Glossaire Open Banking & DSP2

Protocole d'authentification forte des paiements par carte sur internet. La version actuelle, 3DS2, permet la biométrie, des paiements frictionless et l'application des exemptions SCA.

Système d'identité numérique national de l'Inde géré par l'UIDAI, attribuant un numéro unique à 12 chiffres à plus de 1,3 milliard d'Indiens. Modèle d'identité massive devenu socle de l'inclusion bancaire (India Stack) et inspiration pour eIDAS 2 / EUDI Wallet.

Le régulateur français des banques, assurances et fintechs. C'est l'ACPR qui délivre les agréments PSP, AISP et PISP — et qui peut les retirer.

Dans le modèle 4-coins des paiements carte, l'émetteur est la banque du porteur, l'acquéreur celle du commerçant. Deux rôles symétriques, deux métiers très différents en pratique.

Modèle qui permet à un acteur non agréé de distribuer les services d'un PSP (EP ou EME) sous sa propre marque, en s'appuyant sur l'agrément du « principal ». Standard du Banking-as-a-Service.

Service de base d'un AISP : récupérer en un seul endroit les données de comptes du PSU détenus dans plusieurs banques. Brique commune sous PFM, BFM, scoring, embedded finance.

Prestataire agréé qui lit vos comptes bancaires — soldes et transactions — avec votre accord. Il consulte, il n'initie jamais de paiement.

Famille des obligations qui imposent aux acteurs financiers de connaître leurs clients (KYC), surveiller leurs transactions et déclarer toute opération suspecte à TRACFIN. Encadré par les directives AML européennes et le futur règlement AMLR / AMLA.

Fraude dans laquelle la victime est manipulée pour autoriser elle-même un virement vers un compte contrôlé par le fraudeur. Cible #1 des virements instantanés et SCT Inst, plafond du PSR / réforme 2026.

C'est la banque. Elle détient vos comptes et a l'obligation, depuis la DSP2, d'exposer leurs données et fonctions de paiement aux TPP que vous autorisez.

Modèle où un EC ou EME expose ses agréments et son infrastructure (comptes, cartes, paiements) via API à des fintechs ou marques non bancaires. Treezor, Swan, Solaris, Modulr en Europe.

Banque centrale française. Au-delà de la politique monétaire, elle héberge l'ACPR, opère les systèmes de paiement nationaux et veille à la stabilité financière.

Consortium européen de banques et fournisseurs qui édite la norme NextGenPSD2 — le standard d'API DSP2 le plus répandu en Europe, hors France.

Code SWIFT international qui identifie une banque (8 ou 11 caractères). Plus obligatoire en SEPA depuis 2016, mais indispensable pour les virements internationaux hors zone euro.

Solution de paiement permettant à un consommateur d'acheter immédiatement et de régler plus tard, généralement en 3 à 12 fois sans frais ou différé. Marché dominé par Klarna, Alma, Younited Pay, FLOA, PayPal Pay in 4. Soumis à un encadrement renforcé par la directive Consumer Credit Directive 2 (CCD2).

Fintech française fournissant des API d'agrégation bancaire (AISP) et d'initiation de paiement (PISP). Marque B2B issue de Bankin' (Perspecteev SAS), scindée du grand public en 2022 avec une entrée au capital de Groupe BPCE et de Truffle Capital.

Méthode d'octroi de crédit fondée sur l'analyse des flux bancaires réels (AIS) plutôt que sur les seuls bulletins de salaire et bureaux. Permet de scorer les profils mal couverts (freelances, primo-emprunteurs, PME).

Étape qui transforme un libellé brut (« CB CARREFOUR 23/04 ») en une catégorie utile (« Alimentation › Supermarché »). Brique invisible mais critique pour PFM, BFM, scoring, comptabilité automatique.

Le scheme de paiement carte historique français, opéré par le GIE CB. La majorité des cartes en France sont co-badgées CB + Visa ou CB + Mastercard, avec routage prioritaire sur CB en local.

Émetteur d'une carte adossée à un compte tenu par une autre banque. Avant chaque paiement, il pose à cette banque une seule question : « les fonds sont-ils disponibles ? »

Régime australien d'Open Data couvrant banque, énergie et bientôt télécoms. Plus large que la DSP2 dès le départ, il introduit la notion d'« Action Initiation » qui dépasse l'initiation de paiement classique.

Procédure encadrée par les schemes carte permettant à un porteur, via sa banque émettrice, de contester une transaction et d'obtenir le remboursement automatique. Risque économique majeur pour les commerçants en e-commerce.

Statut français pour conseiller un client sur des instruments financiers (actions, OPC, contrats financiers). Inscription ORIAS, adhésion à une association professionnelle agréée AMF.

L'exécutif de l'Union Européenne. C'est elle qui propose les directives et règlements (DSP2, DSP3, FIDA, MiCA…) qui structurent toute la fintech européenne.

Règlement européen entré en application en janvier 2025 qui impose à tous les acteurs financiers — banques, fintechs, assurances, CASP — un cadre strict de résilience IT.

Directive européenne entrée en vigueur en 2018 qui a créé l'Open Banking en Europe : obligation pour les banques d'ouvrir leurs API et naissance des AISP, PISP, CBPII.

Successeur de la DSP2, proposé en juin 2023. Renforce la lutte anti-fraude, durcit la qualité d'API attendue et clarifie les responsabilités. Application visée : 2026–2027.

L'autorité bancaire européenne. Elle écrit les règles techniques (RTS) et les guidelines que toutes les banques et fintechs de l'EEE doivent appliquer.

La « banque » classique au sens réglementaire : seul statut autorisé à recevoir des dépôts du public et à octroyer du crédit. Agrément ACPR + BCE pour les plus gros.

Règlement (UE) 2024/1183 modernisant le cadre eIDAS de 2014, créant le portefeuille européen d'identité numérique (EUDI Wallet) obligatoirement reconnu par les États membres et les grands acteurs privés à partir de 2026-2027.

Tiers de confiance qualifié qui délivre les certificats QWAC et QSealC dont chaque TPP a besoin pour s'identifier auprès des banques européennes.

Intégration native de services financiers (compte, paiement, crédit, assurance) dans un produit non financier. Uber paie ses chauffeurs avec un wallet intégré, Shopify propose du crédit à ses marchands.

Statut spécifique pour émettre et gérer de la monnaie électronique : wallets, cartes prépayées, comptes Banking-as-a-Service. Treezor, Swan, Sumeria sont des EME français.

EMV est le standard mondial des cartes à puce (1996, Europay-Mastercard-Visa) qui a éliminé la fraude par copie de piste magnétique. NFC est la couche radio sans contact (contactless) qui s'appuie sur EMV.

Couche au-dessus de la catégorisation : ajoute logo marchand, fiche entreprise, MCC, géolocalisation, identifiant marchand normalisé, identification de l'abonnement, etc.

Statut créé par la DSP1 pour des acteurs spécialisés sur les services de paiement (virements, prélèvements, acquisition, AIS, PIS) sans dépôt ni crédit. Cas typique : Lydia, Qonto, Fintecture, Bridge.

Application mobile fournie par chaque État membre, contenant l'identité officielle du citoyen, ses attributs vérifiés (permis, diplôme, etc.) et une clé de signature qualifiée. Brique opérationnelle d'eIDAS 2.

Profil de sécurité OAuth 2.0 / OpenID Connect spécialement conçu pour les API financières. Standardisé par l'OpenID Foundation, FAPI 1.0 (final 2021) et FAPI 2.0 (final 2024) renforcent l'auth, le binding token et la protection contre les attaques. Utilisé par OBIE UK, CDR Australie, Open Finance Brazil.

Standard d'API Open Banking américain, porté par l'industrie (banques + fintechs) plutôt que par un régulateur. C'est l'équivalent US du Berlin Group, pré-positionné pour la future Section 1033 du CFPB.

Système de paiement instantané américain lancé par la Réserve fédérale en juillet 2023. Disponible 24/7, il vient concurrencer le rail privé RTP de TCH dans un paysage US fragmenté et lent à adopter l'instant.

Règlement européen proposé en juin 2023 qui étend l'Open Banking à toute la donnée financière : épargne, crédit, assurance, investissement. C'est l'Open Finance officiel.

Fintech française pure player de l'initiation de paiement (PISP) DSP2, créée en 2018. Spécialisée dans les paiements B2B et e-commerce hauts paniers via SCT Inst, en concurrence directe avec les cartes pour les paiements > 1000 €.

Les 3 modes d'authentification forte prévus par la DSP2. Chaque banque privilégie l'un ou l'autre, et le choix conditionne directement la conversion et l'expérience utilisateur.

Système français de fédération d'identité opéré par la DINUM permettant aux usagers d'accéder à plus de 1 500 services publics et privés via un compte tiers unique (Impôts, Ameli, La Poste, MSA, etc.). Brique pré-EUDI pour la France.

Standard IETF (RFC 9421, finalisé 2024) définissant un mécanisme de signature au niveau des requêtes et réponses HTTP. Permet une intégrité/authenticité applicative complémentaire à TLS, requise par DSP2 RTS-CSC pour les TPP en EU (signée avec un QSealC).

L'identifiant unique et international d'un compte bancaire. En France, 27 caractères qui contiennent à la fois la banque, le guichet, le numéro de compte et une clé de contrôle.

Mécanisme par lequel un client envoie un identifiant unique avec une requête API mutante (POST), garantissant qu'en cas de retry réseau, l'opération ne sera exécutée qu'une seule fois côté serveur. Best practice critique pour les paiements API.

Statut français qui encadre le courtage de crédit et de services bancaires. Inscription à l'ORIAS, 4 catégories selon que l'on est mandataire d'une banque, d'un client, courtier ou MIOBSP.

Standard ISO publié en 2004 et adopté progressivement comme langage commun des messages financiers (paiements, titres, FX, trade finance). Remplace SWIFT MT et ISO 8583. Migration majeure 2022-2025 pour SEPA, SWIFT, CHAPS, Fedwire.

Standard ISO publié en 1987 définissant le format des messages échangés entre acteurs cartes (TPE, PSP acquéreur, scheme, émetteur). Reste le standard dominant pour l'autorisation, l'acquisition et le règlement carte. Visa, Mastercard, CB, Amex l'utilisent tous.

Famille de standards IETF (RFC 7515-7519) définissant un format compact pour transporter des claims signés et/ou chiffrés. Brique fondamentale de l'authentification moderne (OAuth, OIDC, FAPI), de la signature applicative et du transport sécurisé de données structurées.

Obligation réglementaire de vérifier l'identité de tout client (KYC) ou entreprise (KYB) avant d'ouvrir un compte. Pilier de la lutte anti-blanchiment imposé à toutes les fintechs.

Mécanisme des schemes carte par lequel la responsabilité d'une fraude bascule du commerçant vers la banque émettrice quand 3DS2 a été utilisé. Incitation économique majeure à pousser le 3DS2.

Décomposition des frais payés par un commerçant pour accepter une carte : interchange (à l'émetteur) + scheme fees (au scheme) + acquirer fee (au PSP) = MDR. Plafonné en EEE par l'IFR.

Règlement européen entré en vigueur en 2024–2025 qui encadre les crypto-actifs : agrément CASP, encadrement des stablecoins, protection des investisseurs.

TLS bidirectionnel : le client présente un certificat au serveur, comme le serveur en présente un au client. C'est le mécanisme qui permet à une banque de reconnaître un TPP à chaque appel.

Le régulateur financier national de chaque pays de l'EEE. En France c'est l'ACPR, en Allemagne la BaFin, au Royaume-Uni la FCA. Toutes appliquent les mêmes règles européennes.

Standard d'autorisation déléguée utilisé partout sur le web. En DSP2, c'est lui qui matérialise le consentement du PSU et qui régit les jetons d'accès des TPP.

Le régime d'Open Banking britannique, lancé en 2018 sous mandat de la CMA. Pionnier mondial, plus structuré que la DSP2, il a inspiré la plupart des autres régimes Open Banking dans le monde.

Le régime d'Open Finance brésilien, le plus ambitieux au monde par son périmètre. Couvre dès aujourd'hui comptes, crédit, investissements, change, retraite, assurance — bien au-delà de DSP2 ou Open Banking UK.

Le titulaire du compte qui sera débité dans une transaction. Le terme prend tout son sens quand le payeur n'est pas l'utilisateur direct du service de paiement.

Mécanisme qui permet à un PSP agréé dans un État membre EEE d'opérer dans les 29 autres sans nouvel agrément, soit en libre prestation (LPS), soit via une succursale (LE).

Wallet de paiement historique (1998), pionnier de l'e-commerce mondial. Joue à la fois le rôle de wallet consommateur (« Pay with PayPal »), d'acquéreur tiers pour les marchands, et d'EME en Europe. Plus de 400 M de comptes actifs.

Personne occupant ou ayant occupé une fonction publique importante (chef d'État, ministre, parlementaire, magistrat, dirigeant d'entreprise publique…), ou son entourage proche. Soumise à vigilance LCB-FT renforcée.

Catégories d'apps qui s'appuient sur l'agrégation et l'enrichissement pour offrir budget, suivi, prévision, conseils. PFM côté particulier (Bankin', Linxo), BFM côté pro (Pennylane, Qonto, Indy).

Prestataire agréé qui déclenche un virement depuis votre compte bancaire — directement, sans carte ni intermédiaire de paiement classique.

Système de paiement instantané gratuit lancé par la Banque centrale du Brésil en 2020. En 4 ans, il a dépassé les cartes en volume et est devenu un cas d'école mondial du succès d'un rail public.

Trois leaders américains de l'Open Banking : Plaid (créé 2013, leader incontesté connecté à 12 000+ banques), MX (Utah 2010, plus enterprise), Akoya (créé 2018 par Fidelity + 11 banques, modèle data exchange via tokens API plutôt que screen scraping). Marché US fragmenté, plus tech qu'en EU mais moins régulé.

Famille des solutions d'acceptation physique. TPE classique (Ingenico, Verifone), mPOS (lecteur Bluetooth + smartphone, type SumUp), SoftPOS (Tap to Pay sur téléphone du commerçant, sans matériel dédié).

Le bénéficiaire d'un paiement : la personne ou l'entreprise dont le compte sera crédité. Toujours identifié par son IBAN dans les API DSP2.

Statuts crypto : PSAN est l'enregistrement / agrément français (loi PACTE 2019), CASP est l'agrément européen unique introduit par MiCA. PSAN s'éteint progressivement au profit de CASP fin 2026.

Acteur qui contractualise avec les commerçants pour leur permettre d'accepter les paiements (cartes, virements, wallets). Stripe, Adyen, Worldline, Mollie, Checkout.com sont les leaders en Europe.

Règlement européen jumelé à la DSP3. Contrairement à une directive, il s'applique directement dans tous les États membres — sans transposition, sans interprétation locale.

Le PSU, c'est vous : l'utilisateur final d'un service de paiement, particulier ou pro, qui détient le compte et donne (ou refuse) le consentement.

Signature électronique au plus haut niveau eIDAS, fournissant la même valeur juridique qu'une signature manuscrite dans toute l'UE. Repose sur un certificat qualifié émis par un TSP qualifié et un dispositif de création sécurisé (QSCD).

Certificat eIDAS qui signe chaque requête HTTP d'un TPP au niveau applicatif. C'est la preuve juridique opposable qui survit aux proxys, logs et intermédiaires.

Certificat eIDAS qui prouve l'identité d'un TPP au niveau du transport (mTLS). C'est le passeport que toute fintech doit présenter à chaque appel d'API bancaire.

Scheme EPC standardisant les demandes de paiement entre PSP. Permet à un bénéficiaire (marchand, créancier) de pousser une demande de paiement vers le payeur, qui décide d'accepter et d'exécuter (typiquement un SCT Inst). Brique sous-jacente de Wero merchant et des paiements e-commerce SEPA Instant.

Standards techniques contraignants rédigés par l'EBA et adoptés par la Commission. Ils précisent comment appliquer concrètement une directive européenne.

Authentification forte imposée par la DSP2 : pour valider un paiement ou un accès sensible, vous devez prouver deux choses parmi « ce que vous savez, ce que vous avez, ce que vous êtes ».

Évaluation de la solvabilité d'un emprunteur basée sur des données alternatives au scoring bureau traditionnel : flux bancaires AIS, paiements, comportement digital, données télécom.

Vérification systématique et continue qu'un client, une contrepartie ou une transaction n'apparaît pas sur les listes de sanctions internationales (OFAC, UE, ONU, NCA nationales). Pilier opérationnel de la LCB-FT.

Le virement SEPA classique. Délai max 1 jour ouvré, gratuit ou quasi entre comptes EUR, c'est l'instrument utilisé pour les salaires, factures et paiements fournisseurs.

Le virement SEPA instantané : moins de 10 secondes, 24/7, jusqu'à 100 000 €. Obligatoire dans toute la zone euro depuis 2025. C'est la nouvelle norme du paiement européen.

Le prélèvement SEPA. C'est le bénéficiaire qui débite votre compte sur la base d'un mandat que vous avez signé. Idéal pour les abonnements et factures récurrentes.

Espace unique des paiements en euros. Une quarantaine de pays, des règles communes pour virer, prélever et payer en EUR comme s'il s'agissait d'un seul marché domestique.

Crypto-actif dont la valeur est stabilisée par adossement à une monnaie traditionnelle (USD, EUR) ou à un panier d'actifs. Marché dominé par USDT (Tether), USDC (Circle), EURC. Cadre régulé en EU par MiCA depuis juin 2024.

Société française qui opère le système de compensation CORE(FR) et publie l'API PSD2 de référence en France — celle qu'implémentent BNP, Société Générale, BPCE, Crédit Agricole…

Quatre leaders mondiaux des PSP acquéreurs (acquirers / payment processors) : Stripe (US, leader cloud-native), Adyen (NL, leader enterprise unified commerce), Mollie (NL, leader SMB EU), Worldline (FR, historique européen volumes). Ensemble, ils traitent une part significative des paiements digitaux mondiaux.

Fintech suédoise créée à Stockholm en 2012, leader européen de l'Open Banking, rachetée par Visa en 2022 pour 1,8 Md €. Couvre AIS, PIS, KYC, scoring crédit, transaction enrichment dans 18 marchés européens auprès de plus de 3 400 banques.

Plateforme de règlement de paiements instantanés en monnaie de banque centrale opérée par la BCE depuis 2018. Règle les SCT Inst entre PSP en quelques secondes, 24/7/365. Pilier de l'infrastructure Instant Payments en Europe.

Remplacement du PAN (16 chiffres de la carte) par un token spécifique au marchand, au wallet ou au device. Limite l'exposition du numéro réel et augmente l'authorization rate.

Terme parapluie pour tout prestataire tiers agréé qui se branche sur les API des banques. Trois rôles possibles : lire (AISP), payer (PISP), vérifier les fonds (CBPII).

Cellule française de renseignement financier (FIU) rattachée à Bercy. Reçoit les déclarations de soupçon des assujettis LCB-FT, les analyse, les transmet aux autorités judiciaires ou administratives compétentes.

Surveillance temps réel ou batch des flux d'un client pour détecter les opérations atypiques (LCB-FT) ou frauduleuses. Brique opérationnelle clé entre KYC et déclaration de soupçon TRACFIN.

Trois acteurs majeurs du Banking-as-a-Service (BaaS) en Europe : Treezor (FR, racheté Société Générale 2019), Swan (FR, EME indépendant 2019), Solaris (DE, ex-Solarisbank). Permettent à des fintechs et entreprises non-bancaires d'embarquer des services bancaires (compte, carte, virement, IBAN) sans être eux-mêmes banque.

Fintech britannique fondée à Londres en 2016, leader UK de l'initiation de paiement (PIS) et de l'agrégation (AIS). Pionnier du Pay by Bank en e-commerce et précurseur du Variable Recurring Payments (VRP). Active en UK + Irlande + EU continentale.

Système de paiement instantané indien lancé en 2016 par la NPCI. C'est le plus gros système de paiement au monde par volume — plus de 16 milliards de transactions par mois fin 2024.

Les deux schemes carte mondiaux dominants, cotés au NYSE. Ils définissent les règles, l'interchange, opèrent les rails d'autorisation et de compensation, mais n'émettent ni n'acquièrent eux-mêmes.

Service de vérification de cohérence entre le nom du bénéficiaire saisi et le titulaire réel d'un IBAN, obligatoire pour tous les virements SEPA depuis octobre 2025. Mesure phare anti-fraude APP du règlement IPR.

Standard W3C / FIDO2 d'authentification forte par cryptographie asymétrique, permettant de se connecter via biométrie ou clé physique sans mot de passe. Les passkeys sont l'évolution synchronisée multi-appareils, devenue standard sur iOS, Android, Windows.

Deux modèles d'intégration pour notifier un client d'un changement d'état côté serveur. Le webhook (push) est déclenché par le serveur, le polling (pull) consiste à interroger périodiquement. Choix structurant en intégration API fintech.

Wallet de paiement européen lancé en 2024 par EPI (European Payments Initiative), consortium de 16 banques européennes (BNP, SG, BPCE, Crédit Mutuel, ING, Deutsche Bank, etc.). Ambition : alternative souveraine à Visa, Mastercard, PayPal et Apple Pay basée sur SEPA Instant.

Wallets de paiement intégrés aux OS mobiles, qui tokenisent les cartes bancaires (DPAN) et utilisent la biométrie pour la SCA. Représentent une part croissante des paiements physiques et e-commerce.

Fintech britannique fondée à Londres en 2017, positionnée comme le plus pur acteur API-first headless de l'Open Banking européen. Couvre AIS et PIS dans 19 pays EEE+UK. Privilégie une intégration sans interface, à destination des entreprises tech qui veulent embarquer Open Banking dans leur produit.