Alain Lacour (Lyra) : “Pour l’initiation de virement, demander l’IBAN en entrée, c’est une façon de tuer la DSP2”

La DSP2 est en vigueur depuis début 2018. Comment avez-vous abordé ce chantier ? 

Je dois reconnaître que Lyra, en tant qu’établissement de paiement, ne s’est pas rué sur le sujet de la DSP2 [l’extension de son agrément pour les services de paiement PISP – initiation de paiement et AISP – information sur les comptes a été obtenue en juillet 2020, Ndlr]. Je pense qu’on a bien fait, car ceux qui se sont précipités ont rencontré encore plus d’instabilité que ce que nous subissons aujourd’hui. Je crois beaucoup à l’initiation de virement dans un parcours de paiement e-commerce, mais il faut s’accrocher, d’autant plus quand on réalise les intégrations en direct. Nous en aurons bientôt 500.

Quel bilan en tirez-vous aujourd’hui d’un point de vue fonctionnel ? 

Avec la DSP2, les banques ont l’obligation de fournir des API, pour la consultation des données bancaires (consultation de comptes et de transactions, obtention de listes d’IBAN) et l’initiation de virement. Le problème, c’est que personne n’est allé vérifier la manière dont elles mettaient en place les parcours. Cela donne lieu à des situations aberrantes qu’on ne parvient pas à corriger pour le moment. 

Par exemple, un certain nombre de banques en Allemagne, au Luxembourg et en Autriche, ont décidé qu’il fallait transmettre l’IBAN de l’acheteur depuis la page de paiement pour effectuer une initiation de virement (instantané ou non) depuis un site e-commerce. Cela n’a pas de sens, car la connexion à l’espace bancaire permet de connaître les IBAN éligibles. Ces banques rétorquent qu’il suffit de demander le consentement en AISP. Sauf que tous les PISP ne sont pas des AISP.

Demander l’IBAN en entrée de parcours, c’est une façon de tuer la DSP2. Certains acteurs vont même plus loin. Ainsi, Orange Bank, dont l’API a été développée par Equens, exige en plus que l’IBAN du marchand soit pré-renseigné dans le back-office de la banque. Vous imaginez demander à Amazon de fournir son IBAN afin de le pré-enregistrer pour pouvoir faire de l’initiation de virement ?

Un autre constat que nous faisons, c’est que de nombreuses banques, quand vous vous authentifiez, fournissent des données qui sont anxiogènes. Il n’y a pas le nom du marchand ou de numéro de transaction, voire un montant à peine visible. Il faudrait plus de réassurance et de design dans le parcours. 

Il y a pourtant eu des efforts de rationalisation avec la création de portails…

Au Luxembourg, des banques ont en effet créé un hub avec une API unique pour l’initiation de virement [Luxhub qui regroupe 36 banques, Ndlr]. Il y a aussi une implémentation française où l’IBAN n’est pas obligatoire, car c’est celle de la STET, et une implémentation dite Berlin Group pour laquelle l’IBAN est obligatoire. Or, 35 banques sur 36 ont adopté l’implémentation version Berlin Group. La classification Berlin Group n’a par ailleurs permis que de normaliser les noms de champs. C’est tout ! Derrière, chacun fait son implémentation à sa manière et il n’y en a pas deux qui soient identiques. 

Nous avons aussi rencontré d’importantes difficultés en Espagne où les banques se sont regroupées derrière Redsys. Nous n’avons pas encore réussi à faire un paiement en réel avec la banque digitale de Santander (Openbank) et chez Imagin, la banque digitale de la Caixa, vous êtes renvoyés vers la page d’accueil du site lorsque vous essayez de payer. On ne comprend toujours pas pourquoi, vu qu’il n’y a pas de support. 

En Italie, le portail CBI gère 253 banques avec une seule intégration. Pour faire une initiation de virement, il faut d’abord se connecter à la banque (première authentification), puis l’acheteur doit sélectionner son numéro de compte, et revenir vers la plateforme parce que l’IBAN est obligatoire qui à son tour rappelle la banque (seconde authentification). On fait en sorte que le parcours acheteur soit le moins fluide possible et c’est décourageant. 

Vous observez aussi des incohérences sur le statut renvoyé lors d’une initiation de virement.

SEPA a normalisé depuis longtemps le statut d’une transaction. L’étape définitive est ACSC (AcceptedSettlementCompleted) grâce à laquelle vous êtes certain que le virement est bien exécuté. Nous aimerions que toutes les banques nous donnent un statut “completed”. C’est bien fait chez les banques françaises sauf au LCL qui ne communique que le dernier statut intermédiaire (ACSP pour AcceptedSettlementInProcess) et ne sait pas donner le statut définitif. Ça revient à jouer à la roulette russe. Nous savons que le client a finalisé la transaction, mais le paiement n’est pas encore confirmé par la banque. Si le commerçant veut libérer le produit par anticipation, c’est à ses risques et périls. Lors d’un paiement autorisé par carte avec 3D Secure, le marchand est assuré d’être payé. Ici, ça n’est pas le cas.

Qu’attendez-vous de la DSP3 ? 

Je ne sais pas ce qu’amènera la DSP3, mais il faudra absolument que les API aient une interaction beaucoup plus forte avec le mobile. Il faut trouver des moyens de réveiller le téléphone. En Colombie, le wallet Nequi a pris le meilleur d’Alipay et de WeChat Pay. Une API permet de détecter si l’acheteur a installé l’application de Nequi sur le téléphone avec lequel il souhaite payer, ce qui permet de réveiller automatiquement l’application avec un push. C’est ce qu’on appelle le mode découplé et c’est le futur de l’initiation de virement. On le retrouve aujourd’hui chez buddybank, la banque mobile d’UniCredit, et chez quelques banques allemandes.

Quelle lecture faîtes-vous de l’initiative EPI ?

Les Espagnols ont Bizum, les Belges ont Payconiq et les Polonais ont Blik. Ce sont tous des succès et ce sont trois moyens de paiement où il n’y a pas de carte derrière. Le seul défaut de ces moyens de paiement, c’est qu’ils n’ont pas encore intégré la notion de récurrence. Partir sur un modèle qui reposait sur une carte européenne, c’était une erreur. On a tous les ingrédients pour construire un système de paiement autour de l’initiation de virement instantané. Pourquoi Visa a racheté Tink ? Pourquoi Mastercard a investi dans Aiia et soutient Blik ? C’est parce qu’ils voient une vraie menace dans l’initiation de virement.