Les prestataires tiers de paiement (TPP) Bridge, Fintecture, Lyra, et Powens ont mandaté le cabinet français indépendant Frame pour réaliser la première étude sectorielle et indépendante sur la performance des API bancaires en France.
Cette première étude sectorielle définissant la performance des API bancaires s’appuie sur des données collectées auprès de 5 prestataires tiers de paiement (TPP) français, et a été menée dans le contexte de la présentation par la Commission Européenne, de la future directive et du futur règlement sur les services de paiement (DSP3 & PSR) le 28 juin 2023.
Une performance des API bancaires encore perfectible
La DSP2 (directive sur les services de paiement 2, applicable depuis janvier 2018) a permis la mise en place de l'Open Banking en Europe. Pour ce faire, la DSP2 a instauré deux types d’API réglementaires permettant :
- la consultation et l’agrégation de compte,
- l’initiation de paiement.
La future réglementation, actuellement en examen à Bruxelles (PSR & DSP3), réaffirme les principes de l'Open Banking à savoir la mise à disposition gratuite et non-contractuelle par les banques d’API performantes dédiées aux acteurs régulés que sont les TPP.
A travers ces nouveaux textes, la Commission européenne se propose de réviser la DSP2 et d’optimiser sa mise en place. Un rapport de la Commission européenne, sur l’application de la DSP2, révélait en 2022, qu’elle n’avait pas atteint tous les objectifs fixés et constatait une forte marge d’amélioration, notamment sur la question du fonctionnement des interfaces de programmation mises en place par la DSP2 (autrement appelées API DSP2), applicable depuis le 13 janvier 2018.
Dans ce cadre, Bridge, Fintecture, Lyra, et Powens, représentant les principaux prestataires tiers de paiement (TPP) français, ont souhaité définir, mesurer et observer la qualité des API bancaires et, ainsi, contribuer à l’élaboration d’une définition commune de leur performance. A travers l’étude menée par le cabinet indépendant Frame, les TPP ont fait plusieurs constats :
L'étude met en exergue une trop grande disparité dans la qualité des API mises à disposition par les banques, qu'elles soient pour l'initiation de paiement (PIS) ou l'accès aux données bancaires (AIS),
- L’étude rappelle, que dans 84% des cas de rejet, les teneurs de compte ne proposent aucune réponse précise à l’initiateur du paiement sur les raisons de l’échec de sa demande,
- Concernant l'AIS, le taux de succès d'accès au compte est de 95% en moyenne et assez uniforme, ce qui est satisfaisant,
- Dans le cas d'échec de l'accès au compte pour l'AIS, les SCA échouées représentent 39% des causes, notamment à cause des parcours de SCA non optimisés pour les utilisateurs de la part des banques,
- L'irrévocabilité des paiements - permise par le virement instantané - est absente dans certains cas PIS nécessitant l’intervention des TPP pour éviter tout impact sur les cas d’usage commerçants.
Introduite par la DSP2 et applicable depuis mai 2021, l’authentification forte (SCA pour Strong Customer Authentification) est, également, un des points de vigilance mise en exergue par l’étude. Révisée en juillet 2023 pour étendre sa périodicité et réduire les frictions dans le parcours client, les échecs de SCA sont, selon l’étude, encore trop fréquents, ce qui, par conséquent, ne permet pas d’assurer un accès et une connexion simplifiée aux comptes des utilisateurs.
Ce faisant, et pour alimenter le débat sur les futurs directives et règlements européens, Bridge, Fintecture, Lyra, et Powens (TPP) ont, ainsi, formulé plusieurs recommandations pour garantir la performance des API bancaires, parmi lesquelles :
- Renforcer le suivi par le régulateur des parcours fonctionnels mis en place par les ASPSP (Prestataire de services de paiement gestionnaire de comptes) afin de détecter toute problématique potentielle et assurer le succès des opérations intermédiées par des TPP ;
- Interdire les tentatives d’annulation par les banques des virements initiés avec succès ;
- Renforcer l’échange d’informations entre les acteurs de la Place au service d’une lutte contre la fraude plus efficiente ;
- Instaurer des messages d'erreur sur l'interface principale des établissements bancaires lors de l'échec de la SCA ;
- Optimiser les parcours de SCA ;
- Améliorer les communications des ASPSP sur les API et leur état de fonctionnement.
Pour le collectif des TPP, à l’initiative de l’étude : « La performance des API bancaires doit être la pierre angulaire du déploiement de l’Open Banking en Europe. C’est tout l’objet de cette étude, qui pointe une trop grande disparité dans la mise à disposition d’API de qualité par les banques. C’est pourquoi, il était important d’identifier les bonnes pratiques pour parfaire l’efficacité des API bancaires et faire de l’Open Banking, enfin, un moyen de paiement souverain. Nous avons conscience que des efforts ont été consentis de la part de nos partenaires, néanmoins, nous sommes aussi convaincus qu’il est possible de faire encore mieux. Avoir des API plus efficientes augmentera l’usage de l’Open Banking et permettra d’offrir à tous les européens une expérience de paiement optimale. »