Paiement, authentification forte, API et après… laissons les paiements se frotter aux innovations

Confortant l’ère de l’open-banking, les API, qu’elles soient construites sur le protocole SOAP ou REST, font partie aujourd’hui des outils Internet composant l’architecture ouverte des paiements. Dans ce contexte, pour sécuriser l’accès aux interfaces bancaires par des tierces parties telles que l’initiation de paiement ou l‘agrégation de comptes, la DSP2 a permis de déployer des API standardisées. Toujours avec cet objectif de sécurisation des paiements, la DSP2 a également imposé l’authentification forte, nommée 3D-Secure V2, pour valider les paiements par carte sur Internet.

La migration vers l’authentification forte pour les cartes de crédit et de débit rattachées au compte du titulaire a été réalisée avec succès et massivement à 95 %, comme le note la Banque de France. En revanche, pour les cartes commerciales, le passage à l’authentification forte, pour les titulaires de cartes qui n’avaient pas accès au compte bancaire de l’entreprise, a été plus complexe à mettre en œuvre. Avec un taux de fraude pouvant atteindre 1,55 %, et qui concerne principalement les transactions e-commerce, pour cette gamme de cartes, il était urgent de mettre en œuvre l’authentification forte. À la différence des cartes de crédit ou de débit qui sont associées au compte bancaire de son porteur, la difficulté avec la carte commerciale Business ou Corporate réside en ce que son titulaire a rarement accès au compte bancaire de l’entreprise. Et pour être en conformité avec la réglementation DSP2, il n’est plus toléré l’usage du numéro reçu par sms pour valider la transaction e-commerce. Il faut désormais appliquer la règle de l’authentification forte qui requiert l’utilisation d’au moins deux des trois facteurs : mémoriel (ce que l’entité connaît), matériel (ce que l’entité détient) et le facteur d’inhérence (ce que l’entité est : exemple facteur biométrique). Une des solutions a été de développer une API permettant d’accéder à l’interface d’authentification du compte bancaire de l’entreprise, sans que le titulaire puisse faire des actions ou des consultations du compte, afin que le titulaire de la carte puisse valider la transaction e-commerce. Ce dernier, après s’être authentifié sur la page de la banque en ligne du compte rattaché à l’entreprise, doit saisir sur une autre fenêtre dédiée à l’authentification du paiement un code personnel seul connu par le titulaire de la carte. Cette API est conçue exclusivement pour valider la transaction et ne permet pas de consulter ou réaliser des actions sur le compte bancaire, l’entreprise ou son gestionnaire la représentant conservant les droits d’accès au compte.

L’impact des API sur l’écosystème des paiements est évident. 2022 devrait être la rampe de lancement de l’ère du tout API, facilitant la connexion des applications. Gageons que l’architecture ouverte et « apéisée », en offrant de nouveaux services par exemple avec l’appui d’un « portefeuille store » d’applications, enrichira la fonction paiement. Les nouvelles API devraient ainsi contribuer à gagner de nouvelles clientèles. Cependant, les défis resteront la fluidité du parcours client, le déport des applications dans le Cloud, la protection des données sensibles, la résilience et la disponibilité du service. Pour répondre à ces défis, la banque demeurera un acteur incontournable au cœur du système des paiements. Elle est garante des fonds et demeure le coffre-fort le plus efficient pour les protéger ainsi que les données. Enfin, d’autres innovations viendront probablement impacter le monde du paiement et des API comme l’ovni Métavers et l’ordinateur quantique. Le premier ouvre un espace virtuel, reposant sur la neuroscience avec la création d’avatars, qui pourrait participer notamment au rôle de personal shopper dans le parcours client et augmenter fortement le taux de transformation. Le second apportera une puissance de calcul phénoménal, mais ouvrira la porte à des risques de cyberattaques en attendant la cryptologie quantique. Comme le disait si justement Paul Valéry « les recherches insensées sont parentes de découvertes imprévues ». Laissons les paiements se frotter aux innovations.