ASPSP

Definição

O ASPSP (Account Servicing Payment Service Provider) é o banco: a instituição que mantém a conta do PSU.

Desde a PSD2, ele tem a obrigação de expor esses dados e certas funções de pagamento aos TPP autorizados que o cliente autoriza.

ASPSP — detém a conta e o dinheiro. É ele quem fornece o dado e executa os pagamentos.
TPP — conecta-se à conta via API para lê-la (AISP) ou disparar um pagamento (PISP). Ele não detém nada.

O ASPSP continua responsável pela conta; o TPP é apenas um intermediário de serviço por cima.

Expor uma API dedicada (ou um fallback) que permita aos TPP consultar as contas e iniciar pagamentos.
Garantir um acesso de qualidade igual à de seus próprios canais (mobile, web).
Autenticar o PSU pela SCA para autorizar um acesso de TPP.
Reconhecer os certificados eIDAS (QWAC / QSealC) dos TPP autorizados.
Não cobrar dos TPP por esse acesso regulado.

Recusar um TPP corretamente autorizado e tecnicamente conforme.
Discriminar impondo aos TPP restrições mais pesadas do que as de seus próprios serviços equivalentes.
Exigir um contrato comercial para o escopo AIS / PIS / CBPII da PSD2.
Bloquear um acesso sem motivo documentado (fraude comprovada, acesso não autorizado), sob pena de sanção da ACPR.

O ASPSP é a base: sem sua API, nenhum TPP pode operar. O PSU lhe dá mandato, o TPP se conecta a ele, o ASPSP executa.

Bancos tradicionais: BNP Paribas, Crédit Agricole, Société Générale, LCL e BPCE expõem todos as suas APIs PSD2 (muitas vezes via STET na França, Berlin Group em outros lugares).
Neobancos e bancos online: Boursorama, Revolut, N26 e Hello Bank também são ASPSP, com uma qualidade de API muitas vezes acima da média.
Bancos PJ / fintechs bancárias: Qonto, Shine e Memo Bank expõem suas APIs para que Pennylane ou Indy recuperem os lançamentos de seus clientes.
Qualidade de API: a ACPR e a Open Banking Implementation Entity (UK) publicam indicadores de disponibilidade — úteis para escolher um banco quando se constrói um produto fintech.