Une grande variété de solutions disponibles

Les solutions basées sur le paiement instantané sont très différentes d’un PSP à un autre, que ce soit au niveau de la typologie de clientèle, i.e. entreprise, commerçant, particulier ou même bancaire, ou au niveau du type de solution proposée.

Prenons le cas d’ACI Worlwide, par exemple. Ce PSP a pris le parti d’accompagner les banques et les institutions financières dans le développement de leur offre sur le paiement instantané. Il propose ainsi « une solution unique pouvant se connecter à plusieurs systèmes de paiement instantané dans le monde entier, tels que EBA RT1, ECB TIPS, STET, Equens (NL), Faster Payments (UK), Giro HCT Inst (HU), TCH (US), Zelle (US), UPI India, Singapore FAST, Australia NPP, Malaysia RPP ». Mais son offre ne se limite pas à une simple connectivité à ces systèmes ; elle propose une série de fonctionnalités additionnelles, comme un module de gestion de la liquidité pour assurer le contrôle et le reporting de la position de liquidité de la banque avec le système, un module de business intelligence pour effectuer des requêtes en temps réel sur les paiements et produire des reportings détaillés, ou encore un module de gestion des exceptions (annulations, retours, saisies manuelles, etc.). On notera également qu’ACI propose « une solution d’acceptation à la fois pour le commerce de proximité et le commerce électronique destinée aux commerçants et aux autres PSP ».

D’autres acteurs comme Ingenico, Market Pay, Bridge créé par Bankin’, Oxlin (anciennement Linxo) ou encore Fintecture disposent d’une licence de prestataire de services d’initiation de paiement (PISP) et souhaitent offrir à terme aux commerçants la combinaison d’un SCT Inst et d’une initiation de paiement. Ingenico rappelle que « le paiement en ligne sera ciblé dans un premier temps, car c’est le scénario le plus facile à implémenter pour le moment compte tenu des contraintes de SCA (authentification forte) ». Le paiement de proximité arrivera rapidement ensuite, mais avec sans doute des limitations liées au fait que toutes les banques ne supportent pas encore le SCT Inst, que certaines le font payer à leurs clients, et que l’authentification forte n’est pas toujours possible dans un contexte de proximité.

L’instantanéité des paiements représente également un défi pour les entreprises. À cet égard, Market Pay propose à ses clients « deux modalités de financement adaptées à la stratégie de chaque commerçant. Par souci de trésorerie ou de pilotage, certains souhaitent être financés au fil de l’eau, quand d’autres privilégient un versement des fonds en une fois, accompagné du rapport de réconciliation comptable. Dans tous les cas, Market Pay envoie une notification instantanée au commerçant dès que le paiement est effectué par un client. Cela lui permet ainsi de lancer la préparation de la commande sans délais ».

Enfin, certains acteurs ont souhaité s’inscrire dans une démarche différente et fédèrent par exemple l’ensemble des méthodes de paiement de compte à compte : prélèvement, virement et virement instantané. SAFEDEBIT, la solution développée par Score & Secure Payment, appartient à cette dernière catégorie. Elle est d’ores et déjà utilisable en ligne et en proximité, et SSP précise les parcours clients envisagés : « En proximité, le marchand/entreprise a la possibilité d’associer notre système de paiement par transfert bancaire à un support physique d’identification, comme une carte enseigne. La carte de paiement dite privative est une carte co-brandée qui permet au client de régler ses achats dans le réseau de l’enseigne qui la lui a délivrée. Cette carte donne la possibilité de lancer un paiement couplé à de l’Instant Payment. En ligne, l’internaute choisit SAFEDEBIT au moment du règlement. Il se verra présenter une liste de banques parmi lesquelles il sélectionnera la sienne. Il sera ensuite directement redirigé vers son espace banque en ligne, s’identifiera puis validera la transaction à l’aide du dispositif d’authentification retenu par sa banque. » De son côté, Serrala travaille sur la demande de paiement (Request-to-Pay) à la suite de l’acquisition récente de AcceptEasy, une fintech néerlandaise spécialisée dans le domaine. Envoyé à partir d’un ERP (progiciel de gestion intégré), ou encore d’outils CRM (applications de base de données adaptées pour la gestion de la relation client), le Request-to-Pay doit permettre d’indiquer à l’expéditeur en temps réel si et quand le paiement a été effectué. L’expéditeur pourra alors immédiatement expédier ses marchandises, activer une police d’assurance voyage de dernière minute ou encore empêcher une sommation injustifiée. « La confirmation en temps réel est essentielle », précise Serrala.

 

Les APIs sont essentielles au développement de l’initiation de paiement

Face à ces développements, un frein demeure. « Les APIs bancaires sont le gros point de difficulté actuellement. Peu d’entre elles sont réellement utilisables pour l’initiation de paiement, bien qu’on constate des améliorations ces derniers temps. Les standards n’en ont que le nom, tellement les banques ont interprété de façons différentes les règles de la directive sur les services de paiement (DSP2) et les spécifications afférentes », fait valoir Ingenico. Oxlin abonde également dans ce sens et précise que « l’absence de gouvernance autour de la mise en place des différents formats d’API (interprétations disparates, processus et règles d’enrôlement distinctes, contours fonctionnels divergents…) fait qu’il est difficile de les voir comme un moyen de normaliser la connexion ». Pour rappel, la DSP2 oblige les banques à fournir des APIs afin de permettre aux prestataires de services de paiement de se connecter à leurs systèmes. Sauf que le législateur n’a pas spécifié de standard au niveau européen. Les PSP sont donc contraints par le développement de ces APIs et par l’avancée des discussions sur leur normalisation.

On observe aujourd’hui une fragmentation des standards, et il existe une multitude d’initiatives en Europe : l’Open Banking Standard, le NextGenPSD2 du Berlin Group, l’API DSP2 du STET, le PolishAPI standard, auxquelles il faut ajouter les spécificités techniques de chaque acteur bancaire et certaines APIs propriétaires.

Fintecture indique avoir dû « intégrer plus de 2 000 APIs de banques européennes ». Ce travail titanesque lui permet d’évaluer la qualité des APIs proposées, et bien qu’opérationnelles, elles restent perfectibles. Fintecture précise notamment que « STET a l’un des meilleurs standards en Europe ».

Ces incertitudes impactent fortement les PSP, et certains acteurs comme Verifone sont encore indécis sur le développement de leur solution. D’autres rappellent que faute de disponibilité de ces APIs, ils n’ont à ce jour toujours pas lancé de paiements. Certains encore, à l’instar de SSP, ont pris la décision de recourir à un acteur expert dans ce domaine, et ont noué un partenariat avec une entreprise qui leur met à disposition une plateforme d’open-banking.

 

Observer les marchés plus matures pour mieux maîtriser la fraude

En ce qui concerne la fraude liée à l’initiation de paiement, les PSP indiquent ne pas avoir observé de cas majeurs à la suite de la mise en place du SCT Inst, « mais les volumes restent encore modérés », comme le souligne Bridge, créé par Bankin’. Cependant, l’expérience d’autres marchés suggère qu’un service de paiement instantané peut être une cible facile pour la fraude, et des mesures appropriées, telles que la surveillance et la détection de la fraude en temps réel, doivent nécessairement être déployées.

ACI indique ainsi avoir « relevé plusieurs types d’attaques frauduleuses liées aux paiements instantanés dans le monde », et que « l’une des évolutions les plus récentes et en forte croissance est la fraude par un “Authorised Push Payment (APP)”, qui consiste pour les fraudeurs à tromper leurs victimes en leur faisant effectuer volontairement un virement bancaire instantané sur un compte du fraudeur ».

En tirant les leçons de marchés plus matures pour les paiements en temps réel, comme le Royaume-Uni, les données montrent que les fraudeurs réagissent rapidement aux mesures de lutte. Les données de UK Finance illustrent le changement de comportement. Les premières attaques combinaient des techniques de phishing, avec l’exploitation de procédures d’authentification relativement faibles pour accéder à des comptes bancaires en ligne. Les attaques de phishing ont atteint leur point culminant au Royaume-Uni en 2012, les banques britanniques ayant mis en œuvre des stratégies d’authentification plus solides et plus efficaces. À partir de 2012, les attaques frauduleuses ont rapidement évolué vers la fraude APP et des stratégies d’ingénierie sociale plus sophistiquées, exploitant les vulnérabilités de tous les canaux. Toutefois, 90 % des fraudes sont commises par le biais de canaux numériques, 93 % des virements frauduleux passant par le réseau britannique Faster Payments.

 

Une solution impliquant de lourds investissements

Pour les PSP, les investissements dans une solution de paiement instantané peuvent se structurer selon trois grandes catégories. D’abord, la mise en conformité avec la directive européenne DSP2. Préalablement au démarrage des activités, il est nécessaire d’obtenir un agrément auprès du superviseur bancaire (l’ACPR – l’Autorité de contrôle prudentiel et de résolution – en France) afin de pouvoir exécuter les services de paiement. Ensuite, la connexion aux systèmes interbancaires. La solution doit être connectée à une infrastructure de compensation en temps réel et/ou à une plateforme d’open-banking. Enfin, le développement des applicatifs monétiques en magasin et en ligne. Il faut prévoir l’intégration aux applicatifs monétiques du marchand/entreprise, en magasin (TPE, logiciel caisses…) et en ligne (CMS, PSP…). Bridge souligne que ces investissements peuvent « représenter plusieurs dizaines de millions d’euros ».

 

En conclusion, tous les PSPs s’accordent pour dire que pour obtenir l’adhésion du grand public, il est indispensable que le coût de l’initiation de paiement repose demain sur le commerçant, et non sur le particulier. Or, certaines banques facturent ce service à leurs clients particuliers entre 0,50 € et 1 €, ce qui constitue encore un frein supplémentaire au développement du virement instantané.

Pour en savoir plus, lisez vite notre nouvelle enquête !

La nouvelle revue des moyens de paiements de Redbridge donne la parole aux responsables monétique en entreprise, aux prestataires de services de paiements, aux éditeurs et aux banquiers. Leurs témoignages sont complétés par l’analyse de nos consultants en trésorerie pour saisir l’ensemble des enjeux et des tendances du monde de la monétique.

Paiements innovants, paiements instantanés, e-commerce, fraude, sécurité, schéma directeur des paiements… Sur tous ces sujets, notre nouvelle publication présente le positionnement des acteurs de l’industrie des paiements et fournit un guide sur qui peut faire quoi dans la réussite de votre projet monétique.