Vous souhaitez donc développer votre Neo-Bank? Principales considérations réglementaires pour les banques numériques

Michael Magrath, août 28, 2020
So You Want to Grow Your Neo-Bank? Top Regulatory Considerations for Digital Banks

Les néo-banques sans succursales et en ligne uniquement (également appelées banques challenger ou banques uniquement numériques) sont répandues en Europe, en Amérique latine et en Asie, et gagnent rapidement du terrain aux États-Unis.

Les néo-banques offrent généralement aux clients une plus grande commodité et des expériences en ligne supérieures. Par exemple, les clients qui ouvrent un compte auprès d'une néo-banque effectuent le processus entièrement en ligne via un navigateur Web ou via l'application mobile de la banque, sans obligation de signer des formulaires papier ou de se rendre dans une agence bancaire. Depuis la pandémie, moins de personnes souhaitent se rendre en agence pour ouvrir un nouveau compte ou effectuer des transactions financières, positionnant les néo-banques pour capturer les consommateurs à la recherche d'une expérience entièrement mobile.

Les néo-banques doivent continuer à se développer pour réussir. Pour beaucoup, la croissance est synonyme d'expansion géographique. Dans ce blog, nous couvrons les réglementations les plus importantes que les néo-banques exclusivement numériques doivent prendre en compte si elles veulent se développer rapidement et avec succès.

Accédez à l'une des sections ci-dessous:

1. Réglementation Know Your Customer (KYC) pour l'ouverture de compte à distance

Toutes les banques doivent intégrer les clients conformément aux réglementations pertinentes Know Your Customer (KYC). Ces réglementations stipulent que les banques doivent vérifier l'identité de la personne qui ouvre un nouveau compte, même si cet utilisateur est distant et pas physiquement présent dans une agence. Étant donné que les néo-banques s'appuient sur l'ouverture de comptes mobiles et en ligne, il est particulièrement important de s'assurer qu'elles sont conformes aux réglementations relatives à la vérification d'identité numérique.

Aux États-Unis, le Loi sur la croissance économique, l'allègement de la réglementation et la protection des consommateurs est devenue loi en mai 2019. À l'article 213, la loi MOBILE (Making Online Banking Initiation Legal and Easy) permet aux institutions financières d'intégrer numériquement de nouveaux clients à partir d'un scan du permis de conduire ou de la carte d'identité personnelle. Ce mode d'ouverture de compte digital à distance réduit les coûts pour les banques et améliore l'expérience client dès le début de la relation, tout en respectant les règles de distanciation sociale. La USA PATRIOT Act de 2001 prescrit le KYC pour tous les États-Unis banques. Cette loi comprend l'exigence d'un programme d'identification des clients (CIP), qui oblige les institutions financières à vérifier l'identité des personnes avant de leur permettre d'effectuer des transactions financières.

Au Canada, le Centre d'analyse des opérations et déclarations financières du Canada (CANAFE) a publié un article intitulé Méthodes pour vérifier l'identité d'un individu et confirmer l'existence d'une société ou d'une entité autre qu'une société . Il stipule que lorsqu'une personne n'est pas physiquement présente, les institutions financières peuvent utiliser la technologie d'ouverture de compte numérique et de vérification d'identité pour permettre à cette personne d'ouvrir un compte bancaire - à condition que la banque utilise une solution qui puisse évaluer l'authenticité du document d'identité du demandeur et vérifier que la personne qui tente d'ouvrir le compte est la personne figurant sur la pièce d'identité.

Au Royaume-Uni, le Règlement de 2017 sur le blanchiment d'argent, le financement du terrorisme et le transfert de fonds (informations sur le payeur) oblige les institutions financières à appliquer des mesures strictes de vérification de l'identité des clients. Au cours des premiers mois de la pandémie COVID-19, la Financial Conduct Authority (FCA) du Royaume-Uni m'a dit il était «prêt à assouplir les règles sur les entreprises de services financiers acceptant les« selfies »des photos de téléphone des clients pour vérifier leur identité, comme l'une des nombreuses mesures visant à alléger le fardeau pendant le verrouillage du coronavirus.»

En mars 2020, le Groupe d'action financière (composé de 39 pays représentant la plupart des grands centres financiers du monde) Guide d'identité numérique . Le guide comprend des détails sur la meilleure façon d'appliquer la diligence raisonnable client aux processus d'ouverture de compte numérique à l'aide de vérification d'identité numérique dans le cadre de l'intégration des clients. Selon le GAFI, «une identification numérique fiable peut rendre plus facile, moins coûteuse et plus sûre l'identification des individus dans le secteur financier.  Cela peut également contribuer aux exigences de surveillance des transactions et minimiser les faiblesses des mesures de contrôle humain. » Les directives du GAFI sont le modèle que les banques numériques devraient suivre pour «l'intégration sans face à face».

Pour répondre à ces exigences, certaines banques ont intégré vérification automatisée des documents d'identité avec comparaison faciale pour vérifier numériquement l'identité d'un client potentiel. C'est là que le client serait invité à utiliser son téléphone pour scanner sa pièce d'identité émise par le gouvernement (généralement un permis de conduire, un passeport ou une carte d'identité). Le scan du document d'identité est ensuite analysé à l'aide d'algorithmes d'authenticité et d'apprentissage automatique pour vérifier s'il est authentique.

Une fois le document d'identité vérifié, la photo sur le document est comparée à la photo de selfie à l'aide de la technologie de comparaison faciale. Si une correspondance est identifiée et que les deux sont jugées authentiques, le demandeur peut alors poursuivre le processus d'ouverture de compte bancaire à distance. Les régulateurs définissent cela comme «l'intégration non face à face» et il offre une variété d'avantages au client et à la banque, y compris la commodité de l'utilisateur, la réduction des coûts opérationnels et la possibilité d'accueillir les clients conformément aux exigences de distanciation sociale. .

2. Règlement sur la sécurité en ligne et l'authentification basée sur les risques

À l'instar des banques traditionnelles, les néo-banques doivent intégrer et maintenir des systèmes antifraude et de sécurité numérique robustes en ligne. Celles-ci incluent la sécurité back-end, la sécurisation des systèmes front-end, ainsi que la conformité et le reporting.

Outre les exigences réglementaires, les néo-banques ont un autre moteur puissant pour sécuriser les comptes de leurs clients: la gestion de la réputation et la perception des consommateurs. Tandis que 90% des clients néo-bancaires aux États-Unis et 88% au Royaume-Uni se disent satisfaits de leur expérience néo-bancaire, 61% des consommateurs déclarent faire plus confiance à une banque traditionnelle avec leur argent qu'à une néo-banque, et 82% affirment que la sécurisation des transactions est une préoccupation essentielle lors du choix d'une banque . Contrairement à de nombreuses banques traditionnelles, les néo-banques doivent gagner la confiance des consommateurs et protéger rigoureusement leurs clients contre tous les types de fraude - y compris les chevaux de Troie et les attaques mobiles, les escroqueries par hameçonnage et les tentatives de prise de contrôle de compte.   

La protection des comptes clients contre la fraude et les accès non autorisés est également une préoccupation majeure des régulateurs. Aux États-Unis, le régulateur de l'État de New York, le New York Department of Financial Services (NYDFS), impose des exigences de cybersécurité . Les exigences comprennent, entre autres, exiger des institutions financières qu'elles «utilisent des contrôles efficaces, qui peuvent inclure authentification basée sur les risques ou une authentification multifactorielle, dans le but de protéger les informations non publiques ou les systèmes d'information contre tout accès non autorisé. »    

Dans l'UE, la directive sur les services de paiement 2 (PSD2) impose l'utilisation de Authentification forte du client pour sécuriser les paiements et les transactions contre la fraude. PSD2 garantit que les concepts d'authentification avancés, tels que la liaison dynamique, la liaison d'appareils pour les applications mobiles, le blindage des applications mobiles et l'analyse des risques de transaction deviennent des outils de sécurité standard dans les services financiers. Les initiatives de type PSD2 se sont étendues au-delà du bloc comme Bahreïn et dinde ont également adopté l'approche de l'UE.

Alors que les institutions financières tirent parti de la sécurité, de la redondance et des avantages financiers du stockage de données dans le cloud, les néo-banques devraient également prendre en compte les lois locales sur le cloud et la résidence des données.   

3. Protéger le canal mobile

Toutes les banques, mais en particulier les néo-banques sans succursales, doivent mettre en œuvre une sécurité robuste pour le canal mobile, en particulier l'application mobile elle-même. Ceci est essentiel à la suite de la pandémie mondiale, qui a vu Les menaces mobiles augmentent pour les banques traditionnelles, les banques challenger et les FinTechs . Tout récemment, le Le FBI a averti les consommateurs qu'une augmentation du cheval de Troie bancaire basé sur les applications mobiles l'activité était attendue en raison de l'augmentation de l'activité bancaire mobile due à la pandémie.

Pour de nombreuses néo-banques, l'application mobile est le seul point de contact client disponible. L'application mobile est le canal par lequel le client ouvre un compte, accède à son argent, effectue des paiements et des transactions, résout les problèmes de support et est informé des nouveaux produits. Avec autant de pilotage sur l'application, elle doit être excellente. Il doit offrir une expérience client sans faille et il doit également être sécurisé. Si l'application mobile tombe en panne à cause d'une attaque, toute la banque tombe en panne. En plus de refuser aux clients l'accès à leur argent, une panne d'application pourrait gravement nuire à la confiance des consommateurs. Les manchettes négatives sur les violations des banques challenger peuvent rendre encore plus difficile de persuader les clients de faire confiance aux néo-banques avec leur argent.

De plus, étant donné que les applications mobiles sont téléchargées sur des appareils mobiles sur lesquels les développeurs d'applications des néo-banques n'ont aucun contrôle, l'état de sécurité de ces appareils ne peut pas être fiable. Les néo-banques doivent donc prendre des mesures supplémentaires pour assurer la sécurité et l'intégrité de l'application.

Il est impératif que les institutions financières fassent ce qu'il faut pour s'armer des connaissances et de l'expertise nécessaires pour surveiller et protéger leurs canaux et les données et transactions de leurs clients de manière continue, tout en offrant une expérience client en même temps. 

Pour répondre à ces exigences, de nombreuses banques comptent sur des fournisseurs de solutions tiers de confiance pour mettre en œuvre protection des applications mobiles pour eux. La protection des applications consiste à protéger les applications bancaires de A à Z. Cela permet à l'application de fonctionner en toute sécurité même dans des environnements potentiellement hostiles, tels que des appareils jailbreakés ou enracinés - et de refuser le service uniquement lorsque cela est absolument nécessaire.

Mobile App Shielding
Livre blanc

Protection des applications mobiles : comment réduire la fraude, faire des économies et protéger les revenus

Si vous avez aimé ce podcast, téléchargez ce livre blanc. Découvrez comment le blindage des applications avec la protection des temps d’exécution est essentiel au développement d’une application bancaire mobile sécurisée et résiliente.

Télécharger

 

4. Confidentialité et protection des données

Compte tenu des violations très médiatisées de ces dernières années et de la vente et du partage non autorisés des données des consommateurs par les agrégateurs de données, les néo-banques doivent protéger les données de leurs clients contre les violations et les attaques. Au-delà des amendes, les violations de données et les attaques peuvent nuire considérablement à la confiance des consommateurs dans les banques non traditionnelles. Les problèmes de confidentialité et de protection des données peuvent également empêcher les consommateurs de passer aux néo-banques.

Fin juillet 2020, Mark Cuban a soutenu La startup FinTech Dave a signalé un incident de sécurité résultant en l'exposition d'informations personnellement identifiables de millions de leurs utilisateurs. Bien que la FinTech ait publié une déclaration selon laquelle aucune activité frauduleuse n'a eu lieu, la nouvelle de la violation et la nécessité de notifier 7,5 millions de clients et de réinitialiser tous les mots de passe des clients auront certainement un impact sur la confiance des consommateurs.  

De nombreuses lois et réglementations sur la confidentialité et la protection des données ont été adoptées dans le monde entier. Ceux-ci inclus:

  • Règlement général sur la protection des données (RGPD) de l'Union européenne
  • US California Consumer Privacy Act (CCPA)
  • Loi thaïlandaise sur la protection des données (la conformité est entrée en vigueur le 27 mai 2020)
  • Loi générale sur la protection des données du Brésil (l'application commence le 1er août 2021)

D'autres réglementations de ce type sont à venir. Particulièrement aux États-Unis, avec d'autres États déployant une législation semblable à la CCPA et le Congrès américain ayant récemment introduit une législation fédérale.

5. Initiatives bancaires ouvertes

Au cours des dernières années, de nombreuses initiatives de banque ouverte ont été mises en œuvre dans le monde entier. L'open banking permet aux prestataires de services financiers tiers (TPP) d'accéder aux données des clients (avec le consentement du client) des banques ou des institutions financières grâce à l'utilisation d'interfaces de programmation d'application (API). L'open banking vise à créer de meilleures options de services financiers pour les consommateurs en permettant à plus d'acteurs d'entrer sur le marché des services financiers.

Les néo-banques doivent se conformer aux exigences uniques de chaque régulateur et doivent être conscientes des initiatives locales de banque ouverte réglementées et non réglementées si elles cherchent à déménager dans une nouvelle juridiction. Les néo-banques dépourvues des équipes de conformité importantes des grandes banques devraient rechercher des fournisseurs et des partenaires capables de démontrer une connaissance approfondie du sujet dans ces initiatives variées et en évolution rapide.

Alors que le système bancaire ouvert a été bien défini et adopté dans l'UE (les institutions financières étant tenues de suivre les réglementations établies par PSD2), l'Asie-Pacifique, Hong Kong, le Japon, Singapour et la Corée du Sud font également progresser leurs initiatives de banque ouverte. En Australie, l'adoption du Consumer Data Right (CDR) en février 2020 a servi de catalyseur à l'open banking et le 1er juillet 2020, les «Big 4» banques australiennes ont été tenues de partager «les données de référence des produits avec des destinataires accrédités».

En Amérique du Nord, le Canada a mené des études approfondies et renommé «banque ouverte» en «financement dirigé par les consommateurs». Bien que le gouvernement du Canada n'ait pas encore approuvé le système bancaire ouvert, les études sont prometteuses et le financement axé sur la consommation pourrait être lancé le plus tôt possible.

Résumé

La myriade d'exigences réglementaires peut être accablante pour n'importe quelle banque. Cet article est de très haut niveau en termes d'exigences réglementaires auxquelles sont confrontées les néo-banques et n'a pas vocation à être une feuille de route vers la conformité. Cependant, il met en évidence certaines des nuances auxquelles sont confrontées les néo-banques dans le monde.

Les néo-banques qui cherchent à se développer géographiquement sont confrontées à de nombreux défis. Ils doivent persuader les consommateurs prudents qu'ils peuvent garder leur argent en sécurité; ils doivent persuader les régulateurs qu'ils peuvent fonctionner de manière sûre et conforme; et ils doivent sécuriser leur précieuse application mobile contre les attaques et les cas croissants de fraude. Ils doivent faire tout cela d'une manière qui n'affecte ni ne diminue l'expérience supérieure en ligne et dans les applications qu'ils offrent à leurs clients.

Pour ce faire, les néo-banques doivent rechercher des technologies qui peuvent aider à détecter et à arrêter la fraude et les attaques, sans affecter la façon dont un client typique interagit avec leur application au quotidien. Des technologies telles que la biométrie comportementale, la vérification d'identité numérique et l'analyse des risques basée sur l'apprentissage automatique peuvent toutes contribuer à atteindre cet équilibre. Surtout, ils doivent également rechercher des technologies qui peuvent les aider à répondre à des réglementations spécifiques, telles que les exigences en matière d'authentification forte du client et d'identité numérique.

S'ils peuvent le faire, les opportunités de croissance et d'expansion sont infinies.

Michael Magrath est responsable de l'alignement de la feuille de route de la solution OneSpan avec les normes et les exigences réglementaires à l'échelle mondiale. Il est président du groupe de travail sur le déploiement gouvernemental de l'Alliance FIDO et siège au conseil d'administration de l