Open Banking arrive aux États-Unis, mais comment sera-t-il sûr?

Michael Magrath, octobre 8, 2018

La tendance à l'ouverture bancaire se poursuit partout dans le monde, et plus récemment, aux États-Unis. a franchi une nouvelle étape vers l'adoption de cette politique. Le 31 juillet, le département du Trésor des États-Unis a publié un rapport détaillé intitulé A Financial System That Creates Economic Opportunities: Nonbank Financials, Fintech, and Innovation qui servira probablement de catalyseur pour l'ouverture bancaire aux États-Unis.

Le Département du Trésor place les États-Unis. sur une liste croissante de pays qui modernisent leurs systèmes financiers, y compris le Royaume-Uni, l'Union européenne, la Corée du Sud, Singapour, l'Australie, le Canada et le Japon. Les banques traditionnelles se modernisent grâce à l'ouverture bancaire et à la transformation numérique afin d'acquérir et de fidéliser leurs clients et de rester compétitives.

Qu'est-ce que l'open banking?

Tel que défini dans Wikipédia, l'open banking comprend l'utilisation d'une interface de programmation d'applications ouvertes (API) qui permet à des tiers de développer et de construire des applications et des services autour d'une institution financière. Open banking offre également aux propriétaires de comptes des options supplémentaires de transparence financière, y compris les données ouvertes et les données privées à l'aide de la technologie open source.

L'open banking promet de débloquer l'innovation qui améliorera profondément l'expérience bancaire et introduira de nouveaux services financiers. Par exemple, les fintechs tierces peuvent fournir des applications qui permettent aux consommateurs de consulter plusieurs comptes bancaires à partir d'une seule application, ou des applications qui facilitent le partage de données par les entreprises avec leurs comptables.

Open Banking et l'écosystème identitaire

Quelques heures seulement après la publication du rapport par le Trésor, le Bureau du contrôleur de la monnaie (OCC) a annoncé que les entreprises technologiques peuvent demander des chartes fintech à usage spécial. Comme l'explique CSO Online, les nouveaux entrants dans le système bancaire national seront tenus par le CCO de suivre les mêmes normes régissant toutes les banques nationales.

L'ouverture des services bancaires arrive aux États-Unis. C'est juste une question de quand.

L'ouverture bancaire est certainement plus pratique pour les consommateurs et les entreprises de services financiers, mais elle doit être mise en œuvre en toute sécurité. Faisant écho à la Stratégie nationale pour les identités de confiance dans le cyberespace (NSTIC)de l'ère Obama, le Trésor encourage les institutions financières à « travailler sur l'identité numérique en améliorant les partenariats public-privé qui facilitent l'adoption de produits et de services fiables en matière d'identité juridique numérique, et en soutenant les efforts visant à mettre pleinement en œuvre les États-Unis. système d'identité numérique fédéré par le gouvernement.

Comme nous l'avons expliqué sur CSO Online, la vision du NSTIC était de créer un écosystème identitaire qui puisse sécuriser le commerce électronique et lutter contre le vol d'identité en ligne. L'écosystème devait être dirigé par le secteur privé avec le soutien et les conseils du National Institute of Standards and Technology (NIST). NSTIC a donné naissance au Identity Ecosystem Steering Group (IDESG) qui a développé un cadre très détaillé pour les identités de confiance. Le cadre et tous les actifs de l'IDESG ont récemment été fusionnés dans l'Initiative Kantara.  [ Pour unedivulgation complète, je suis administrateur de l'IDESG, et j'espère que les décideurs politiques examineront le Cadre au fur et à mesure qu'ils façonneront les services bancaires ouverts.]

Produits d'identité numérique dans la banque ouverte

Dans son rapport, le Trésor ajoute :

« Les produits et services d'identité numérique sont prometteurs pour améliorer la fiabilité, la sécurité, la protection de la vie privée et la commodité de l'identification des personnes et des entités, renforçant ainsi les processus essentiels à la circulation des fonds, des biens et des données en tant que l'économie mondiale s'enfonce dans l'ère numérique. Les systèmes d'identité numérique ont également le potentiel de générer des économies de coûts et des gains d'efficacité pour les entreprises de services financiers. Par exemple, des systèmes d'identité numérique fiables pourraient améliorer l'identification et la vérification des clients pour l'intégration et l'autorisation de l'accès aux comptes, de la gestion générale des risques et des mesures antifraude.

L'intégration numérique est un élément de modernisation fondamentale. Le rapport du Trésor et l'annonce du CCO font suite à l'adoption de la Loi sur la croissance économique, l'allégement réglementaire et la protection des consommateurs (alias. l'abrogation d'Un Dodd-Frank). La longue loi éclaire les règlements, y compris une disposition permettant à l'analyse d'un permis de conduire ou d'une carte d'identité personnelle d'ouvrir un compte auprès d'une institution financière ou d'obtenir un produit ou un service financier auprès d'une institution financière. Il élimine également le papier et permet à une banque de stocker ou de conserver ces informations dans n'importe quel format électronique.

Authentification adaptative : améliorer l'expérience utilisateur et se augmenter son chiffre d'affaires grâce à la protection intelligente
PAPIER BLANC

Authentification adaptative : améliorer l'expérience utilisateur et se augmenter son chiffre d'affaires grâce à la protection intelligente

Téléchargez ce document et atteignez le double objectif de réduire la fraude et de ravir le client.

Télécharger

À la suite de l'annonce de l'OCC, l'American Bankers Association, Independent Community Bankers of America, la Credit Union National Association et la National Association of Federal Credit Unions ont envoyé une lettre au sous-comité du commerce numérique et de la protection des consommateurs de la Chambre des représentants des États-Unis. Cette lettre comprenait une déclaration qui se lit comme suit :

« Toute loi promulguée doit veiller à ce que toutes les entités qui traitent les données financières sensibles des consommateurs aient mis en place un processus robuste, mais souple et évolutif, pour protéger les données, qui doit être couplé à des procédures efficaces de surveillance et d'application de la loi pour assurer la responsabilisation et la conformité. Il s'agit d'une étape importante pour limiter les attaques contre les infractions et réduire les risques pour les consommateurs et les coûts importants imposés à nos membres en cas d'infractions. Cette norme devrait s'appliquer à toutes les entités qui traitent des données personnelles et financières sensibles afin d'offrir une protection significative et cohérente aux consommateurs à l'échelle nationale.

PSD2 et forte authentification client

La directive révisée de l'UE sur les services de paiement (PSD2) comprend des normes techniques réglementaires sur l'authentification des clients et une communication sécurisée. Ces éléments sont essentiels pour atteindre l'objectif de PSD2, qui est de renforcer la protection des consommateurs, de promouvoir l'innovation et d'améliorer la sécurité des services de paiement dans toute l'Union européenne. Les Fintechs, les banques et d'autres sociétés de services financiers ont consacré beaucoup de temps, d'efforts et de ressources à se préparer à se conformer aux exigences fortes d'authentification des clients et de communication sécurisée, qui entreront en vigueur le 14 septembre 2019.

Ces exigences, conjuguées à la modernisation des États-Unis. système financier par le biais de services bancaires ouverts, permettra aux fintechs, aux banques et à d'autres sociétés de services financiers qui font des affaires aux États-Unis. de tirer parti de certains des processus et des technologies déployés en Europe. Cela accélérera la vision du Trésor.

Faisant écho aux associations susmentionnées, il est impératif que les informations personnelles identifiablesdes consommateurs, y compris les données financières, soient protégées. Bien sûr, dire que c'est une chose; sa mise en œuvre en est une autre.

Le rapport du Trésor note que « des systèmes d'identité numérique fiables pourraient améliorer l'identification et la vérification des clients pour l'intégration et l'autorisation de l'accès aux comptes, de la gestion générale des risques et des mesures antifraude ».  Comme dans l'UE, la réglementation bancaire ouverte aux États-Unis doit avoir des dents et l'application. Personnellement, j'aimerais voir les États-Unis. exiger que toutes les parties qui accèdent à ces données subissent un processus de vérification d'identité et que leur identité soit liée à un authentifiateur numérique unique et fiable. Cela ne signifie certainement pas l'authentification par noms d'utilisateur et mots de passe, mais via l'authentification multifacteur. Les applications et les communications entre les appareils et les serveurs doivent passer par des canaux sécurisés. Le défaut de le faire devrait imposer des sanctions sévères aux parties.

En tant que consommateur, j'ai hâte de sécuriser les services bancaires ouverts. Compte tenu de la vague constante de cyber-attaques et de violations, j'espère que les décideurs jettent un coup d'œil à travers l'étang et exigent une authentification forte client le long des lignes détaillées dans PSD2.

L'article suivant, rédigé par Michael Magrath, directeur, Règlements mondiaux et normes, a été publié pour la première fois le 21 septembre 2018 sur CSO Online. Réimprimé avec permission. © IDG Communications, Inc., 2018. Tous droits réservés.

Michael Magrath est chargé d'aligner la feuille de route de la solution OneSpan sur les normes et les exigences réglementaires à l'échelle mondiale. Il est coprésident du groupe de travail sur le déploiement gouvernemental de l'Alliance FIDO et siège au conseil d'administration de l'Electronic Signature and Records Association (ESRA).