Mise en garde contre les risques de l’Open Banking

Konsentus met en garde les institutions financières européennes contre les risques de l’Open Banking

Le 8 septembre dernier, Konsentus, entreprise SaaS mondiale de premier plan garantissant un échange de données sûr et sécurisé, a lancé un avertissement sur les risques graves auxquels les institutions financières européennes opérant dans l’écosystème de l’open banking sont actuellement confrontées par l’augmentation croissante des niveaux de fraude.

Le 23 juin 2022, l’Autorité bancaire européenne a en effet publié un avis et un rapport en réponse à la demande de conseil de la Commission européenne sur la révision de la directive sur les services de paiement (DSP2).

Le rapport identifie différents problèmes et dangers liés à la vérification de l’identité et des autorisations réglementaires actuelles des prestataires de paiements tiers (PPT) proposant des services bancaires ouverts.

Parmi les 200 propositions de l’ABE figurent neuf propositions de modifications législatives qui réduiront les risques et renforceront la protection des consommateurs en déterminant en temps réel l’identité et les autorisations réglementaires actuelles des PPT.

Il faudra peut-être attendre plusieurs années avant que les recommandations n’entrent en vigueur, signifiant ainsi que les banques seront exposées aux risques identifiés par l’ABE pendant un certain temps.

​​La DSP2 permet l’open banking en obligeant les institutions financières à partager les comptes de leurs clients avec des tiers autorisés et des fintechs. L’open banking est désormais un phénomène majeur, avec chaque mois des milliards de transactions en Europe  et 63,8 millions d’utilisateurs attendus d’ici 2024.

Lorsque des données sont partagées, les banques doivent s’assurer qu’elles partagent des informations aux bonnes entités et sont responsables pour toute donnée transmise à des tiers non autorisés.

Cependant, les autorisations réglementaires permettant aux PPT de fournir des services bancaires ouverts dans l’EEE peuvent changer à tout moment. Si les banques continuent à partager des données avec des PPT qui n’ont pas le statut réglementaire correct, elles pourraient se voir infliger des amendes réglementaires et être en infraction avec la RGPD.

Brendan Jones, CCO de Konsentus, déclare : « Les banques sont confrontées à des possibilités véritablement effrayantes si elles ne vérifient pas de manière adéquate l’identité et le statut réglementaire des PPT. Elles sont responsables à la fois pour l’accès non autorisé aux données et des transactions frauduleuses, ce qui pourrait entraîner une atteinte à la réputation et des pertes financières importantes. »

« Les dommages causés par des mesures réglementaires très médiatisées pourraient entamer la confiance dans l’écosystème bancaire ouvert au sens large, ce qui pourrait nuire à tous les acteurs et ralentir le rythme d’adoption dans toute l’Europe. »

«Nous saluons les recommandations de l’ABE, mais nous avertissons également les banques qu’elles doivent prendre des mesures immédiates pour atténuer les risques. La législation prendra un certain temps pour entrer en vigueur, de sorte que les institutions financières doivent résoudre elles-mêmes le risque autour de l’identité et de la réglementation.»

Konsentus a produit un court briefing qui identifie les points clés du rapport de l’ABE, que vous pouvez trouver ici. Vous trouverez ci-dessous un résumé des neuf propositions clés de l’ABE :

  1. Une base de données centrale lisible par machine pour tous les prestataires de services de paiement (PSP) actuellement autorisés à fournir des services d’initiation de paiement (PIS) et des services d’information sur les comptes (AIS).
  2. Vérification permanente pour comprendre si un PPT est autorisé à fournir les services demandés au moment de la demande.
  3. Aller au-delà des certificats eIDAS pour répondre aux «incertitudes» et comprendre l’identité d’un PPT et son statut d’autorisation, les services qu’il peut fournir et ses autorisations de passeport.
  4. Des données harmonisées pour éviter les «divergences entre les informations contenues dans les registres nationaux individuels et le registre central de l’ABE» afin d’éviter les erreurs et l’utilisation abusive des données personnelles.
  5. Des mises à jour cohérentes des données et un délai commun pour les mises à jour de l’ABE et des registres nationaux afin que les données soient disponibles immédiatement pour éviter des décisions d’accès au compte incorrectes.
  6. Des informations fiables sur les passeports et l’obligation pour les banques de vérifier l’autorité centrale « d’origine » d’un PPT.

7.Un devoir de diligence qui garantit que les banques assument la responsabilité de protéger les données et les fonds des clients afin de minimiser les dommages financiers et de réputation.

  1. Une image complète fournie par une base de données unique qui offre une visibilité totale de tous les PPT fintech réglementés et des établissements de crédit autorisés à agir en tant que PPT.
  2. Clarté sur le refus d’accès pour répondre aux «incertitudes sur l’utilisation et la fiabilité des certificats EiDAS à des fins d’identification» pour comprendre l’identité d’un PPT, son statut de passeport et les services qu’il peut fournir.

Konsentus aide les institutions financières à prendre des décisions éclairées et en temps réel sur le partage des données et les demandes de transactions API en leur fournissant des données consolidées provenant directement des registres gérés par l’ABE et les autorités nationales compétentes (ANC) des nations européennes. Cela garantit que les données ne sont jamais remises à des tiers non autorisés, évitant ainsi toute amende pour non-conformité à la DSP2 ou au GDPR.

Vous souhaitez être contacté par notre rédaction ?

    Vous souhaitez être contacté par notre service commercial ?