déjà – une session en ligne activée garantissant que l’utilisateur est bien la bonne personne. En règle générale, cela s’applique déjà à chaque session bancaire en ligne connectée ! Si nous supposons maintenant que le système bancaire peut contacter l’utilisateur de manière active et en ligne après une remise de clé réussie, par exemple par smartphone avec un SMS, une application ou via une session bancaire en ligne, alors il serait tout de même possible que cet utilisateur puisse confirmer lui-même le caractère correct de sa transmission de clé et ainsi valider ses clés EBICS dans les plus brefs délais.

Seulement lui !
L’utilisateur peut le faire lui-même, car le système bancaire – par exemple grâce à l’exactitude du TAN demandé – a validé son identité . L’utilisateur ne compare alors plus que les valeurs de contrôle de la lettre INI et de l’affichage dans le système bancaire et confirme leur exactitude. Il se peut aussi qu’il doive les saisir à nouveau lui-même. C’est donc exactement ce que fait l’employé de l’institution financière. Bien entendu, le système bancaire consigne cette validation par l’utilisateur afin de pouvoir prouver ultérieurement que l’utilisateur a vérifié l’opération.

La numérisation mise en pratique
L’utilisateur du protocole EBICS peut utiliser son nouvel accès en quelques minutes. Il ne sera plus nécessaire d’imprimer les documents et de les transférer à l’institution financière concernée. Le délai d’attente initial de plusieurs jours est réduit à quelques minutes. L’institution financière évite les processus internes manuels à la fois complexes et coûteux de la validation des clés. Les documents transmis, à savoir la lettre INI, ne doivent plus être archivés. La consignation numérique de la nouvelle procédure est suffisante et ne nécessite plus de saisie/numérisation manuelle de la lettre INI. La satisfaction des clients et l’acceptation de la procédure EBICS sont renforcées, les institutions financières économisent des frais de personnel et d’édition ultérieure manuelle. La numérisation mise en pratique, une situation gagnant-gagnant claire !

Auteur : Michael Schunk

 

0 commentaires:

Enregistrer un commentaire