Depuis l’introduction des clés cryptographiques dans les services bancaires en ligne, tant pour les particuliers que pour les professionnels, le processus d’échange des clés publiques de l’institution financière et de l’utilisateur était toujours long et compliqué. Il est vrai que le processus est particulièrement pénible pour les utilisateurs ; pour le reste de l’humanité, c’est un mystère absolu :
La procédure de lettre INI s’est établie dans ce contexte. Utilisée depuis plus de 15 ans, elle constitue toujours un obstacle à l’utilisation d’EBICS, par exemple. Générer des clés, les envoyer, puis imprimer la lettre INI sur papier, la signer et la transférer à l’institution financière sont des opérations compliquées et fastidieuses pour nombre d’utilisateurs. Le traitement au sein même de l’institution financière, où un employé reçoit la lettre INI, ouvre le compte client correspondant dans le système EBICS et doit y comparer les valeurs de contrôle du transfert électronique avec les valeurs figurant sur la lettre INI, voire les saisir, est également laborieux. Il faut bien entendu vérifier également la signature apposée dans les données du compte ou sur le contrat. Cela ne ressemble pas du tout à la numérisation qui doit pourtant accompagner nos opérations commerciales.
Simplifier la validation des clés EBICS
Pourtant, tout serait beaucoup plus simple si les
institutions financières détachaient le processus décrit ci-dessus de leurs
propres employés, le numérisaient entièrement et le déléguaient ainsi à
l’utilisateur. La première étape à mettre en œuvre est la vérification
indubitable de l’identité de l’utilisateur en échangeant d’un secret convenu
ensemble (par exemple un TAN) ou – si elle existe déjà – une session en ligne
activée garantissant que l’utilisateur est bien la bonne personne. En règle
générale, cela s’applique déjà à chaque session bancaire en ligne
connectée ! Si nous supposons maintenant que le système bancaire peut
contacter l’utilisateur de manière active et en ligne après une remise de clé
réussie, par exemple par smartphone avec un SMS, une application ou via une
session bancaire en ligne, alors il serait tout de même possible que cet
utilisateur puisse confirmer lui-même le caractère correct de sa transmission
de clé et ainsi valider ses clés EBICS dans les plus brefs délais.
Seulement
lui !
L’utilisateur peut le faire lui-même, car le système bancaire – par exemple
grâce à l’exactitude du TAN demandé – a validé son identité . L’utilisateur ne
compare alors plus que les valeurs de contrôle de la lettre INI et de
l’affichage dans le système bancaire et confirme leur exactitude. Il se peut
aussi qu’il doive les saisir à nouveau lui-même. C’est donc exactement ce que
fait l’employé de l’institution financière. Bien entendu, le système bancaire
consigne cette validation par l’utilisateur afin de pouvoir prouver
ultérieurement que l’utilisateur a vérifié l’opération.
La
numérisation mise en pratique
L’utilisateur du protocole EBICS peut utiliser son nouvel accès en quelques
minutes. Il ne sera plus nécessaire d’imprimer les documents et de les transférer
à l’institution financière concernée. Le délai d’attente initial de plusieurs
jours est réduit à quelques minutes. L’institution financière évite les
processus internes manuels à la fois complexes et coûteux de la validation des
clés. Les documents transmis, à savoir la lettre INI, ne doivent plus être
archivés. La consignation numérique de la nouvelle procédure est suffisante et
ne nécessite plus de saisie/numérisation manuelle de la lettre INI. La
satisfaction des clients et l’acceptation de la procédure EBICS sont
renforcées, les institutions financières économisent des frais de personnel et
d’édition ultérieure manuelle. La numérisation mise en pratique, une situation
gagnant-gagnant claire !
Auteur : Michael Schunk
0 commentaires:
Enregistrer un commentaire