Pour les fintech, l'addition très salée de la DSP2
Les start-up qui utilisent des services d'agrégation de comptes et d'initiation de paiement doivent surinvestir pour faire face à l'instabilité des API.
"Instable", "lourd", "complexe"… Les adjectifs négatifs pleuvent quand on parle de la DSP2, cette directive européenne qui permet aux acteurs tiers de se connecter en toute sécurité aux comptes bancaires des clients des banques. Entrée en vigueur le 13 janvier 2018 avec une application en novembre 2019, cette réglementation, qui repose sur des API, est toujours un casse-tête pour les acteurs tiers, majoritairement des fintech. "Nous devrions bientôt arriver à des API qui répondent aux performances demandées par le régulateur. Mais dans les faits, il y a encore des problèmes", confirme Joan Burkovic, CEO de l'agrégateur Bankin' et de Bridge, sa marque BtoB. En cause, le retard pris par les banques pour proposer des API fiables.
Par "problème", le dirigeant de Bankin' fait référence à des coupures de connexion aux API quasi quotidiennes, à des migrations délicates pour passer de l'ancien système (screen scraping) au nouveau ou encore à des parcours client souvent chaotiques quand il faut procéder à une authentification à double facteur. Ce qui, in fine, peut faire perdre des utilisateurs finaux. Les plateformes d'open banking comme Bridge doivent donc investir massivement pour gérer en permanence les coupures et imaginer des solutions pour éviter la perte d'utilisateurs… alors qu'elles devraient plutôt créer de nouveaux produits. Chez Bridge, environ trois quart de l'effectif est dédié à la maintenance (en plus de quelques personnes chez Bankin'). "C'est consommateur de temps. C'est plus d'investissements que de revenus à court terme. Le ROI n'est pas pour tout de suite", regrette Jérôme Albus, responsable France de la plateforme suédoise Tink. "C'est le prix de la sécurité. S'il y a une brèche, cela leur coûtera bien plus cher", tempère Michel Argouges, directeur d'activité cash management au sein du cabinet spécialisé Syrtals.
"C'est plus d'investissements que de revenus à court terme. Le ROI n'est pas pour tout de suite"
Le retour sur investissement n'est pas non plus immédiat pour les clients des plateformes d'open banking, à savoir les fintech. Ces dernières ont recours aux API DSP2 pour deux raisons : l'agrégation de comptes (AISP) et l'initiation de paiement (PISP). Quand les connexions lâchent, leur service ne fonctionne plus ou pas correctement. "Parfois, ça bugue pendant 24 heures, ce qui fait que nous ne pouvons plus scorer nos nouveaux clients", témoigne Ali Rami, CEO de Mansa, plateforme de prêts pour indépendants. Pour vérifier la solvabilité d'un dossier, Mansa utilise Bridge pour se connecter en quelques secondes au compte bancaire de l'indépendant. Pour pallier ces anomalies, Mansa a dû développer une solution de secours. "Nous demandons au client de nous envoyer ses relevés bancaires que nous passons ensuite dans un OCR (logiciel de reconnaissance de caractères, ndlr) que nous avons créé", explique le dirigeant.
Pour Ibanfirst, société spécialisée dans le paiement multidevises, et qui propose dans le cadre de la DSP2 d'agréger tous les comptes bancaires de ses clients dans une seule interface, l'investissement ne vaut pas trop le coût. "Pour l'instant, ça nous a seulement fait perdre de l'argent et du temps. Dès qu'une API saute, le solde des comptes est faux. Certains clients ont testé le service et ont finalement lâché l'affaire", regrette Pierre-Antoine Dusoulier, son CEO, qui envisage d'abandonner cette fonctionnalité.
Multiplier les prestataires
Même scénario pour Agicap, logiciel de prévision de trésorerie pour PME, qui utilise l'agrégation de comptes pour donner une vue claire et en temps réel des encaissements et décaissements d'une entreprise. "On ne peut pas se permettre d'avoir une coupure car notre plateforme est un outil du quotidien. L'accès et la fiabilité de la donnée sont critiques", précise Sébastien Beyet, CEO et cofondateur de la start-up. Pour éviter les coupures de connexion, la start-up utilise toutes les plateformes d'open banking de la place. Si par exemple Budget Insight perd la connexion avec BNP Paribas, Agicap basculera sur Linxo. La tarification des plateformes n'est pas communiquée puisqu'elle dépend de nombreux facteurs (nombre d'utilisateurs, nombre de requêtes quotidiennes…) mais multiplier les prestataires est forcément synonyme de surcoût.
"Le paiement est encore plus critique. On ne peut pas se permettre qu'un paiement ne passe pas"
Agicap a également développé des connecteurs supplémentaires comme Ebics, un protocole européen de partage de données sécurisé. Pour le spécialiste du paiement Score & Secure Payment (SSP), qui propose de l'initiation de paiement aux marchands, il fallait aussi développer une solution de secours. "Si la banque n'est pas joignable quand le virement est initié, nous proposons un prélèvement. Et grâce à l'agrégation, nous récupérons l'Iban du client qui valide ensuite la transaction", explique Eddy Combier, patron de SSP, une des rares entreprises à proposer ce service puisque les API d'initiation de paiement sont encore moins matures que celles d'agrégation. Agicap voulait permettre à ses clients d'effectuer des paiements depuis sa plateforme mais elle s'est résignée à décaler ce service à une date encore inconnue. "Le paiement est encore plus critique. On ne peut pas se permettre qu'un paiement ne passe pas", justifie Sébastien Beyet. La solution de recouvrement Upflow a aussi abandonné cette idée. "Mon rêve serait de proposer à mes clients des paiements par virement mais il y a trop de frictions. On nous avait dit que ça allait fonctionner mais ça ne marche toujours pas", se désole Alexandre Louisy, qui a aussi dû abandonner un projet de réconciliation bancaire en temps réel. Sachant que tous ses services sont autant de sources de revenus supplémentaires pour ces start-up.
S'internationaliser, oui, mais…
Les fintech ne veulent en revanche pas abandonner leur internationalisation, même si la DSP2 rajoute une couche d'investissement. SSP, qui utilise les technologies de Linxo en France, a dû chercher des prestataires étrangers car la plateforme couvre très peu de pays européens. Rien d'étonnant puisqu'elle a passé ses trois dernières années à maintenir ses connexions en France tant bien que mal. "Nous sommes obligés de multiplier les prestataires pour couvrir l'ensemble de notre périmètre. Dans certains pays, nous avons dû prendre Klarna (un acteur suédois, ndlr), dans d'autres on va prendre Dalenys (un français qui a une filiale aux Pays-Bas, ndlr). Au final, nous multiplions les coûts", déplore Eddy Combier, qui est pressé par le temps suite à la signature d'un contrat avec PSA qui l'engage à couvrir toute l'Europe d'ici l'été 2021. C'est aussi pour soutenir son expansion internationale que Lydia a signé en octobre dernier avec un deuxième prestataire, Tink, une des plateformes qui couvrent le plus de pays en Europe (mais exclusivement pour des usages BtoC).
Agicap, qui s'est lancé en Allemagne et en Espagne, en fait aussi les frais. "On s'adapte. C'est le même triptyque. On surinvestit d'un point de vue technologique. On s'appuie sur des protocoles locaux hors DSP2 et on investit beaucoup dans le service client. Du coup, en Allemagne, nous sommes deux à trois fois plus chers que nos concurrents locaux. Mais au moins nos services tournent tout le temps", souligne Sébastien Beyet. Faut-il encore trouver un prestataire car aujourd'hui, peu de plateformes paneuropéennes se sont développées sur les usages BtoB. Tink sera prêt dans une dizaine de pays européens, dont la France, "d'ici la fin de l'année", assure Jérôme Albus.
La facture DSP2 n'a pas fini de s'allonger. Les plus optimistes pensent que les API seront stables d'ici six mois tandis que d'autres n'envisagent même plus de date butoir. "Peut-être que tout ce dont on rêvait n'arrivera pas et qu'il faudra se limiter à quelques use cases", se résigne Pierre-Antoine Dusoulier.