EBICS et DSP2: comment vont-ils ensemble?

La Directive sur les services de paiement DSP (ou PSD pour Payment Services Directive) adoptée par le Parlement européen fournit le cadre juridique nécessaire à la mise en place d’un marché unique des paiements dans l’ensemble de l’Union européenne. La version actuelle, la DSP2, a été publiée le 23 décembre 2015 au Journal Officiel de l’Union européenne et devra être transposée dans les droits nationaux d’ici le 13 janvier 2018. Quels sont les effets concrets de la DSP2 sur l’EBICS?

La DSP2 a plusieurs objectifs:
  • amélioration de la sécurité des paiements électroniques
  • protection des informations financières des consommateurs
  • ouverture du marché aux prestataires de services de paiement, notamment en matière de services pour les consommateurs et les entreprises
  • renforcement des droits des consommateurs, par exemple en termes de responsabilité en cas d’opérations de paiements non autorisés et de remboursement de prélèvements en euros
  • interdiction de facturation de frais supplémentaires, quel que soit l’instrument de paiement
Pour accroître la sécurité des paiements électroniques, il est nécessaire que l’accès aux comptes des clients soit totalement sécurisé. L’identification d’un utilisateur de services de paiement ou d’une transaction exige une authentification forte. EBICS remplit ces critères grâce aux procédés de clés asymétriques liés à l’utilisateur. Rien ne s’oppose donc à la mise en pratique d’une authentification forte.

Les trois piliers d’une authentification forte sont possession, inhérence et savoir. Au moins deux de ces critères doivent être fournis aux utilisateurs pour l’authentification EBICS. Une carte à puce (possession) peut par exemple servir de clé EBICS pour permettre une authentification par saisie de code PIN (savoir) via un lecteur de carte à puce. Dans l’interface avec l’utilisateur, cela doit donc être réalisé par le Client.

Outre les procédés EBICS d’identification et d’authentification unique de la personne, la banque peut également prévoir des vérifications supplémentaires (inhérence) et vérifier par exemple si les adresses IP convenues sont bien utilisées pour la communication. Une adresse IP inadéquate empêche alors l’accès, même si l’authentification est correcte.

EBICS assure la dynamique d’authentification exigée grâce à la procédure de signature électronique car la signature est toujours créée au moyen de la valeur de hachage du fichier original et d’un horodatage.

Par ailleurs, la fonctionnalité EBICS de signature électronique distribuée (SED aussi appelée VEU en Allemagne) permet, du côté des utilisateurs des services de paiement, de séparer les infrastructures pour les remises de paiements et les autorisations. Par exemple, la remise de paiement peut avoir lieu par EBICS sans autorisation sur un guichet automatique et les autorisations requises, elles, postérieurement par application mobile, sur portail EBICS ou avec quelque autre logiciel Client EBICS (séparation dans le temps et dans l’espace). En outre, les conditions d’autorisation peuvent exiger l’implication de plusieurs personnes. Cette fonction est déjà utilisée par les solutions EBICS que sont les portails EBICS, les solutions de navigateur EBICS, les Clients mobiles EBICS ainsi que les autres logiciels Clients EBICS. Il convient de proposer et d’utiliser systématiquement ces techniques pour la DSP2.

Ouvrir le marché des paiements aux prestataires de services de paiement implique que les banques doivent accorder aux applications de fournisseurs tiers l’accès aux données client, si ce dernier donne son accord. Pour mettre en œuvre cette exigence, des interfaces sont nécessaires. Le standard EBICS fournit sa propre interface. Si le fournisseur tiers ne peut pas obtenir les informations directement via l’accès EBICS standard, des API rapides et flexibles capables d’échanger les données requises en fonction des besoins deviennent nécessaires. Dans ce cadre, homogénéité et multi-usage sont souhaitables.

Dans la pratique, les activités des utilisateurs et en particulier les autorisations pour applications de e-banking et de paiements sont d’ores et déjà enregistrées. Cependant, le renforcement des droits des consommateurs visé par la DSP2 demande aux prestataires de services et aux banques de consigner et conserver les processus de paiement et les autorisations, dans le contexte des utilisateurs, de façon aussi intégrale que possible ainsi que de manière traçable et justifiable. Dans le contexte d’EBICS, cela s’applique aux banques, mais également aux fournisseurs de services qui exploitent par exemple des applications Client EBICS.

En résumé, la DSP2 n’a pas, pour l’instant, d’impact direct sur les spécifications d’EBICS. Néanmoins, les utilisateurs d’EBICS doivent tenir compte de la DSP2 dans leur contexte d’utilisation. Les exigences de la DSP2 doivent donc être définies et mises en œuvre précocement pour l’exploitation et l’utilisation de solutions EBICS. Le temps est compté.

Michael Lembcke