Les aspects sécuritaires de l’Open Banking

Rapport des administrateurs : Cet article est temporairement libre d'accès. Pour un accès illimité au site Web, abonne-toi : 5 £ par mois / 50 £ par an.

L'open banking, la technologie financière révolutionnaire, a franchi une étape importante en dépassant les 11,4 millions de paiements en juillet 2023. Cette réalisation reflète une augmentation de 9,3 % du total des paiements par rapport aux mois précédents, soulignant l'adoption croissante des services bancaires ouverts.

Open Banking est un terme utilisé pour décrire un ensemble de technologies et de normes qui permet aux consommateurs de partager en toute sécurité les informations relatives à leur compte, par exemple par le biais d'apps et de sites Web.

Alors que l'économie mondiale continue d'évoluer, l'open banking devient de plus en plus populaire, car il permet des transactions plus rapides et plus sûres partout dans le monde et il donne aux consommateurs plus de possibilités, grâce à l'utilisation de tiers, pour gérer leurs finances. Tu peux choisir de donner un accès sécurisé aux informations de ton compte courant, détenues par ton fournisseur de compte, à une entreprise réglementée via une appli ou un site web.

Tu es le seul à pouvoir décider quelles informations tu partages et pour combien de temps, et personne n'y a accès si tu n'en donnes pas l'autorisation.

Pour utiliser un service Open Banking, tu as besoin de services bancaires en ligne ou mobiles pour ton compte courant personnel, ou professionnel.
Les services te permettant de partager les informations de ton compte avec une entreprise autre que ta banque existent depuis un certain temps, mais ont été fournis par un système appelé screen scraping. Le screen scraping consiste à capturer des informations à l'écran, par exemple en prenant une photographie de tes données. L'Open Banking est plus sûr que le screen scraping car, par exemple, tu n'as pas besoin de partager ton mot de passe ou tes données de connexion avec quelqu'un d'autre que ta banque ou ta société de crédit immobilier.

L'Open Banking est également connu sous le nom de “Open Bank Data” (données bancaires ouvertes)

Six ans après avoir été institué par l'ordonnance d'enquête sur le marché de la banque de détail de la Competition and Markets Authority (CMA), l'open banking, une technologie d'avant-garde permettant aux consommateurs et aux entreprises d'exploiter leurs données de transaction pour accéder à des services financiers plus personnalisés, connaît des sommets importants.

Les partisans affirment que l'open banking offre une plus grande transparence et un meilleur contrôle des données pour les titulaires de comptes, et qu'il pourrait permettre de fournir de nouveaux services financiers. Les partisans affirment également qu'elle vise à promouvoir la concurrence, l'innovation et l'autonomisation des clients dans les secteurs bancaire et financier. Les opposants affirment que l'open banking peut entraîner des risques de sécurité plus importants et l'exploitation des consommateurs.

• L'Open Banking te permet de partager certaines informations financières que seuls toi et ta banque pouvez voir, comme ton solde et l'historique de tes transactions, avec d'autres fournisseurs financiers ou services de ton choix. L'idée est de permettre à d'autres organisations d'utiliser plus facilement tes données pour personnaliser les produits ou faire des suggestions sur les domaines dans lesquels tu peux économiser.

• L'open banking est une pratique bancaire qui consiste à permettre une interopérabilité sécurisée dans le secteur bancaire en autorisant des prestataires de services de paiement tiers et d'autres prestataires de services financiers à accéder aux transactions bancaires et à d'autres données des banques et des institutions financières.

• L'open banking est né dans l'UE, a prospéré au Royaume-Uni et se répand maintenant dans le monde entier, y compris aux États-Unis. Malheureusement, comme il s'agit d'une Fintech de haut niveau, elle est très ciblée par les cybercriminels.

Depuis 2018, les règles de l'Open Banking signifient que les plus grandes banques du Royaume-Uni doivent te laisser partager tes données financières avec des fournisseurs autorisés, en leur accordant un accès en lecture seule à des éléments tels que tes transactions de dépenses et tes paiements réguliers.

L'Open Banking s'avère être un succès au Royaume-Uni. après avoir dépassé les 11,4 millions de paiements au cours du mois de juillet 2023. Selon Open Banking, l'entité formée en 2016 pour superviser la mise en œuvre de l'open banking, les performances du mois de juillet représentent une augmentation de 9,3 % du montant total des paiements open banking enregistrés le mois précédent, le mois de juin ayant enregistré 10,43 millions de paiements en conséquence.

Comment fonctionne l'open banking

La banque ouverte est rendue possible par une série de technologies, de réglementations et de services qui visent à permettre aux développeurs de créer de nouveaux services bancaires, de nouveaux modèles commerciaux bancaires et de nouvelles capacités commerciales.

Chaque fournisseur te demandera ton accord pour accéder à tes informations lorsque tu t'inscriras chez lui. Il enverra ensuite une demande à ta banque, qui la traitera et partagera tes données. Tu peux également retirer ton autorisation à tout moment. Techniquement, les banques partagent tes informations en toute sécurité par le biais d'une technologie appelée interface de programmation d'applications (API). Les API permettent simplement à deux fournisseurs de “parler” l'un à l'autre et de transmettre les informations que tu as donné la permission de partager, comme ton solde bancaire et tes paiements réguliers.

Avec l'Open Banking, il n'est pas nécessaire de remplir de longs formulaires pour donner à l'appli ou au site web tiers les données dont il a besoin, il peut y accéder directement, à condition que tu aies donné ton autorisation via les services bancaires mobiles ou en ligne de ta banque.

Ce type de technologie est déjà largement utilisé par des entreprises comme Facebook, Google Maps et Uber. Par exemple, Uber peut utiliser l'API de Google Maps pour savoir où tu te trouves. Dans le cadre de l'open banking, les banques autorisent l'accès et le contrôle des données personnelles et financières des clients à des fournisseurs de services tiers, qui sont généralement des startups technologiques et des fournisseurs de services financiers en ligne.

Les clients doivent normalement donner une sorte de consentement pour permettre à la banque d'autoriser cet accès, par exemple en cochant une case sur un écran de conditions de service dans une appli en ligne. Les API des fournisseurs tiers peuvent alors utiliser les données partagées du client et les données sur les contreparties financières du client.

Les utilisations peuvent inclure la comparaison des comptes et de l'historique des transactions du client avec une gamme d'options de services financiers, l'agrégation de données entre les institutions financières participantes et les clients pour créer des profils marketing, ou la réalisation de nouvelles transactions et de modifications de compte au nom du client.

Les nouvelles attentes des clients et les réglementations centrées sur la technologie constituent un lubrifiant important pour que l'open banking puisse prospérer. Trois forces se combinent pour rendre possible le rêve de l'open banking : les changements dans la réglementation bancaire, les changements dans la culture et les changements dans la technologie. Grâce à l'utilisation de comptes en réseau, les services bancaires ouverts pourraient aider les prêteurs à se faire une idée plus précise de la situation financière d'un consommateur et de son niveau de risque afin de lui proposer des conditions de prêt plus avantageuses. L'open banking peut également aider les petites entreprises à gagner du temps grâce à la comptabilité en ligne et aider les sociétés de détection des fraudes à mieux surveiller les comptes des clients et à identifier les problèmes plus rapidement.

Elle pourrait également aider les consommateurs à se faire une idée plus précise de leurs propres finances avant de s'endetter. Une application bancaire ouverte pour les clients qui veulent acheter une maison pourrait calculer automatiquement ce que les clients peuvent se permettre en fonction de toutes les informations contenues dans leurs comptes, fournissant peut-être une image plus fiable que ce que les directives de prêt hypothécaire fournissent actuellement.

Une autre appli pourrait aider les clients malvoyants à mieux comprendre leurs finances grâce à des commandes vocales.

Pour le consommateur, l'open banking promet d'offrir plus de choix, un meilleur service et un commerce sans friction. Par exemple, tu pourrais vouloir utiliser Amazon, Paypal et Facebook pour envoyer de l'argent ou des cadeaux en toute sécurité à tes amis d'un simple clic ou d'un glissement de doigt.

Il existe deux approches gouvernementales fondamentales de ce marché : la réglementation ou les forces du marché. L'Union européenne a suivi la voie de la réglementation, tandis que les États-Unis ont tendance à laisser le marché prendre sa propre forme.

• L'Europe a entamé le processus avec la directive PSD2 de l'UE (Directive sur les services de paiement) de 2018, qui visait à l'origine à sécuriser les services de paiement, mais qui a activé une nouvelle race d'apps de services financiers innovants. Comme il s'agit d'une directive plutôt que d'un règlement, les États membres individuels pourraient mettre en œuvre les directives à leur manière.

Le Royaume-Uni, en tant que plaque tournante financière majeure, et conforté par le Brexit a profité de sa liberté et a développé les principes de la PSD2 dans son propre système bancaire ouvert. Cela comprenait l'obligation pour les neuf plus grandes banques britanniques de développer une norme API commune, ce qui a contribué à l'essor rapide de l'open banking. Les avantages d'une écosphère bancaire ouverte florissante sont résumés dans une déclaration de décembre 2022 de l'autorité britannique de conduite financière (FCA). “Pleinement réalisés, l'open banking puis l'open finance peuvent apporter d'autres avantages aux consommateurs et aux entreprises et aideront le Royaume-Uni à devenir plus compétitif et innovant.”

• L'open banking aux États-Unis est un secteur émergent du marché américain. Bien qu'il soit moins avancé qu'au Royaume-Uni et dans l'UE, il serait faux de penser qu'il s'agit d'une idée nouvelle. En 2016, le Consumer Financial Protection Board a écrit : “Alors qu'il fut un temps où les consommateurs auraient pu apporter une boîte à chaussures pleine de papier à un conseiller financier ou à un agent de crédit, ils peuvent désormais accomplir la même chose simplement en donnant accès à leurs dossiers financiers numériques…. C'est un monde plein de nouvelles promesses, où les consommateurs ont la chance de bénéficier des avantages considérables de la facilité, de la rapidité, de la commodité et de la transparence.” Le potentiel avait déjà été signalé par la loi Dodd-Frank de 2010, qui stipulait que les transactions des consommateurs, y compris “les coûts, les frais et les données d'utilisation”, devaient être mises à disposition sous une “forme électronique utilisable par les consommateurs”.

Ce sont les difficultés pratiques liées à la nature disparate d'un pays fédéral à grande échelle qui ont retardé l'évolution naturelle du marché. En 2021, les États-Unis comptaient 4 236 banques commerciales assurées par la FDIC (Statista). Développer des apps compatibles avec cette quantité, ou la bonne sélection, de banques n'est pas une mince affaire. Il n'existe pas d'orientation spécifique ou d'initiative gouvernementale sur l'open banking aux États-Unis. Les banques ne sont pas tenues de développer une API standard.

Il n'existe pas de réglementation sur mesure en matière d'open banking, même si les opérateurs d'open banking devront respecter diverses exigences en matière de sécurité et de confidentialité au niveau fédéral et au niveau de l'État. Mais il existe une forte attitude entrepreneuriale et une opportunité commerciale – entravée par des API non standard et la difficulté pratique d'écrire des API individuelles pour toutes les banques importantes.

Les problèmes pratiques ont conduit à l'utilisation précoce du screen scraping par les apps bancaires ouvertes. Cette méthode est loin d'être parfaite. Elle exige que le client fournisse des identifiants, mais sans que la banque sache qui ou quoi utilise ces identifiants. Et elle peut recueillir plus de données que ce qui est strictement nécessaire à son objectif.

Les banques développent des API, mais le screen scraping persiste. Capgemini a expliqué les différences entre le screen scraping et l'open banking basé sur les API en mars 2022 “Le screen scraping est une technologie par laquelle un client fournit ses identifiants de connexion à l'appli bancaire à un fournisseur tiers (TPP). Le TPP envoie ensuite un robot logiciel sur l'appli ou le site web de la banque pour se connecter au nom du client et récupérer des données et/ou initier un paiement…. Les banques ont moins de contrôle sur les données récupérées, qui peuvent aller au-delà des données de compte réglementées par la DSP2 et inclure toutes les données client disponibles. Avec une API, les banques ont un plus grand contrôle pour partager uniquement les données nécessaires au service du TPP et les clients n'ont pas besoin de partager d'identifiants avec les TPP.”

Il ne fait guère de doute que l'approche de l'open banking basée sur les API prévaudra aux États-Unis comme au Royaume-Uni et dans l'Union européenne. Cette approche sera plus sûre que le scraping, mais il faudra du temps pour la mettre en place et il y aura toujours des problèmes de sécurité.

Trevor Salter, un associé de Morrison &amp ; Foerster spécialisé dans les services financiers, a déclaré : “Nous avons constaté des progrès importants dans les protocoles d'intégration technique entre les institutions financières, les agrégateurs et les fournisseurs de produits…. De même, nous avons constaté un alignement général sur la façon de sensibiliser les utilisateurs finaux à la manière dont leurs données seront traitées. Mais en l'absence d'un mandat du gouvernement ou de l'industrie, les données ne peuvent pas circuler tant que les institutions financières et les agrégateurs n'ont pas signé un accord.”

L'open banking aux États-Unis reste un effort fragmentaire tandis que toutes les parties concernées négocient des accords bilatéraux pour déverrouiller les données des utilisateurs.

Risques associés à l'Open Banking

L'open banking peut offrir des avantages sous la forme d'un accès pratique aux données et services financiers pour les consommateurs et d'une rationalisation de certains coûts pour les institutions financières. Cependant, comme pour tout service basé sur le numérique, il existe toujours un risque de violation des données. Les API ne sont pas sans présenter un certain nombre de risques, la plupart des inquiétudes provenant d'une sécurité insuffisante, du piratage et des menaces internes. Ainsi, l'open banking pose aussi potentiellement de graves risques pour la confidentialité financière et la sécurité des finances des consommateurs, ainsi que les responsabilités qui en découlent pour les institutions financières.

Les risques de sécurité liés à l'open banking, tels que la possibilité pour une application tierce malveillante de vider le compte d'un client, constitueraient une menace extrême.

Des préoccupations beaucoup plus larges seraient simplement les violations de données dues à une mauvaise sécurité, au piratage ou aux menaces d'initiés qui sont devenues relativement répandues à l'ère moderne, y compris dans les institutions financières, et qui resteront probablement monnaie courante à mesure que les données seront interconnectées de plus en plus de façons. Un processus bancaire ouvert typique comprendrait désormais le développeur de l'application, un utilisateur dont l'application est installée sur un téléphone portable, une API reliant l'application à la banque, et la banque elle-même. Ce type de processus interconnecté présente plusieurs risques pour la sécurité.

• L'appli pourrait être compromise avant ou après son installation, ou le téléphone portable pourrait être détourné. Dans l'un ou l'autre de ces cas, l'API pourrait fonctionner parfaitement, et simplement se connecter à la banque et renvoyer les données demandées.

• Ces données pourraient être accessibles à un criminel contrôlant le téléphone de l'utilisateur, ou elles pourraient être renvoyées au fournisseur de l'application. Le fournisseur de l'application pourrait vendre les données récupérées à d'autres tiers dans le cadre de son propre modèle commercial.

• Enfin, l'API pourrait être attaquée à distance.

La sécurité et la confidentialité des finances, ainsi que d'autres données personnelles, est une priorité absolue tant pour les utilisateurs que pour les institutions financières. Cependant, comme pour tout service basé sur le numérique, il existe toujours un risque de violation de données. Les API ne sont pas exemptes d'un certain nombre de risques, la plupart des préoccupations provenant d'une mauvaise sécurité, du piratage et des menaces d'initiés.

L'existence de logiciels malveillants conçus par des fournisseurs d'applis tiers pour infiltrer un compte et effacer les données reste également un problème. On peut également craindre que les prestataires de services de paiement manipulent mal les données de leurs propres clients pour obtenir un avantage sur le marché. Cependant, l'Open Banking utilise des logiciels et des systèmes de sécurité rigoureusement testés (le profil de sécurité de l'Open Banking API est basé sur le Financial Grade API. On ne te demandera jamais de donner accès à tes identifiants bancaires ou à ton mot de passe à quelqu'un d'autre que ta propre banque ou société de crédit immobilier.
Conclusion

Le nombre de banques et de sociétés de crédit immobilier qui proposent l'open banking est en augmentation. À l'heure actuelle, seules les neuf plus grandes banques et sociétés de crédit immobilier du Royaume-Uni sont tenues de mettre tes données à disposition dans le cadre de l'open banking. D'autres banques et sociétés de crédit immobilier plus petites peuvent choisir de participer à l'open banking.

L'open banking est une alternative viable au système financier actuel, car il offre de nombreux avantages, tels qu'une plus grande commodité, l'accès à une gamme variée de services financiers et un réseau d'applications tierces synergiques. Mais elle présente aussi quelques inconvénients, les risques de sécurité liés au partage des données étant l'inconvénient le plus important.

Il est important de donner la priorité à la protection des données des clients avant tout, et donc d'exploiter l'open banking en tandem avec des protocoles de sécurité solides et une conformité réglementaire rigoureuse.

Références :

MoneySavingExpert : FintechFutures :

Chakray : Open Banking : OpenID :

Wikipedia : Investopedia :

MoneyHelper : Open Banking :

Tibco : Semaine de la sécurité : Tibco :

Image : Ahmad Ardity

___________________________________________________________________________________________

Si tu aimes ce site Web et que tu utilises l'annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports approfondis sur les directeurs, en souscrivant à un abonnement Premium.

• Individuel 5€ par mois ou 50€ par an. S'inscrire

• Multi-utilisateurs, entreprises &amp ; comptes de bibliothèque disponibles sur demande

Renseignements sur la cybersécurité : Capturé Organisé & ; Accessible