La semaine dernière, Erik Reissenweber a invité Maurice Jongmans au podcast « Compliance Advises ». Maurice a parlé d'Online Payment Platform, de la fraude, de la conformité et de la directive PSD2. Un aperçu intéressant des coulisses d'Online Payment Platform sur toutes les mesures supplémentaires destinées à rendre le commerce sur les plateformes et les places de marché plus sûr et sécurisé. 

Que faites-vous exactement ?
Online Payment Platform (OPP) est un prestataire de services de paiement pour les plateformes et les places de marché : celles-ci regroupent de nombreux vendeurs avec des acheteurs. Notre équipe est composée de 32 employés situés dans un bâtiment historique à Delft. C'est un environnement agréable pour travailler. En plus de Marktplaats (vous nous connaissez peut-être du service via séquestre Gelijk Oversteken), nous facilitons plus de 100 autres plateformes. 

Nous sommes un prestataire de services de paiement (PSP) agréé auprès de la DNB (De Nederlandsche Bank), et depuis l'année dernière, nous sommes le premier prestataire de services de paiement aux Pays-Bas avec les services de paiement 7 et 8. 

Quelle est votre structure de conformité ?
Un responsable de la conformité indépendant travaille chez OPP (2ème ligne), au conseil d'administration, j'ai la responsabilité ultime de la conformité. Les questions de conformité de première ligne sont du ressort de l'équipe de support.

OPP a 3 types de clients : la plateforme, ses utilisateurs (vendeurs) et les acheteurs. Cela nécessite 3 niveaux de vérification des clients, c'est ainsi que nous l'avons conçu. Au niveau de la plateforme : quels risques cette plateforme présente-t-elle ? Quelles limites appliquons-nous et quelles étapes sont nécessaires pour l'intégration des acheteurs et des vendeurs.

Les acheteurs sont intégrés et nous pouvons ensuite surveiller le comportement normal des utilisateurs en fonction des attentes de transaction. Notre base de données contient plus de 4 millions d'utilisateurs dont nous pouvons utiliser l'historique des transactions pour des analyses de risques et la détection de fraudes.

Nous croyons que des utilisateurs vérifiés et contrôlés représentent une valeur ajoutée pour la plateforme.

''Nous facilitons le paiement, sinon les plateformes nécessitent une licence pour les services de paiement. L'utilisateur individuel utilise notre service pour gérer un paiement légal via la plateforme."

Quels sont vos principaux risques d'intégrité ?
Nous offrons la manière la plus sûre de se payer entre nous, avec un niveau élevé de contrôle et de sécurité. Cependant, vous ne pouvez jamais exclure totalement les problèmes et les fraudes. Il y aura toujours des situations inévitables : un colis est perdu, un utilisateur ne répond pas, avec pour effet que les paiements peuvent être reportés ou non exécutés. Cela peut entraîner une expérience utilisateur négative, et ces risques sont essentiels pour nous et nous y prêtons la plus grande attention.

Les avis en ligne sont également un risque pour nous. Les personnes insatisfaites écrivent facilement des avis, alors qu'au contraire, les clients satisfaits ne sont pas incités à écrire un avis. C'est pourquoi, laisser un message de réponse est vital pour nous, ainsi que motiver les utilisateurs satisfaits à écrire un avis positif. Sur le long terme, trop d'avis négatifs peuvent nuire à l'image de l'entreprise.

Gelijk Oversteken (traversée égale) n'a pas de garantie ? Si cela tourne mal, cela tourne mal ?
Parfois, nous ne pouvons pas déterminer si c'est le vendeur ou l'acheteur qui a fait une erreur. Mais les deux parties reçoivent un signal derrière leur nom, ce qui pourrait inclure des inconvénients potentiels pour l'avenir. Ces utilisateurs ne pourraient pas utiliser le même numéro de téléphone, compte bancaire ou identité lors de la création d'un nouveau compte. Avec un deuxième signal derrière votre nom, il se peut que vous soyez exclu et bloqué de toutes les plateformes que nous facilitons. Nous avons réduit le nombre de cas de fraude sur Marktplaats, en partie grâce à nos systèmes. Nos systèmes peuvent détecter la fraude, bloquer les paiements et ainsi prévenir les fraudes.

Quel est l'objectif principal de la directive PSD2 ? 
La directive PSD2 régule de nombreuses choses différentes : en particulier la réalisation d'un environnement de paiement professionnel en Europe. La sécurité des comptes avec la Strong Customer Authentication (SCA) a augmenté. Cela signifie également que plusieurs parties sont incluses dans la législation. Si une plateforme effectue des paiements qui transitent par ses propres comptes, elle est obligée d'obtenir une licence. Ces plateformes doivent commencer leur recherche d'un PSP axé sur les plateformes et les places de marché (platform-psp). Étant donné que peu de ces PSP existent, ces plateformes viennent à nous. Nos clients l'ont très bien résolu, tous les paiements pour les plateformes passent par notre licence. C'est la principale raison pour laquelle ils deviennent nos clients. 

De plus, il y a accès au compte, ce qui signifie que les banques et d'autres parties qui offrent des comptes en ligne doivent accorder l'accès au compte bancaire des consommateurs à des tiers agréés. Ces tiers agréés pourraient alors mettre en œuvre les deux services suivants : initiation de paiement (effectuer un paiement) et information de compte (aperçus des informations de compte).

Quels sont les défis les plus importants concernant la PSD2 pour OPP ? 
Pour nous, il s'agit de la disponibilité et de la qualité des connexions bancaires (API), qui sont souvent inadéquates. Aux Pays-Bas, nous nous sommes connectés aux six banques les plus importantes, résultant en une portée large. En regardant le marché allemand, il y a plus de 2000 banques. Cela signifierait que vous devriez créer 2000 connexions pour connecter toutes les banques. Cela est mieux réglementé en Angleterre avec un seul système. En Europe, tout le monde pourrait réguler ses propres systèmes. Il n'existe pas de norme imposée pour les API, ce qui cause de grandes disparités.''

Ces normes verront-elles le jour ?
La norme du groupe de Berlin est la plus grande en Europe, plusieurs banques ont accepté cette norme, y compris certaines banques néerlandaises. Tout le monde serait ravi si cette norme devenait la norme principale. Que les banques y trouvent un avantage ou non et suivent la tendance reste incertain. Cela variera considérablement entre les différentes banques.

Vous avez déjà une licence pour l'information sur les comptes, recevez-vous actuellement ces données ?
Oui, nous avons la licence. Nous l'utilisons pour relier votre compte bancaire. Actuellement, le processus consiste à transférer 1 centime. Ce n'est pas la meilleure façon de procéder, si je puis dire. Vous détournez le paiement pour un autre objectif. Nous ne demanderions des détails personnels que si notre service l'exige. Pas pour consulter l'historique des informations de compte. Ce n'est pas là que se trouve notre objectif.

Les banques devraient en fait nous fournir la possibilité de demander des informations et un accès limités. Actuellement, toutes les informations sont fournies, alors que je n'ai besoin que du numéro IBAN. Je pense que cela serait une bonne interaction avec l'utilisateur. Il ou elle comprendrait alors quelles informations sont demandées. Je peux imaginer qu'une application destinée à vous aider à budgétiser aura besoin de plus de détails et d'informations. Personnellement, je n'ai besoin que d'informations pour lier un compte bancaire.

Quels autres développements provoqués par la PSD2 voyez-vous actuellement ?
L'émergence de nouveaux acteurs visant à résoudre le problème des 2000 banques allemandes en créant une connexion standard, une sorte d'agrégation technique. Il y a différentes parties, mais aucune avec une couverture allemande à 100 %. J'attends également que plus de services émergent à l'étranger. Des solutions du type iDEAL, mais cela prendra probablement un certain temps. L'une des choses qui apparaissent toujours avec la PSD2, ce sont les 'Big Tech'. Il y a Apple Pay, ils ne sont pas très présents dans le domaine de la PSD2 pour le moment, mais ils ont cependant fait un bond de géant aux Pays-Bas. Mais malgré cela, il n'y a pas beaucoup de mouvements dans le paysage des paiements eCommerce.

Point de vue spécifique de VBIN concernant le domaine de la PSD2
Les Institutions de Paiement Néerlandaises Unies (VBIN) se concentrent désormais sur la qualité et la disponibilité des API, le fait que les banques doivent s'y conformer et ce que nous pouvons attendre des spécifications de ces API.

Conseil de Maurice concernant la conformité
Dans tout ce que vous faites dans le domaine de la conformité, vous ne pouvez pas cesser de réfléchir à vos actions et à l'esprit et à la pensée sous-jacents de la réglementation. J'ai vu quelques exemples qui ont aidé à construire de bien meilleures solutions. Vous devez également penser à la valeur ajoutée du département de conformité de votre organisation. Pour nous, c'est une valeur ajoutée. Comme c'est le cas pour beaucoup d'autres, je crois.''