DSP2 : l’EBA veut empêcher les banques de multiplier les demandes d’authentification forte

Plus de deux ans après l’entrée en vigueur de la DSP2, l’Autorité bancaire européenne (EBA) a lancé le 28 octobre 2021 une consultation publique remettant en cause le principe de réauthentification forte (SCA) obligatoire des utilisateurs des plateformes d’open banking agréées (TPP) tous les 90 jours ainsi que la possibilité, pour les banques qui le souhaitent, de demander une authentification forte encore plus régulièrement. 

“L’expérience obtenue durant les premières années d’application des RTS [les standards techniques d’application de la DSP2, ndlr] a montré que la nature volontaire de l’exemption [à la SCA en deçà des 90 jours, ndlr] a mené à des pratiques très divergentes au sein de l’Union européenne dans son application, avec certains ASPSPs [les banques, ndlr] demandant une SCA tous les 90 jours, d’autres à des intervalles plus courts et d’autres n’appliquant pas l’exemption et demandant une SCA à chaque accès au compte”, indique l’EBA. L’Autorité déplore “une friction indésirable pour les clients”, “particulièrement au détriment des cas d’usage AIS” – c’est-à-dire ceux portant sur l’accès à l’information bancaire, par opposition à l’initiation de virements (PIS). 

L’EBA propose donc de rendre l’exemption obligatoire pour les cas d’usage AIS, mais aussi d’étendre la période de 90 jours à 180 jours avant le renouvellement de l’authentification forte. “Cette consultation est une très bonne nouvelle, se réjouit Bertrand Jeannet, directeur général de la plateforme d’open banking Budget Insight. Pour autant, la période de 180 jours ne nous satisfait pas et nous avons demandé à ce qu’elle soit plutôt de 360 jours”. Selon lui, la plupart des TPP (fournisseurs de services tiers) devraient émettre une requête similaire. Dans sa réponse, Budget Insight indique en effet que “le renouvellement de la SCA tous les 90 jours revient actuellement à perdre tous ses clients tous les trois mois. Ne comprenant pas le renouvellement ou ratant les notifications, une grande partie des clients ratent l’opportunité, obligeant les clients BtoB des TPP à déployer des campagnes de communication massives pour inviter leurs propres utilisateurs à se reconnecter afin de bénéficier d’un service qu’ils n’ont jamais souhaité stopper. (…) Pour changer réellement les choses, le délai doit être étendu à au moins un an.” 

À terme, les acteurs agréés veulent même aller plus loin. “Ce que nous souhaiterions, c’est même qu’il n’y ait qu’une seule SCA au début, puis que le renouvellement tous les 360 jours consiste simplement à demander à l’utilisateur s’il est toujours d’accord ou s’il souhaite retirer son consentement, poursuit Bertrand Jeannet. Mais l’EBA n’avait pas la possibilité d’aller aussi loin dans ses propositions, car cela aurait nécessité d’amender la directive, ce qui n’est pas dans son pouvoir.” L’EBA indique en effet que “les amendements proposés sont ceux que l’EBA est légalement dans une position de faire pour répondre aux problèmes identifiés. D’autres résolutions sont concevables mais nécessiteraient des changements à la directive elle-même, ce qui va au-delà des pouvoirs de l’EBA”. 

Selon Bertrand Jeannet, “une seule SCA tous les 360 jours serait déjà une première étape qui soulagerait énormément le problème de conversion observé avec la DSP2. Aujourd’hui, quand une banque demande une SCA à chaque connexion, cela rend les services AIS totalement inutilisables.” En septembre 2020, les dirigeants de Budget Insight indiquaient ainsi à mind Fintech que “seuls 30 à 40 % des utilisateurs des TPP renouvellent l’authentification forte”. 

La consultation prend fin le 25 novembre. Ses résultats seront adressés par l’EBA à la Commission européenne, qui pourra amender officiellement les RTS. “Cela devrait prendre un an environ”, prévoit Bertrand Jeannet.