Open banking : l’EBA veut modifier l’obligation d’authentification forte tous les 90 jours

Depuis l’entrée en vigueur de la DSP2, mi-2019, tous les acteurs agréés (TPP) fustigent l’obligation de réauthentification forte (SCA) tous les 90 jours par les clients finaux. Plus de deux ans après, l’Autorité bancaire européenne (EBA) lance une consultation publique sur le sujet, en vue de modifier la réglementation sur le sujet : “L’amendement vise à adresser un certain nombre de problèmes identifiés par l’EBA dans l’application de l’exemption par certains ASPSPs (Account Service Payment Service Providers, les banques, ndlr) (…) qui ont impacté négativement les services offerts par les AISPs (Account Information Service Providers, les agrégateurs, ndlr) sous la DSP2”. Parmi ces problèmes : “les cas où les ASPSPs n’ont pas utilisé l’exemption et demandé la SCA pour chaque accès de compte, où quand ils demandent la SCA plus fréquemment que tous les 90 jours, comme le prévoient les RTS”. 

L’EBA propose d’introduire dans les RTS (standards techniques de la DSP2) une nouvelle exemption obligatoire lorsque l’accès est réalisé par un AISP, qui remplit un certain nombre de critères de sécurité. La consultation aura lieu jusqu’au 25 novembre 2021 et une audience publique aura lieu le 11 novembre prochain. 

À noter : En septembre 2020, les dirigeants de Budget Insight indiquaient à mind Fintech que “seuls 30 à 40 % des utilisateurs des TPP renouvellent l’authentification forte tous les 90 jours”.