DSP2 : banques, vous n'avez encore rien vu

Cette directive va bouleverser la relation client des banques, introduire de nouveaux acteurs qui auront accès aux comptes mais aussi avoir un impact sur la fraude.

Dans toute l'Europe, la deuxième directive européenne sur les services de paiement (DSP2) va révolutionner les relations des consommateurs et des entreprises avec leurs banques - et introduire une multitude de nouveaux acteurs qui auront un accès direct à leurs comptes. Il est difficile de comprendre l'impact sur la fraude pour le moment. 

Les banques de l'Union européenne ont passé du temps à se préparer à la conformité avec la DSP2. Ce travail va permettre à leurs systèmes informatiques de prendre en compte les interfaces de programmation (API) qui peuvent être utilisées par les tiers de paiement (TPP), et qui permet à toutes sortes d'organisations de travailler directement avec les comptes bancaires des clients - à condition d’en avoir l’autorisation. Mais ce n'est que le début du défi auquel sont confrontées les banques. Il est très difficile de comprendre en détail toutes les conséquences de la DSP2.

En quoi est-ce différent de ce qu’il y avait avant ? Au cours des deux dernières décennies, les banques ont surmonté toutes sortes d'obstacles liés à la conformité, souvent avec succès. Des modèles opérationnels ont été resserrés, des changements apportés, les régulateurs ont été rassurés. Pourtant, avec la DSP2, elles ont affaire à une toute autre espèce de défi. La directive ne limite pas, comme d'autres l'ont fait de façon écrasante au cours des dernières décennies. C'est le contraire : elle ouvre. PwC l'exprime très bien lorsqu'il explique qu’avec DSP2 les modèles opérationnels des banques sont largement ouverts. Les organisations qui en profitent - les tiers de paiement - ouvriront probablement la voie à toutes sortes d'innovations en matière de paiement, mais il y en a qui seront sans doute malveillants, incompétents ou non réglementés. Malgré cela, la charge de rassurer les régulateurs, d’arrêter les pertes criminelles - et de maintenir la satisfaction de leurs propres clients repose sur les épaules des banques. Avec la DSP2, la tâche de détecter et de combattre la fraude et le blanchiment de capitaux appartient toujours aux banques - même si certains des outils et des techniques qu'elles ont mis au point à cette fin seront anéantis ou désorientés par l’open banking.

Comprendre le problème de la fraude

Ne nous précipitons pas tout de suite vers les canots de sauvetage. Les nouvelles innovations dans le domaine bancaire n’ont jamais empêché la société et les banques de prospérer. À l'époque où nous n'avions que de l'argent liquide, la meilleure façon de le voler était de le prendre physiquement dans une banque ou chez un commerçant. L'introduction des chèques et des cartes de crédit a rendu la fraude à distance plus efficace, et lorsque les services bancaires par téléphone sont apparus, un autre vecteur de fraude s'est ouvert : les faux appels.

Quid des services bancaires en ligne ? Vous avez deviné : c’est un autre vecteur – après la personne, après le téléphone, voici la fraude en ligne. L’open banking ne brise pas ce schéma ; il ajoute toute une série de nouvelles vulnérabilités potentielles - tout tiers pouvant entrer en tant que tiers de paiement autorisé peut prendre de l'argent sur les comptes des gens. Chaque fois qu'une nouvelle innovation est introduite dans le domaine bancaire, de nouveaux types de fraude apparaissent. Nous n'avons pas encore vu quelles nouvelles fraudes la DSP2 et l'ouverture des services bancaires vont créer, mais les fraudeurs exploreront activement toutes les opportunités et les vulnérabilités potentielles que ces changements majeurs vont engendrer - des changements dans les domaines des processus, de l’acquisition, de l’autorisation et plus encore.

La première fraude, c’est pour quand ?

Nous en sommes au point où les banques sont prêtes, mais la première fraude rendue possible par la DSP2 n'a pas encore fait son apparition. Personne ne sait ce qu’il se passera lors de cette première fraude parce qu'il n'y a aucun moyen de savoir quel est le point faible que les agresseurs essaieront d'exploiter en premier.

Les banques sont dans une position vraiment inconfortable vis-à-vis des transactions frauduleuses. Elles abandonnent certains de leurs postes frontières - applications clients et codes d'identification, par exemple – pour la DSP2, et ces points de contrôle sont d'une valeur inestimable dans la détection des tentatives de fraude.

En fait, les banques cherchent de plus en plus à partager le renseignement en interne, entre les unités spécialisées dans la fraude, la cybercriminalité et la conformité afin d'accroître radicalement l'efficacité de ces trois équipes.

Ensuite, il y a la question du règlement des différends : plutôt que de simplement refacturer à un commerçant qui a laissé passer (ou qui a commis) une transaction frauduleuse, les banques devront rembourser leur client puis tenter de recouvrer les fonds auprès du tiers de paiement. Mais il n'y a pas de mécanisme pour cela dans la DSP2. Non seulement les banques doivent identifier et stopper la fraude au nom de ces nouveaux intermédiaires utilisant leurs interfaces d’application, mais en plus elles n'ont aucun recours pour recouvrer les fonds auprès du tiers de paiement ou du fraudeur.

Les banques risquent de devenir des "réseaux muets", tout comme les fournisseurs de télécommunications dans le passé : des canaux permettant de faire passer toujours plus de services innovants ou à forte valeur ajoutée, mais perdant en permanence des revenus. Comme nous l'avons vu avec la leçon des télécoms, il existe deux voies : innover pour sortir du problème et concurrencer les start-up, ou consacrer beaucoup de temps et d'énergie à essayer de tirer le meilleur parti des investissements et à repousser les nouveaux concurrents.

Protégez votre banque

Il est dans l'intérêt des banques d'avoir un moyen pour partager l'information sur les nouvelles fraudes - et sur les fraudes connues ou sur les tiers payants connus comme mauvais ou vulnérables. Les agences d'évaluation du crédit pourraient être un bon choix, mais il existe d'autres types d’organisations qui pourraient fournir ce service en tant que tierce partie. Il y a d'autres moyens de défense. Des listes réglementées des tiers payants seraient un bon point de départ, mais conduire des analyses plus sophistiquées sur les réseaux sociaux pour signaler les comportements inhabituels des clients révélateurs de fraude pourrait s’avérer d’une aide précieuse. Le scoring de réseau et l'analyse comportementale aideront également à relever ce qui sera tout un défi.

Soyons positifs

Le tableau peut sembler terriblement sombre, mais la DSP2 est également très prometteuse pour les banques établies. Il existe de grandes possibilités d'innovation au sein des banques obligées de mettre en œuvre l'open banking – et les banques ont les moyens de capter de nouvelles idées et de les transformer en produits, ainsi qu'en connaissance sur le fonctionnement de leurs systèmes et de ceux des autres banques. Personne n’empêche les banques de devenir elles-mêmes des tiers de paiement et le secteur bancaire n’est pas une zone de non-innovation. Mais il faut que les banques s’attèlent au problème. On peut prendre l’exemple de l'adaptation par Safaricom de M-Pesa, un service de partage de crédit de temps d'antenne peer-to-peer, qui a transformé cela en solution de paiement mobile réglementé qui semble gagner du terrain dans le monde en permettant aux gens de se payer les uns les autres directement par SMS.

Il convient de noter que la valeur de toute innovation est nettement plus élevée si elle est réalisée par une banque que si c'est fait par une fintech. Quand une banque fait sa propre innovation, elle peut améliorer ses bénéfices et devancer les nouveaux concurrents en même temps. Les banques établies sont également en bonne position pour repérer et investir dans des fintech prometteuses - l'innovation n'a pas forcément besoin de venir de l'intérieur.

Si l'on examine la désintermédiation antérieure dans des industries proches comme l'assurance, où elle fut perçue comme une menace pour les résultats nets des assureurs, il y a toujours une lueur d'espoir. Au Royaume-Uni et en Irlande, les sites web comparatifs ont permis aux fournisseurs de cibler de nouveaux consommateurs et de gagner en visibilité dans un environnement concurrentiel.

Enfin, on a beaucoup parlé de l'impact que les banques challengers auront sur le système en place. Mais en fait, ces banques peuvent souffrir de la DSP2 ; leurs systèmes de détection des fraudes sont moins matures et sans doute moins efficaces - et les fraudes les toucheront aussi bien que les banques établies. Les challengers n'ont peut-être pas d'héritage culturel, informationnel et systémique de leur côté. Mais cet héritage peut représenter un avantage aussi bien qu’un point d’ancrage. Les challengers devront mettre au point leurs solutions anti-fraude. Et rapidement. 

Conclusion

La conformité technique ne suffira pas dans cette situation. Les banques doivent faire beaucoup plus. La bonne nouvelle, c'est qu'il ne s'agit pas seulement d'un aspect négatif : l'open banking va créer toutes sortes d'opportunités permettant aux banques d'innover, d'acquérir et de se développer dans de nouvelles directions.