APIs bancaires ouvertes

Qu'est-ce qu'une API bancaire ouverte et comment fonctionne-t-elle ?

Les API d'Open Banking sont en train de changer le secteur bancaire. L'initiative Open Banking permet aux clients des banques de partager leurs informations de compte en toute sécurité avec des fournisseurs tiers (TPP). Cela se fait par le biais d'interfaces de programmation d'applications (API) qui permettent aux programmes du PPT de communiquer avec les applications des banques. L'objectif est de promouvoir l'innovation dans le domaine de la banque numérique et d'accélérer le développement de nouvelles applications financières et de services améliorés pour les entreprises et les consommateurs.

L'Open Banking a été initié en 2018 par l'autorité britannique de la concurrence et des marchés (CMA) qui a enjoint aux banques d'ouvrir leurs applications aux PPT. La même année, la mise à jour de la directive sur les services de paiement (DSP2) de l'Union européenne avait le même objectif, tout en imposant de nouvelles règles de sécurité pour l'accès aux comptes de paiement et aux transactions financières.

Une utilisation typique d'une API bancaire ouverte consiste à agréger les données de différents comptes bancaires en une vue unique, fournie par une application TPP. Il existe deux types de PPT. Les fournisseurs de services d'initiation de paiement (PISP) se connectent au compte bancaire d'un client et initient les paiements pour le compte de ce dernier. Les fournisseurs de services d'information sur les comptes (AISP) se connectent au compte bancaire d'un client pour fournir un service financier, tel que la gestion de l'argent.

Avantages des API bancaires ouvertes

Comme l'un des résultats à long terme de l'Open Banking sera une concurrence accrue, les banques historiques ont été réticentes à l'adopter. Historiquement, elles sont en concurrence avec les entreprises fintech pour fournir à leurs clients de meilleurs services financiers. Mais l'Open Banking donne en fait aux banques l'occasion d'explorer de nouveaux modèles commerciaux dans lesquels elles collaborent et s'associent avec les fintechs émergentes et les autres banques au lieu d'essayer de leur faire concurrence. En fin de compte, les clients en bénéficient, car l'Open Banking leur donne un plus grand contrôle sur leurs données transactionnelles.

C'est une situation gagnant-gagnant, tant pour l'expérience du client que pour les institutions financières. Le client bénéficie d'un meilleur accès et contrôle de ses comptes et de ses finances, et peut profiter de nouvelles fonctionnalités et de nouveaux services. Les institutions financières peuvent offrir à leurs clients des services améliorés et participer à un écosystème de partage des revenus. D'après un article d'Insider Intelligence intitulé " How open banking and bank APIs are boosting fintech growth", le cabinet d'études "prévoit que le potentiel de revenus au Royaume-Uni généré par les petites et moyennes entreprises (PME) et les propositions de clients de détail basées sur l'Open Banking atteindra 2 milliards de dollars d'ici 2024".

Les banques, et donc leurs clients, peuvent être les grands gagnants en utilisant les API de l'Open Banking pour ouvrir leurs applications aux fintechs. Voici quelques avantages :

  • Innovation plus rapide : les fintechs peuvent généralement innover et développer de nouvelles applications et fonctionnalités plus rapidement que les équipes informatiques des banques en place.
  • Augmentation des revenus : les fintechs sont mieux placées pour prendre en charge et réaliser des projets de construction technologique.
  • Informations détaillées sur les clients : les Fintechs peuvent se connecter aux données des clients des banques pour fournir des tendances et des modèles financiers des clients.
  • Offres personnalisées : en utilisant les tendances et les schémas financiers des clients, les fintechs peuvent améliorer l'engagement des clients en proposant des services et des recommandations personnalisés.

Exemples de banques utilisant des API bancaires ouvertes

Dans l'ensemble du secteur financier, certaines des banques, institutions financières, prêteurs et startups fintech les plus connus et les plus importants utilisent déjà les API Open Banking pour offrir des produits et services financiers améliorés. Voici quelques exemples :

  • O2 Banking de Telefonica Deutschland : Telefonica Deutschland a lancé un compte bancaire exclusivement mobile qui permet d'effectuer des transactions via un numéro de téléphone mobile, d'obtenir de petits prêts instantanés et de bénéficier de meilleurs plans de données mobiles, le tout construit sur la plateforme de la banque allemande Fidor.
  • Intégration des informations financières des clients par Wave : Le logiciel de facturation et de comptabilité Wave utilise des API bancaires pour se connecter au compte bancaire d'un utilisateur, ce qui permet à ses clients de contrôler entièrement les finances de leur entreprise en un seul endroit.

Initiatives de banque ouverte

Il existe deux catégories principales de moteurs d'initiatives d'Open Bank dans le monde : les initiatives axées sur le marché et les initiatives réglementaires.

Dans les environnements axés sur le marché, comme aux États-Unis et dans certains pays asiatiques dont le Japon, Singapour, l'Inde et la Corée du Sud, les régulateurs laissent aux acteurs - banques et PPT - le soin de prendre l'initiative de déployer des API de services bancaires ouverts. De nombreuses grandes banques américaines ont lancé leurs propres initiatives et travaillent avec des PPT. Aux États-Unis, par exemple, l'Open Banking est encore largement basé sur le screen scraping, où les fintechs recueillent des informations sur les clients à partir des données affichées sur l'écran de l'application bancaire, mais le secteur devrait passer à des API plus sûres et plus fiables.

Dans les environnements axés sur la réglementation, comme au Royaume-Uni et en Europe, les initiatives ont été principalement motivées par la DSP2. Hong Kong a également adopté l'approche réglementaire et permet aux institutions financières de choisir avec quel TPPS elles collaborent.

Un autre point à noter est l'approche de l'Open Banking en Australie. Il s'agit peut-être de l'approche la plus ambitieuse et la plus innovante de l'Open Banking à ce jour. L'Australie va en fait au-delà de l'Open Banking et propose une économie de l'Open Data, dans laquelle les citoyens australiens peuvent non seulement demander aux institutions bancaires de détail de permettre le partage de données avec des fournisseurs tiers, mais aussi d'autres entreprises comme les fournisseurs d'énergie ou les sociétés de télécommunications, par exemple.

Risques de sécurité liés aux API bancaires ouvertes

L'ouverture des applications bancaires aux PPT comporte des risques qu'il convient de prendre en compte. La prévention de la fraude doit être une priorité absolue pour toutes les parties. Frederik Mennes, responsable du centre de compétences en sécurité de OneSpan, répartit ces risques en trois types.

  1. Premièrement, les institutions financières ouvrent leurs systèmes et partagent les données des consommateurs avec les PPT. Il incombe donc à l'institution financière de s'assurer qu'elle ne travaille qu'avec des PPT dignes de confiance. Ils ne peuvent pas permettre à un PPT malveillant ou non autorisé d'avoir accès à leurs données.
  2. Deuxièmement, les utilisateurs des applications fournies par les PPT doivent être correctement authentifiés pour empêcher tout accès non autorisé lorsqu'ils accèdent à un compte dans la banque. Cela peut nécessiter une authentification supplémentaire telle que l'authentification forte du client (SCA).
  3. Troisièmement, l'infrastructure informatique de la banque contient désormais essentiellement l'infrastructure informatique du PPT. Ainsi, si le PPT subit une violation de données ou est compromis d'une autre manière, la banque peut également être touchée.

Comment protéger les banques contre les menaces de sécurité

Le premier risque décrit ci-dessus concerne les PPT non autorisés qui tentent d'accéder aux comptes de la banque. Pour se protéger contre ce type d'accès non autorisé, les banques peuvent exiger que le PPT signe numériquement toutes les demandes. Les PPT disposeraient d'une paire de clés publiques/privées avec un certificat correspondant émis par une autorité de certification digne de confiance. Cela permettra aux PPT de s'authentifier lorsqu'ils communiquent par le biais d'interfaces bancaires ouvertes.

Pour faire face aux risques d'accès aux comptes de la banque par des utilisateurs non autorisés, les banques doivent recourir à l'authentification forte des clients et à la surveillance des transactions, comme le prévoit la DSP2. Entre autres spécifications, la DSP2 rend obligatoire l'authentification des transactions. Le niveau d'authentification requis pour traiter une demande dépend du niveau de risque de la transaction demandée. Par exemple, après s'être connecté à une banque en ligne, la demande d'un client de vérifier son solde peut être traitée de manière transparente, mais une demande de transfert de fonds peut inciter l'utilisateur à demander une authentification plus forte.

La DSP2 et les normes techniques réglementaires (RTS) qui y sont associées exigent que la surveillance de la fraude soit effectuée et que l'authentification forte du client (SCA) soit appliquée pour la majorité des paiements en ligne, y compris ceux qui sont effectués par le biais des API d'Open Banking. SCA doit être appliqué à l'accès aux informations sur les comptes de paiement et à chaque initiation de paiement, y compris les transactions via Open banking , sauf si une exemption s'applique en vertu du RTS. Les exemptions ne sont pas obligatoires, mais les banques peuvent en bénéficier si elles le décident.

Dans le cadre des programmes d'analyse de la fraude en matière d'Open Banking, des solutions telles que OneSpan Risk Analytics prennent en charge la surveillance des événements provenant d'un PPT exploitant un ou plusieurs services Open Banking par le biais d'API Open Banking publiées par la banque. OneSpan Risk Analytics fournit des scénarios de règles préétablis couvrant les exigences de surveillance de la fraude PSD2, la logique commerciale et les scénarios de fraude typiques. Ces règles prennent en charge les canaux bancaires numériques, y compris l'Open Banking.

Les API ouvertes requises par la DSP2 donneront naissance à de nouveaux services et applications bancaires innovants. Néanmoins, les banques doivent empêcher les criminels d'accéder aux données et aux transactions des clients. Dès lors, les banques et les fournisseurs tiers (TPP) doivent se tenir au courant des risques et offrir une protection suffisante. Pour en savoir plus, consultez ce blog : Open Banking APIs under PSD2 : How to Mitigate Risk.

- une authentification forte client

Pour passer le SCA, le client doit s'authentifier avec succès en utilisant l'authentification multifactorielle (MFA). Dans le contexte des paiements en ligne au titre de la DSP2, cela signifie que le client doit fournir deux des trois facteurs d'authentification. Ces trois facteurs sont :

  • Connaissance : quelque chose que l'utilisateur connaît, par exemple son mot de passe, son code PIN, etc.
  • Possession : quelque chose que l'utilisateur possède, par exemple son téléphone portable, etc.
  • Inhérence : quelque chose que l'utilisateur est, par exemple son empreinte digitale, son empreinte palmaire, etc.

Il existe trois méthodes pour réaliser le SCA :

  • Une approche de redirection avec l'application web de la banque
  • Une approche intégrée directement par l'application TPP
  • Une approche découplée avec l'application mobile de confiance de la banque

Dans l'approche avec redirection, les utilisateurs sont redirigés vers le site web de leur banque pour saisir les informations d'authentification. Dans l'approche intégrée, le processus d'authentification est entièrement automatisé, les utilisateurs partageant leurs informations d'identification avec un PPT qui authentifie et lance le paiement en arrière-plan. Avec l'approche découplée, le second facteur est fourni par un dispositif distinct de celui qui demande la transaction.

En route vers la finance ouverte

L'Open Banking est encore assez récent dans le secteur bancaire. Mais les organisations financières parlent déjà de passer à l'étape suivante : l'Open Finance. Les initiatives d'Open Banking s'appliquent principalement aux comptes de paiement.Il est maintenant temps d'appliquer ce concept à tous les comptes afin que les consommateurs puissent avoir une vue d'ensemble de leurs finances personnelles et de leurs données financières. Il n'y a aucune raison pour que les nouveaux services, techniques et avantages de l'Open Banking ne puissent pas être appliqués à d'autres comptes financiers tels que les hypothèques, les investissements, les pensions et les assurances.

 

Tyrrell, Darcy, Yodlee, "Open Banking APIs Explained", juin 2020, https://www.yodlee.com/open-banking/open-banking-api

Belmaker, Gidon, TearSheet, " 7 exemples montrant la puissance des API bancaires ", novembre 2016, https://tearsheet.co/artificial-intelligence/7-examples-showing-the-power-of-banking-apis/

Mennes, Frederik, OneSpan, "Security and Compliance in an Open Banking World", https://www.onespan.com/resources/video-open-banking-security-considerations

Prenez contact avec nous

Contactez l'un de nos experts en sécurité pour en savoir plus sur la manière dont nos solutions peuvent répondre à vos besoins en matière de sécurité numérique

Contact