wavestone - séminaire à paris sur la psd 2 et l'éconmie de l'api
TRANSCRIPT
MATINÉE PSD 2
QUELS ENJEUX ET QUELS IMPACTS ?
L’économie de l’API, Open Banking & PSD 2
Jean DIEDERICH, Partner, WAVESTONE – 25.04.2017 - Paris
confidentiel | © WAVESTONE 2
Chronologie de la DSP vers la DSP 2SOYEZ PRÊTS POUR LA DSP 2
Adoption de la DSP
Echéance de la transposition : la DSP doit être transposée en loi nationale par tous les Etats Membres.
Le parlement européen adopte la DSP 2
2007 2009 2013 03/2014 07/2014 10/2015
Le Comité Economique et Monétaire du Parlement Européen s’accorde sur une version de la DSP 2
La Commission Européenne publie sa proposition pour une révision de la DSP
La Présidence du Conseil Européen propose une nouvelle version (“Presidency Compromises”)
12/2015
Publication de la directive 2015/2366 sur les services liés au paiement dans les marchés intérieurs (DSP 2)
01/2018
Entrée en vigueur de la DSP 2
Echéance de la transposition : la Directive doit être transposée en loi nationale par tous les Etats Membres (RTS fin 2018 / début 2019)
13/01/2018
confidentiel | © WAVESTONE 3
Définitions de la DSP et nouvelles définitions introduites par la DSP 2
Payment Service Provider (“PSP”)
› Un organisme fournissant des services permettant de placer ou de retirer de l’argent depuis un comptede paiement mais aussi d’effectuer les opérations requises pour utiliser un compte de paiement
› Une personne physique ou morale faisant usage d’un service de paiement en tant que payeur oubénéficiaire
Payment Service User (“PSU”)
Account Servicing Payment Service Provider (“AS PSP”)
› Institution de paiement traditionnel avec laquelle un PSU détient un ou plusieurs comptes et depuis ouvers laquelle le PSU effectue des paiements. Chaque AS PSP doit s’enregistrer en tant qu’Institution dePaiement (PI) pour se conformer à la DSP 2
Account Information Service Provider (“AISP”)
› Une des deux nouvelles catégories de prestataire de paiement tiers introduit par la DSP 2. Un AISP agitcomme un agrégateur de données relatives aux comptes d’un PSU tenus chez un ouplusieurs PSPs.
› Un TPP est un prestataire de services de paiement tiers qui n’est pas l’AS PSP. Il fournit les services liésau déclenchement du paiement ainsi que les services d’informations concernant les comptes
Third Party Provider (“TPP”)
› Un service de paiement permettant d’accéder à un compte de paiement fourni par un prestataire deservice de paiement tiers, où le payeur peut être activement impliqué dans l’initiation dupaiement. Il peut aussi utiliser un logiciel détenu par le prestataire de services de paiement tiers, oudes instruments de paiement peuvent être utilisés par le payeur ou le bénéficiaire afin de transmettreles identifiants du payeur vers le prestataire de service en charge du traitement des comptes
Payment Initiation Service Provider (“PISP”)
SOYEZ PRÊTS POUR LA DSP 2
confidentiel | © WAVESTONE 4
Extension du périmètre
DSP 2 s’applique dès que l’un des deux PSP est établi dans l’UE
“One leg transactions”
La DSP 2 s’applique aux transactions de paiement effectuées au sein de l’UE, indépendamment de la devise
Transactions en monnaie non-UE
Les TPPs, qui sont maintenant couverts par la DSP 2, sont les “nouveaux”
acteurs sur le marché des services de paiement
TPPs
L’achat de biens physiques et de services via un opérateur
télécom entre dans le périmètre de la DSP 2
Paiements via les opérateurs de télécom
› La DSP s’appliquait à tous les types de services de paiement en lien avec n’importe quelle transaction effectuée avecla devise de l’UE et en son sein, dans la mesure où le PSP du payeur et le PSP du bénéficiaire (ou bien le seul PSPimpliqué dans la transaction financière) étaient localisés en UE (“Both legs in the EU”).
Avec la DSP 2, le périmètre des
applications est aussi étendu
SOYEZ PRÊTS POUR LA DSP 2
confidentiel | © WAVESTONE 5
Discussions autour de “L’accès aux systèmes de paiement”
› Forte demande pour l’ouverture du secteur financier
− Les APIs des FinTech sont en train de générer de plus en plus de business et de transactions du fait de laforte popularité des smartphones et des business associés : Airbnb, Uber, Trip advisor, Apple Pay;
− Les clients sont demandeurs de services d’API qui soient ouverts concernant leurs institutions financièresétant donné l’usage des applications qui se démocratise fortement;
− Comme le paiement n’est plus une partie importante du processus, il doit devenir plus rapide et facile (Ex :Plug and pay codes)
− Une telle solution crée de nouvelles opportunités basées sur la connaissance par la banque de chaquepoint de vente (optimisation du niveau d’affluence, gestion des entrées pour un évènement…)
› L’aversion des banques pour ce genre de solutions
− Les banques traditionnelles sont peu positionnées sur ces solutions d’Open Banking : peur d’êtrebanalisées ou désintermédiées
− Le manque d’évolution de la part des acteurs actuels a poussé certains compétiteurs à lancer des API(comme PayPal en 2011) et à prendre des parts de marchés
− Quelques acteurs mineurs du marché bancaire prennent avantage de la situation : Privat Bank (en Ukraine)offre 100 APIs issues des FinTech depuis sa page principale, Fidor, BBVA…
SOYEZ PRÊTS POUR LA DSP 2
confidentiel | © WAVESTONE 6
DSP2 autorise des tiers à accéder aux données et aux paiements via des APIs
Les nouveaux prestataires de services de paiement (PSPs) permettront aux entreprisesd’adopter une approche modulaire afin de créer et développer de nouvelles activitésrapidement et à moindre coût.
Banque du client A (PSP)
AccountInformation
Service Provider (AISP)
PaymentInitiationService Provider (PISP)
Banque du client B (PSP)
APIAPI
Vérifie la balance globale de ses
comptes
Commande un produit venant du
client A via un prestataire de
paiement
Initie le paiement
Obtient des informations
sur les comptes
Transfert de fonds (via le réseau bancaire)
Client A Client B
SOYEZ PRÊTS POUR LA DSP 2
confidentiel | © WAVESTONE 7
SOYEZ PRÊTS POUR LA DSP 2
Définir les APIs (Application Programing Interfaces)
API Provider › Une organisation, département ou équipe créant des APIs pour un usage interne ou externe
› L’utilisateur final faisant usage de l’API. Il peut être utilisé par une entité interne différente au sein del’organisation du fournisseur ou bien par une organisation tierce
API Consumer
Public APIs› API disponible pour le public en visualisation et en abonnement, soit à travers un paiement ou bien
gratuitement
Partner APIs › API disponible pour les partenaires stratégiques de confiance
› API destinée à un usage interne uniquement au sein de l’organisation du fournisseur d’APIsInternal APIs
Une API est un ensemble de commandes, fonctions, protocoles et d’objets que les programmeurs peuvent utiliser pour créer un logiciel ou interagir avec une
organisation tierce
Les portails d’API font le lien entre les consommateurs et les fournisseurs d’APIs
confidentiel | © WAVESTONE 8
SOYEZ PRÊTS POUR LA DSP 2
L’évolution des APIs vers des plateformes publiques
1960 – 1980
L’interopérabilité basique des ordinateurs permet les premiers échanges d’information.Interconnexion simple entre des protocoles réseaux.Établissement de sessions pour échanger de l’information.
Techniques:ARPANET, sessions TCP…
1980 – 1990
Création d’interfaces contenant des fonctions et de la logique.L’information est partagée de diverses manières. Les courtiers d’objets, appels de procédure et appels programme permettent des interactions distantes à travers le réseau.
Techniques:Interfaces point-à-point, captures de données d’écran, RFCs, EDI …
1990 – 2000
De nouvelles plateformes améliorent les échanges à travers un middleware logiciel. Les interfaces commencent à être définies en tant que services. Les outils logiciels gèrent la complexité et la fiabilité des messages.
Techniques:Message-oriented middleware (MOM), enterprise service bus (ESB) & service-orientedarchitecture (SOA).
2000 – aujourd’hui
Les entreprises du digital construisent des APIs pour permettre et accélérer le développement de nouveaux services et de nouvelles offres. Les couches de l’API gèrent l’intégration de l’OSS/BSS
Techniques:Integration as a service, services RESTful, API management and cloud orchestration
Public APIs
confidentiel | © WAVESTONE 9
Intégration d’un portail d’APIs publics
Synchrone Middleware
API Console & Smartdocs
Authentification
Communauté
Dev Dashboard
Dev Onboarding
Docs Manager
Dev Manager
Key Manager
Forum Blog
Api Dashboard
Portaild’APIs
publiquesDéveloppeursinternes
Équipes desTPPs
Plateforme APIs
Plateforme bancaire (Legacy)
Plateforme SWIFT
SOYEZ PRÊTS POUR LA DSP 2
Asynchrone Files
confidentiel | © WAVESTONE 10
6 caractéristiques d’un Portail d’APIs de qualité
SOYEZ PRÊTS POUR LA DSP 2
APIs
Décrire son cycle de vie
Communiquer les plannings, processus de migration, derniers
résultats des tests, la politique de dépréciation
Application des règlements
Articuler les critères d’éligibilité à travers les termes et conditions
Listé dans les catalogues d’API
Fournir une description précise des fonctionnalités de l’API
Information sur les prix
Etre transparent sur les coûts et décrire chaque package ou option de souscription
Matériels de formation
Fournir des tutoriels sous plusieurs formats (vidéos, guides écrits) et une sandbox pour la formation
Utiliser des KPIs
Utiliser la surveillance en temps reel pour fournir une information transparente
1
2
3 6
5
4
confidentiel | © WAVESTONE 11
P.ex. Fidor Bank (BPCE Groupe) – Virement SEPA
SOYEZ PRÊTS POUR LA DSP 2
confidentiel | © WAVESTONE 12
P.ex. Fidor Bank (BPCE Groupe) - Transactions
SOYEZ PRÊTS POUR LA DSP 2
confidentiel | © WAVESTONE 13
Une plateforme partagée DSP 2, « accès contrôlés aux services de paiement » (CAPS)
⁄ Un service et un réseau contrôlés pour assurer de la cohérence et une structure pour les nouveaux services
⁄ Une authentification robuste et une approche par les identifiants, intégrées avec des habilitations adaptées et une QoSdifférente pour chaque acteur
⁄ La solution doit être à la fois flexible et avoir un niveau de sécurité approprié. Le paiement et les informations sur uncompte doivent être différenciés par exemple.
⁄ Un processus de gestion lié à la responsabilité des litiges doit être standardisé. Comme les risques et les responsabilitésne sont pas supportés de la même manière par les banques et les tiers, CAPS doit viser un coût faible, définir ets’accorder sur un processus de résolution des litiges, ce qui peut entraîner un changement des règles pour refléter denouveaux scenarios de litiges au bénéfice de tous les participants
⁄ Est capable de supporter des tiers en cas de demandes déraisonnées pour des remboursements par les banques
⁄ Inclus une méthode pour les banques et un tiers pour échanger des fonds en cas d’entente financière
⁄ Coopérer avec les autorités locales compétentes dans la suspension des accès aux participants pour lesquels lesréglementations ont été enfreintes
d
Mobilité des tiers entre les services :
AS-PSPs / BANKs APIs (CAPS) TPPs
Risque Risque
Responsabilités Responsabilités
Protection de l’utilisateur
final
Confort de l’utilisateur
finalInformations Informations
CAPS est le framework requis pour que la réglementation DSP 2 soit viable. Développer une solution commune
pour interfacer les banques et un prestataire de solutions de paiement tiers génère des enjeux complexes sur
plusieurs niveaux. Une politique forte est donc requise.
XS2A
SOURCE:: Y EQUENS SE, NETS AND VOCALINK
Surveillance continue Structurer l’information en temps réel
Cas litigieux/ répétition/
authentification
Surveillance continue
SOYEZ PRÊTS POUR LA DSP 2
confidentiel | © WAVESTONE 14
EBA: Brouillon final des RTS (Regulatory Technical Standards)
SOYEZ PRÊTS POUR LA DSP 2
confidentiel | © WAVESTONE 15
Comment construire une API lucrative
SOYEZ PRÊTS POUR LA DSP 2
API
Monétiser votre API
Définir votre modèle de monétisation en ligne avec votre
approche stratégique
Embarquer les spécialistes de la communication
S’engager avec les partenaires
Collecter et analyser les retours utilisateurs
Focus sur l’approche stratégique
Gérer les partenaires et le traffic
Intégrer les fonctions de l’API dans vos produits et services
Au coeur de la transformation digitale
Communiquer sur la valeur ajoutée que l’API peut apporter à l’entreprise
Analyser votre infrastructure IT actuelle
Impliquer vos ingénieurs et l’équipe IT
Maintenir la documentation
Une documentation transparente est fondamentale
1
2
3 6
5
4
confidentiel | © WAVESTONE 16
Open Banking pour les banques, APIs dans le Cloud/PSF-S
SOYEZ PRÊTS POUR LA DSP 2
FERME
OUVERT
Banque1
Client
Distribution
Produits (Services, Fonctionnalités et Données)
API API API
Producteur2
Client
Produits (Services, Fonctionnalités et Données)
API API API
Distribution
Distributeur3
Client
Distribution
API API API
Produits (Services,
Fonctionnalités et Données)
Plateforme4
Client
API API API
Distribution
Qui est en
train de
distribuer les
produits ?
Qui est en
train de créer
le produit ?
Tierces-
parties
Moi
même
Moi même Tierces-parties
Banque
Tierces-parties
Produits (Services,
Fonctionnalités et Données)
confidentiel | © WAVESTONE 17
L’architecture de l’Open Banking (UK)
SOYEZ PRÊTS POUR LA DSP 2 Web, Mobile, Desktop Apps
Firewall/WAF
Gestion optionnelle de l’API : Rate limiting, protection contre les menaces, surveillance
OBP API: Scala dans un serveur Java (Websphere/Jetty/Tomcat)
API (Data & Oauth)
Ressources bancaires centrales modérées + Metadata
Développeur tiers & accès à l’application, Documentation, Métrique
Visualisation des données et Autorisation
Ressources bancaires centrales brutes: Clients,
Comptes, Transactions
Metadatabrutes : Tags,
Commentaires, GeoTags,
URLs
Données, Vues,
Permissions, Utilisateurs
invités
Développeurs & Apps,
Oauth, Logs
Connecteurs
File de message
JDBC, REST, SOAP
API management
Presentation
Moderated models
Data filtering
Data models
Resource access
Data and Services
Ressources de la banque : Comptes,
Transactions, Paiements, Filiales…
Données OBP (RDBMS, NoSQL)
Authentification bancaire
Bank Login
OAuth
Connecteur d’authentification
Gestion de l’API
Présentation
Modèles modérés
Filtrage des données
Modèles de données
Accès aux ressources
Données et Services
Série de tests OBP
API Explorer
confidentiel | © WAVESTONE 18
Open Banking APIs layer, FinTechs & Banking as a Service in the Cloud
SOYEZ PRÊTS POUR LA DSP 2
confidentiel | © WAVESTONE 19
Les banques se trouvent face à un tournant et doivent prendre des choix stratégiques!
Activités des banques
Périm
ètr
edes
serv
ices
Placeholder This text can be
replaced with your own text
Conformité Compétition
Expansion Transformation
Limite les banques à un rôle de prestataire de services d’accès aux comptes (AS-PSP)
+ Banque comme prestataire tiers (TPP)
Limité pour donner l’accès au paiement et
aux services liés à
l’information(AS-PSP)
+ Paiements et Services
d’information innovants
(NEW)
SOYEZ PRÊTS POUR LA DSP 2