Initiation de paiement : les plateformes d’open banking dressent un constat accablant

Depuis la mise en oeuvre de la DSP2, les prestataires de services tiers (TPP) critiquent la qualité des API et des parcours bancaires – ce qui a d’ailleurs poussé la Commission européenne à proposer des obligations de performance pour les API des banques dans un projet de règlement pour les services de paiement (RSP). Des récriminations confirmées par une étude menée par le cabinet Frame et soutenue par France Fintech, l’AFEPAME, Bridge, Fintecture, Lyra Collect, Linxo et Powens et dévoilée le 25 janvier 2024. Les données étudiées s’étendent sur 6 mois, de novembre 2022 à mars 2023. 

Si les parcours AIS, pour l’accès aux informations des comptes, sont désormais très satisfaisants – le taux de succès d’accès au compte est de 95 % en moyenne et assez uniforme -, le constat est accablant pour l’initiation de paiement. Le taux de conversion des transactions n’atteint que 44 % sur les 1,36 million de requêtes étudiées. 27 % des demandes sont rejetées et 8,5 % restent dans un statut intermédiaire. Aucune des banques contactées par mind Fintech n’a souhaité commenter les résultats de l’étude. 

“L’étude révèle que compte tenu des taux de conversion actuels, l’initiation de paiement dans un cas d’usage d’achat e-commerce, et la promesse du remplacement de la carte bancaire, est impossible à tenir aujourd’hui, conclut Bertrand Jeannet, CEO de Powens. C’est d’ailleurs pour cela que Powens n’est pas positionné sur ce marché et préfère se concentrer sur des cas d’usage BtoB comme le paiement de factures, de salaires ou de loyers. Cela vient alors remplacer un processus de virements très manuel et même si les taux de conversion sont insuffisants, cela améliore quand même l’existant.”

Pour Olivier Binet, CEO de Bridge, “cette étude montre de grandes disparités entre les banques et met en lumière le fait que les parcours PIS ne fonctionnent pas aussi bien que les parcours cartes. L’objectif est d’attirer l’attention des régulateurs et des banques sur le sujet et de créer une discussion autour de la qualité des API et des parcours, car l’expérience n’est pas encore optimale.”

Le PIS, moins développé et mature que l’AIS

Marc Giordanengo, partner chez Frame, espère quant à lui que l’initiation de paiement suivra, dans les années à venir, la même voie que l’accès aux informations de comptes (AIS). “Tous les travaux et les efforts réalisés par le secteur sur les cas d’usage d’agrégation ont porté leurs fruits et ont permis une vraie structuration du marché – d’ailleurs bien souvent les banques elles-mêmes le proposent à leurs clients, commente-t-il pour mind Fintech. Mais le PIS part de plus loin et les enjeux sont plus stratégiques pour les banques, car cela touche à quelque chose de crucial, avec des flux et des revenus. L’autre raison du retard du PIS, c’est que le marché français était très mature sur les cas d’usage AIS au moment de la DSP2 et l’écrasante majorité des discussions ont donc porté sur ce sujet, alors que le PIS était peu développé. Depuis, des fintech comme Fintecture ont émergé et des acteurs existants comme Bridge ont pivoté vers l’initiation de paiement.” À charge désormais au marché de “se mettre en ordre de marche pour améliorer le PIS, comme avant pour l’AIS.” 

Une évolution qui devrait être encouragée par la généralisation du virement instantané au même prix que le virement classique, comme le réclame l’Union européenne, et par la multiplication des cas d’usage et des initiatives des acteurs de la place. Les nouvelles réglementations proposées par l’Union européenne sur le sujet (PSR, DSP3 et Fida) devraient aussi ré-enclencher les discussions de marché au sujet des API bancaires. “Les cas d’usage principaux ne seront peut-être pas dans le commerce, car les expériences cartes sont déjà très bonnes et cela sera probablement réservé à des niches ou à une typologie de clientèle pour qui la carte ne passe pas, poursuit Marc Giordanengo. Mais les enjeux sont très forts dans le BtoB, pour le paiement de factures par exemple.”

Dans le secteur, l’étude a fait débat. Plusieurs fournisseurs de solutions basées sur le PIS soulignent d’abord que l’étude rend bien compte des taux de conversion (qui prennent en compte le parcours de paiement de bout en bout, en incluant le processus d’authentification forte, souvent complexe), et non des taux d’acceptation (qui reflètent l’issue de l’appel à l’API bancaire et seraient quant à eux très élevés) – c’est ce dernier terme qui a en effet pourtant été utilisé de manière erronée dans le compte-rendu de l’étude.

Certains appellent aussi à relativiser les mauvais taux de conversion évoqués. “Pour certaines banques, il y a en effet des échecs importants au moment de l’authentification, car le parcours n’est pas très intuitif et aussi parce que ces solutions sont récentes, donc les utilisateurs n’y sont pas habitués, reconnaît Emmanuel Dreux, président de la solution d’encaissement par virement Cashlee. Mais d’une part, les taux de conversion se sont améliorés depuis la période à laquelle a été réalisée l’étude, car les interfaces ont été modifiées par les banques ; et d’autre part, l’étude mélange les parcours BtoC et les parcours BtoB, dont les taux sont bien plus bas à cause du processus de double signature, non pris en compte par certaines banques. Enfin, il faut souligner que ce que l’on constate, c’est qu’une fois qu’un utilisateur est parvenu à réaliser un virement, les taux de conversion s’améliorent drastiquement, car il a compris le process.” Lui revendique des taux de conversion de 80 à 90 % pour les banques proposant des parcours d’authentification app-to-app et de 60 à 70 % pour les autres.

Parcours complexes

Reste que tous les TPP s’accordent sur le constat d’une marge de progression possible. Comment expliquer les mauvais taux de succès de l’initiation de virement ? “Des parcours fonctionnels complexes avec des mesures de sécurité mises en place […] jouent sur le niveau d’acceptation global”, souligne l’étude. Certains parcours ne respectent pas les recommandations EBA, par exemple en ne permettant pas l’usage de la biométrie alors qu’elle est disponible sur l’application de la banque. “Un des ASPSP (Account Servicing Payment Service Providers, Ndlr) étudiés compte deux mesures de sécurité renforcées dans ses parcours clients, qui incluent la saisie du nom d’utilisateur, du mot de passe, des informations de carte et de SMS”, raconte même l’étude. De même, lors de parcours nécessitant plus de deux signatures pour des opérations en BtoB, le Crédit Mutuel rejette la transaction ou la maintient dans un statut intermédiaire “pending” (sans réponse).

Le LCL est de loin le plus mauvais élève : aucune des transactions n’apparaît comme validée – plusieurs TPP indiquent qu’en réalité, celles-ci peuvent l’être, mais que la banque ne renvoie pas l’information. Les taux de conversion les plus faibles sont ensuite enregistrés chez AXA Banque (20 %), la BRED (29 %) et le Crédit Mutuel Arkéa (29 %). A contrario, les établissements les plus performants sur le plan de la conversion sont le Crédit Agricole (55 %) et Monte Paschi (53 %). Les trois quarts des acteurs présentent un taux d’échec supérieur à 50 %.

Statuts mal utilisés en cas d’échec

Les TPP notent aussi que les banques utilisent les statuts, c’est-à-dire les messages renvoyés aux TPP en cas d’échec, de manière très disparate et souvent non adaptée. “Les informations renvoyées par les banques ne nous permettent pas d’analyser finement ce qui s’est passé lors de la transaction”, regrette ainsi Olivier Binet, de Bridge. “Ce sont pourtant ces statuts qui doivent permettre d’analyser les irritants et d’améliorer les parcours”, explique Marc Giordanengo. Par exemple, les banques sur-utilisent le statut de premier niveau “pending”. Chez LCL cela représente ainsi 80 % des transactions, tandis que 20 % sont rejetées formellement. 

Pour les 47 % de transactions qui ont échoué, 84 % reviennent avec un statut de niveau 2 intitulé “NOAS”, pour “no answer from customer”, ce qui voudrait dire qu’il n’y a eu ni acceptation ni refus de la part du client final, et donc un timeout – les TPP assurant que les parcours complexes conduisent de fait à l’abandon. “La plupart du temps, le statut NOAS illustre le fait que les utilisateurs ne connaissent pas leur identifiant bancaire, ce qui correspond par exemple à 90 % des causes d’échec de la transaction chez Cashlee”, explique Emmanuel Dreux. Parfois, avec le Crédit Agricole ou la Banque Postale, l’utilisateur valide la transaction (ce qui est visible par le TPP), mais elle est ensuite refusée par la banque avec un statut NOAS – preuve d’une mauvaise utilisation du statut.

4 % des échecs sont dus à un rejet de l’opération par le client final ou un manque de fonds (CUST) et 3,2 % à une annulation par un tiers autorisé (différent du client final, DS02). Le statut MS03, qui représente 3,6 % des refus, équivaut à une absence de raison donnée par l’ASPSP. Là encore, LCL se distingue : 86 % de ses refus sont attribués à un statut DS02 (rejet par un tiers autorisé). 

Irrévocabilité des paiements non avérée

Autre grief : une irrévocabilité des paiements parfois non avérée, qui impacte négativement les cas d’usage commerçants. “Le Crédit Agricole et la Société Générale permettent l’annulation d’un virement initié et réalisé par l’intermédiaire d’un chargé de clientèle, mais également directement depuis des interfaces clients, et cela sans échange avec la contrepartie commerçant”. BNP Paribas est aussi pointée du doigt par le rapport. Une pratique qui permet à des clients de frauder en faisant annuler un paiement après avoir effectué un achat, et qui représente un autre obstacle majeur, pour les commerçants, au développement du paiement e-commerce par virement instantané. “À titre de comparaison, aucune annulation de ce type n’est possible avec une carte bleue ou avec des virements instantanés”, souligne le cabinet Frame.

Manque de communication des banques

Les TPP soulignent ensuite des lacunes dans la communication des indicateurs de disponibilité des API des banques et des changements de l’API (ou de la voie de fallback) pouvant impliquer des interruptions de service. Autre manque de communication : le partage d’informations pour lutter contre la fraude. Il est jugé insuffisant de la part des banques, avec une faible utilisation du statut “FRAD” pour justifier du refus d’une transaction et absence de certaines informations (non strictement obligatoires selon la DSP2) comme l’IBAN, le nom du titulaire du compte et le nom de la personne effectuant la demande de transaction. 

Faible utilité des parcours de secours

Si les parcours de repli (fallback) sont disponibles pour les parcours AIS, “le recours à une fallback dans l’exécution d’une requête PIS est presque impossible”, regrettent les TPP, car les requêtes de paiement nécessite la lecture mais aussi l’écriture de données. La dépendance aux API bancaires est donc extrêmement forte. 

Agrégation : taux de conversion de 95 %

Du côté de l’accès aux informations des comptes (AIS), les résultats de l’étude sont donc bien plus reluisants. Le taux de succès moyen atteint 95 %. La Banque Postale, avec 7 % des volumes, présente le taux de fiabilité le plus bas à 85 %, ce qui est inférieur à celui des autres acteurs principaux dont les taux dépassent tous les 94 %. LCL, qui représente 8 % des volumes, affiche un taux de succès de 94 %, proche de la moyenne, et SG, également à 8 % des volumes, occupe la première place avec un taux de succès de 97 %. “Le travail réalisé sur l’AIS est formidable et montre que le même chemin est à portée pour le PIS”, assure Marc Giordanengo, de Frame. “Si les taux de succès sont si importants, c’est notamment parce que l’AIS est souvent utilisée de manière récurrente, tous les 180 jours, et l’usage s’installe donc chez les utilisateurs”, assure Emmanuel Dreux, de Cashlee.

Parmi les échecs, 47 % sont dus à des dysfonctionnements techniques de la part de la banque ou du TPP (“failed”) et 39 % à des problèmes lors du processus d’authentification forte (SCA), souvent lorsque les parcours s’avèrent trop complexes. C’est le cas de 60 % des rejets de la SG (qui affiche le taux de succès le plus élevé), 92 % des rejets chez Fortuneo, 81 % au Crédit Mutuel Arkéa… 

Les échecs attribuables à une absence de réponse de la banque (“service unavailable”) sont en revanche relativement rares (14 % des rejets, soit 0,7 % des requêtes).