La DSP2 est une réglementation européenne ayant principalement pour objet de favoriser l’innovation dans les payements en sécurisant les transactions entre les acteurs innovants comme les agrégateurs de données et leurs clients.

En effet, avant la DSP2, les clients donnaient à ces acteurs (ou TPP, « Third Party Provider ») les identifiants et codes d’accès internet à leurs comptes bancaires, et donc à tous leurs comptes et opérations . Avec la mise en œuvre de la DSP2, les TPP devront utiliser un canal d’échange dédié avec une sécurité permettant de les identifier et de vérifier le consentement de leurs clients.

Pour permettre un accès dédié aux TPP, ne fournissant que les données des comptes de paiement, les banques peuvent mettre en œuvre des API (Application Programming Interfaces), qui sont des « portes d’entrée » spécifiques sur leur système d’information.

Par cette porte, les banques identifient et vérifient les TPP qui appellent et contrôlent qu’ils sont bien agréés par la banque Centrale de leur pays.

Outre un accès dédié, l’accès par un TPP doit permettre dé vérifier le consentement du client au moyen d’une authentification forte, qui doit mettre en œuvre au moins 2 des éléments de sécurité :

• Ce que l’on sait, par exemple un code
• Ce que l’on possède, par exemple son smartphone, préalablement enregistré
• Qui l’on est, par exemple une empreinte digitale ou une identification faciale.

Cette solution est simple en apparence, car la Banque peut garder son site web. Elle doit cependant le compléter d’un système qui vérifie que le TPP qui se connecte est bien agréé par la Banque centrale. Il s’agit donc d’une identification et d’un contrôle dans un registre publié par les banques centrales européennes.