Le « screen scraping » est une pratique qui permet aux prestataires tiers de services d’initiation de paiement (PSIP) et aux prestataires de services d’information sur les comptes (AIPS) d’avoir accès aux comptes bancaires d’un client en son nom, en utilisant ses identifiants et mots de passe. Cette technique a été interdite dans le texte final de l’Autorité Bancaire Européenne relatif aux RTS de la directive. Toutefois, sous la forte pression des banques en désaccord avec cette disposition, la Commission Européenne presse désormais l’EBA pour permettre aux prestataires tiers d’utiliser le web-scraping en « solution de recours ».

La FIDO Alliance* a récemment écrit à la Commission Européenne, mettant en avant les problèmes liés au « screen scraping ». Elle a notamment argumenté que toute approche selon laquelle il est demandé aux consommateurs de partager leurs identifiants avec une autre entité va à l’encontre des principes fondateurs de la DSP2, les exposant dès lors à des risques plus importants en matière de sécurité. La façon la plus sécurisée et efficace pour le consommateur d’autoriser un prestataire tiers à avoir accès à ses comptes bancaires aujourd’hui est d’utiliser une interface de programmation d’application (API). Elle est en effet autorisée par une authentification forte du client, c’est-à-dire avec des identifiants chiffrés avec une clé publique, garantissant ainsi un niveau de protection très élevé, et non via le recours aux mots de passe, intrinsèquement vulnérables.

Brett McDowell, Executive Director de la FIDO Alliance*, a fait le commentaire suivant :
« Nous ne voyons pas comment l’approche du “screen scraping” exigée par la Commission Européenne pourrait être appliquée dans le respect des règles de sécurité imposées par la DSP2. Il existe de nombreux moyens bien plus sécurisés pour permettre aux consommateurs de déléguer l’accès à leurs comptes bancaires, impliquant des API protégées par une authentification forte. Basées sur des normes internationales éprouvées telles que OAuth 2.0 ou OpenID Connect (OIDC), ces solutions basées sur des API ont l’avantage supplémentaire de fournir non seulement une meilleure sécurité mais également une plus grande confidentialité. Elles permettent en effet aux consommateurs d’accorder l’accès à leurs comptes bancaires à un niveau granulaire, en choisissant de partager certaines informations et d’autres non. Lorsqu’elles sont associées aux normes FIDO pour une authentification forte, les API bénéficient des avantages de l’authentification multifactorielle basée sur un terminal, à la fois plus sûre et plus ergonomique pour les consommateurs, qui n’ont plus besoin de taper leurs identifiants. »

*La Fast IDentity Online Alliance (FIDO ALLIANCE) est un groupement de plus de 250 organisations dans le monde qui collaborent pour améliorer les conditions de l’authentification en ligne en développant des normes techniques ouvertes et en encourageant l’adoption des bonnes pratiques qui s’y rapportent.