Les banques doivent s’adapter aux nouveaux systèmes de paiement. (Photo: Shutterstock)

Les banques doivent s’adapter aux nouveaux systèmes de paiement. (Photo: Shutterstock)

Après la mise en conformité technique et réglementaire pour PSD2, les banques revoient désormais leur stratégie pour ne pas se faire distancer par des acteurs non bancaires.

Les banques n’ont pas le choix de s’adapter. Car la deuxième directive sur les services de paiement (PSD2) comporte deux nouveautés majeures. D’abord, la possibilité est donnée à des acteurs tiers (third-party providers – TPP) d’avoir accès aux comptes de clients bancaires de manière sécurisée (après avoir obtenu leur consentement) pour développer de nouveaux services.

Ensuite, la directive impose la mise en place d’un processus d’authentification plus poussé pour les paiements en ligne. Après un travail fastidieux de mise en conformité technique et réglementaire, tout est en place depuis le 14 septembre. Reste à finaliser l’authentification forte des paiements en ligne, qui entrera en vigueur fin décembre 2020. «L’inconnue majeure se situe au niveau de la prise en compte du temps d’adoption des solutions par les clients, qui reste difficile à estimer», indique Jérôme Cacciatore, head of transformation office chez ING Luxembourg.

Ce nouveau processus de sécurisation des paiements électroniques nécessite de passer par au moins deux des trois principes suivants: la connaissance (code PIN, mot de passe), la possession (smartphone, token) et une caractéristique personnelle (empreinte digitale par exemple).

«Ajouter un élément d’authentification et garantir la confidentialité des données et l’indépendance de chaque élément augmentent la complexité pour tous les acteurs de la chaîne de paiement, en particulier pour ceux qui ne sont pas prestataires de services de paiement, et donc pas directement soumis à PSD2 (par exemple les petits commerçants en ligne, ndlr), mais qui doivent tout de même s’adapter», note Marco Gasparini, director chez Grant Thornton.

Désintermédiation

Le volet concernant l’ouverture de l’accès aux comptes des clients n’est pas moins technique. , a donc permis de mutualiser les ressources des établissements bancaires. ING Luxembourg lui a néanmoins préféré une solution maison.

«Cela demandait certes un investissement de départ conséquent, mais permet d’accompagner une vision stratégique européenne sur le long terme, sans reposer sur d’éventuels intermédiaires. De cette manière, par exemple, l’intégration du service d’une fintech est facilité et répliquable plus efficacement sur l’ensemble des filiales du groupe», précise Jérôme Cacciatore. Avant d’ajouter: «Les changements concrets seront peu perceptibles par le grand public avant deux à trois trimestres. Chaque prestataire de services tiers (TPP) devant notamment réaliser ses implémentations techniques pour accéder à l’environnement des banques.»

Les services de paiement sont révolutionnés: le système n’est plus fermé et bilatéral entre les banques et le client. Les banques redoutent donc une désintermédiation de leurs relations avec les clients.

Jean HilgerCIOBCEE

Le fait de permettre à des tiers d’accéder aux comptes des clients des banques chamboule aussi les fondamentaux du secteur. «Les services de paiement sont révolutionnés: le système n’est plus fermé et bilatéral entre les banques et le client. Les banques redoutent donc une désintermédiation de leurs relations avec les clients, car de nouveaux acteurs non bancaires, pour peu qu’ils investissent dans des applications intelligentes et obtiennent l’agrément du régulateur, peuvent désormais proposer de gérer le budget de dépenses ou les paiements d’un client», assure Jean Hilger, CIO de la BCEE.

En septembre, plus de 200 sociétés étaient ainsi inscrites au registre de l’Autorité bancaire européenne, et donc dans les starting-blocks pour lancer des services compatibles avec PSD2 en Europe. Les banques doivent par conséquent réagir rapidement: «Main­tenant, les établissements bancaires plus innovants réfléchissent à la manière d’adapter leur stratégie business et de profiter de la directive, en devenant eux aussi des TPP», remarque Marco Gasparini.

C’est bien ce qu’ING envi­sage, en se positionnant d’abord sur des services «basiques» com­me l’agrégation de comptes bancaires.

Certaines banques ont conscience qu’il leur faut rester performantes et innovantes, mutualiser leurs ressources et repenser leur business model à l’aune de l’open banking.

Marco Gasparinidirector chez Grant Thornton.

Les fintech ne sont pas les seules à vouloir profiter de PSD2; les géants du web se positionnent également. «Certaines banques ont conscience qu’il leur faut rester performantes et innovantes, mutualiser leurs ressources et repenser leur business model à l’aune de l’open banking, à l’heure où des acteurs comme les Gafa entrent dans le secteur des paiements», observe Marco Gasparini.

Apple, Alibaba, Facebook, Google ou encore Uber ont en effet déjà tous lancé leurs propres services de paiement. «Les banques doivent devenir créatives, car leurs services d’investissement, de prêt ou de paiement peuvent être offerts dans une grande variété de contextes et de clientèles avec PSD2», constate Jean Hilger.

Nom de code: PEPSI

20 banques européennes travaillent à la création d’un standard de paiement baptisé PEPSI (Pan European Payment System Initiative). Cette initiative permettrait de gérer sous pavillon européen tous types de paie­ments dématérialisés. Elle vise à s’affranchir de la dépendance à des acteurs comme Visa ou Mastercard, et à con­trer l’arrivée de géants étrangers des paiements, notamment chinois.

Les banques impliquées dans le projet indiqueront en décembre si elles poursuivent ou non leur initiative. «Un peu d’élan de souveraineté ferait du bien à l’Europe, également en matière de paiement. J’espère que les expériences européennes dans le domaine du paiement, qui n’ont jusqu’à présent malheureusement pas connu le succès escompté, se montreront plus fructueuses à l’avenir», rappelle Jean Hilger, CIO de la BCEE. Une initiative similaire, baptisée Monnet et lancée en 2012, avait en effet échoué.