Le principe retenu est aussi simple qu'ancien : il s'agit d'exploiter le capteur NFC, présent dans la quasi-totalité des téléphones modernes, pour établir un lien direct et protégé avec la carte, elle-même équipée d'une puce sans contact compatible. À partir de là, l'entreprise imagine toutes sortes de cas d'usage, tels que l'activation de la carte depuis l'application de la banque (comme le fait Monzo depuis des années) ou, à l'inverse, la validation de l'accès initial aux services en ligne avec un élément externe.
Plus généralement, G+D aimerait convaincre les institutions financières de recourir à « Convego tap » pour répondre à leurs besoins d'authentification forte, dont ceux issus de la réglementation. Afin de confirmer l'exécution d'un virement sur mobile, par exemple, il suffirait au client d'approcher la carte de son appareil. Ce geste constituerait la deuxième moitié d'un système à deux facteurs, la première étant prise en charge par la saisie d'un code PIN, la lecture de l'empreinte digitale ou la reconnaissance faciale.
En apparence, le bénéfice est évident par rapport à la majorité des approches envisagées à ce jour, dont, en particulier, celles qui imposent une saisie complémentaire : dans la mesure où la personne a sa carte à portée de la main, l'expérience utilisateur reste extrêmement fluide, tout en garantissant un niveau de sécurité élevé. Quand on sait le caractère critique qu'elle revêt pour la satisfaction client et, plus spécifiquement, pour l'acceptation de ce qui est perçu d'abord comme une contrainte additionnelle…
Malheureusement, « Convego tap » comporte actuellement tellement de limitations qu'il est difficile de lui prédire un avenir brillant à court terme. L'une des plus visibles est son fonctionnement exclusivement sur les téléphones sous Android, en raison du bridage de l'interface NFC des iPhones vis-à-vis des développeurs de logiciels tiers (qui est justement sous le coup d'une enquête de la Commission Européenne depuis peu). Une partie du marché est ainsi automatiquement exclue de la cible.
Ensuite, et le problème est un peu plus sournois, le module, presque trivial à mettre en œuvre au sein d'une application propriétaire, ne se prête pas facilement à une déclinaison là où il aurait le plus d'impact et de valeur, à savoir le commerce en ligne – qui est pourtant également concerné par la réglementation sur l'authentification forte. Enfin, il restera à vérifier si l'expérience qui leur est proposée est véritablement jugée correcte par les utilisateurs (qui devront comprendre et admettre les enjeux qu'elle adresse).
Bien sûr, tous ces obstacles seront certainement levés à plus ou moins longue échéance. Mais surgira alors la question de la survie de la carte bancaire dans un environnement résolument centré sur le téléphone mobile : est-il raisonnable de compter encore sur le bout de plastique aujourd'hui universel en vue de sécuriser des opérations sur un appareil qui est simultanément voué à prendre sa place comme moyen de paiement ?