Votre agent IA repère ce vol Bangalore-Londres qui plonge sous les 600 £ à 3 heures du mat’. Il fonce sur le bouton d’achat — armé de votre jeton de carte.
La cata.
Sièges en première rajoutés. Bagages en plus. Peut-être un hôtel dont vous n’avez jamais causé. Tout ça parce que l’authentification carte, c’est un marteau-pilon : débitez ce que vous voulez, dans des limites floues, jusqu’à ce que les alarmes antifraude se déclenchent.
Reculons. Visa pousse à fond son Trusted Agent Protocol pour colmater les brèches. GoCardless sort un serveur MCP en langage naturel. Hype de partout. Mais la vérité qui gratte : l’open banking — ces rails que des devs comme moi (spécialiste infra paiements au Royaume-Uni) ont descendus pendant des lustres — pourrait être la seule archi qui ne pète pas une durite avec les agents.
le rail de paiement que tout le monde traitait de « trop complexe pour les gens normaux » pourrait être le seul qui marche vraiment pour les agents IA.
C’est le déclic initial. Pile poil. Mais creusons.
Cartes : permissions larges, cauchemars agents
Vous filez votre carte à Stripe ? Paf — le jeton donne carte blanche. 3DS ? OK. Règles antifraude ? Pratique. Mais périmètre ? Zéro. L’agent réserve un vol, rien n’empêche les extras. Prompt malveillant ? Votre portefeuille y passe.
Visa a capté. Son protocole vérifie les agents, cadre les actions. Malin, ce pansement. Mais c’est du rouge à lèvres sur un porc — des rails taillés pour les humains qui cliquent « acheter maintenant », pas pour des bots qui ourdissent en async.
L’open banking ? Une autre paire de manches.
Le marchand forge un consentement : 49,99 £ à Atoa pour « Abonnement café - avril ». La banque l’affiche. Vous validez. Code à usage unique émis. Un coup et c’est plié. Pas de réutilisation. Pas de dérive.
Les humains détestent. Se relogger dans l’app bancaire à chaque fois ? Bof. L’adoption a rampé.
Les agents ? Ils vont s’en gaver.
Vous exigez de la précision de votre larbin numérique. Montant exact. But précis. Révocation sans annuler la carte. Traçabilité. Échecs bruyants dès le moindre dérapage.
L’open banking livre ça. Natif. Les cartes ? Greffez, croisez les doigts.
Le coup de pouce de la FCA ? De l’or. Fini la réauth à 90 jours, adieu les abandons. Consentements persistants pour agents — jackpot.
Mais attendez. Le hic.
Pourquoi l’open banking coince-t-il avec les agents asynchrones ?
Humain qui paie : synchrone pur. Redirection, validation, retour. Simple.
Agent : « Réserve si sous 600 £. » Il guette des jours. Prix qui chute. Consentement ? Expiré depuis des plombes. Échec. Prix qui repart à 640 £. Vous pesterez.
Les consentements liés à une session font pschitt pour les agents qui rodent en arrière-plan.
Le vrai casse-tête : consentir pour une action différée ?
Des pistes émergent. Les VRP brillent — variable recurring payments. Mandat qui plafonne montant, durée, marchands. L’agent tire sans réauth.
Comme ça :
interface AgentPaymentMandate {
agentId: string;
maxAmountPence: number;
validUntil: Date;
allowedMerchants: string[];
purpose: string;
requiresConfirmation: boolean;
}
L’utilisateur pose les limites une fois. L’agent agit. Safe, à peu près.
Autres idées ? Consentements proxy via app. Ou API bancaires agents. Bordélique.
Mon avis bien senti — que personne n’ose : ça rappelle les guerres d’API des années 90. SOAP, nickel, rigide. REST ? Sale, pas humain-friendly. Mais REST a pondu l’économie des apps. L’open banking, c’est ce REST crado pour l’argent. Les agents vont affluer, les humains s’adapter ou crever.
Le pansement Visa : ça sent le coup de com’
Le protocole Visa ? Chic. Mais greffer de l’intelligence agent sur les rails cartes, ça pue le désespoir. Les cartes cartonnent sur abos et achats impulsifs — pas sur ops agents granulaires.
Souvenons-nous des débuts PayPal ? Ils avaient raj
