dsp2-authentification-forte

DSP2 et authentification forte : que prévoit la directive européenne ?

#Sécurité 02.07.2019 7min

DSP2 a un impact significatif sur l’écosystème du paiement. Elle impacte les banques, les nouveaux acteurs FinTech du paiement, mais également les consommateurs. Dans cet article, nous nous focaliserons sur la manière et les moyens requis par la directive pour que les consommateurs s’authentifient dans le contexte des transactions de paiement. Avant DSP2, l’authentification forte restait seulement recommandée. Avec DSP2, elle devient obligatoire.

La directive sur les services de paiement (DSP2) a pour objectif de favoriser l’innovation, la concurrence et l’efficience. Elle instaure notamment des normes de sécurité plus strictes pour les paiements en ligne afin de renforcer la confiance des consommateurs dans les achats en ligne. La DSP2 est applicable depuis le 13 janvier 2018, sauf en ce qui concerne les mesures de sécurité décrites dans les normes techniques et applicables à compter de septembre 2019.

Les mesures de sécurité énoncées dans les normes techniques de réglementation découlent de deux objectifs clés de la DSP2 :

  • Assurer la protection des consommateurs
  • Renforcer la concurrence et garantir des conditions de concurrence équitables dans un marché en mutation rapide.

Des exigences de sécurité plus strictes

La protection des consommateurs est assurée par une amélioration de la sécurité des paiements électroniques. C’est la raison pour laquelle les normes techniques de réglementation instaurent des exigences de sécurité que les prestataires de services de paiement doivent respecter lorsqu’ils traitent des opérations de paiement ou fournissent des services connexes. Les prestataires de services de paiement incluent les banques et les autres établissements de paiement. Ces normes définissent les exigences à remplir pour permettre une « authentification forte » des clients.

Avant DSP2, l’authentification forte restait seulement recommandée. Avec DSP2, elle devient obligatoire.

Qu’est-ce que l’authentification forte ?

Les normes techniques prévues dans la DSP2 font de l’authentification forte la condition de base pour que le client puisse accéder à son compte de paiement ou effectuer des paiements en ligne. Cela implique que, pour prouver son identité, l’utilisateur devra répondre au moins à deux des trois conditions suivantes :

  • Un mot de passe ou un code que seul l’utilisateur connaît
  • Un appareil (téléphone mobile, carte à puce, etc) que seul l’utilisateur possède
  • Une caractéristique personnelle du client (empreinte digitale, reconnaissance vocale, ou faciale).

Très concrètement, comment cela se matérialise-t-il dans notre quotidien ? La Banque Centrale Européenne estime à 69,2 milliards le nombre de paiement par carte par an en Europe. Un achat en ligne peut être réalisé au moyen d’un numéro de carte bancaire et de sa confirmation par un code reçu par sms via le dispositif 3D Secure. Ce système constitue un moyen de sécurisation courant utilisé dans le e-commerce. Selon le rapport annuel de l’Observatoire de la sécurité des moyens de paiement pour l’année 2017, 73% des commerçants en avril 2018 en étaient équipés.

Parmi les différents moyens disponibles pour une authentification forte, 3D Secure est sans contexte la double sécurité la plus courante dans l’e-commerce. En avril 2017, ce mécanisme était utilisé par 71% des e-commerçants et concernait 35% des paiements, selon l’Observatoire de la sécurité des moyens de paiement.

Vers une amélioration de la sécurité des paiements en ligne

La directive rend donc l’authentification forte obligatoire. En rendant l’authentification forte obligatoire, le but de la directive est que l’identité des utilisateurs soit vérifiée pour toutes les transactions à distance et de proximité, et ce quel que soit le canal utilisé.

Les banques et autres prestataires de services de paiement doivent désormais mettre en place les infrastructures nécessaires cette l’authentification forte. Le recours à l’authentification forte est rendue obligatoire 18 mois après l’entrée en vigueur des normes techniques de réglementation, c’est-à-dire après leur publication au Journal Officiel de l’Union européenne. L’échéance est le 14 septembre 2019.

La directive européenne prévoit cependant quelques exceptions à la mise en place de l’authentification forte. Des exceptions qui font suites aux craintes soulevées par certains e-commerçants. Bien que cette technique soit efficace contre la fraude, les professionnels du secteur regrettent tout de même qu’elle rallonge le tunnel d’achat et fasse baisser le taux de conversion.

Authentification forte : des exceptions prévues par la directive

Voici les exceptions prévues par la DSP2 :

  • Les opérations à faible montant et à risque faible.

Il s’agit notamment des montant inférieurs à 30 euros. Quant au niveau de risque il est évalué en fonction du taux moyen de fraude chez l’émetteur de la carte et chez l’acquéreur qui traite la transaction.

  • Les abonnements et opérations récurrentes

Les frais d’abonnements et les transactions récurrentes ne seront pas soumis à l’authentification forte, dans la mesure où leur montant ne varie pas. Cela sera valable dès la deuxième opération. En effet, l’opération initiale nécessite une procédure SCA (Strong Customer Authentication). Si le montant est modifié, l’authentification via 3D Secure sera demandée à chaque changement.

  • Les listes blanches

Chaque usager a la possibilité de se créer une liste de bénéficiaires de confiance, la liste blanche. Cette liste est conservée par leur banque. Ces bénéficiaires de confiance sont des commerçants qui ne sont pas concernés par l’authentification via 3D Secure. Le but avec cette exception est d’éviter aux consommateurs qui achètent régulièrement auprès d’une même enseigne d’entrer des SCA supplémentaires.

  • Les transactions MOTO

Les commandes de type MOTO (Mail Orders and telephone Orders) seront systématiquement exemptées d’authentification via 3D Secure. En effet, ce type transaction n’est pas considéré comme un paiement électronique.

  • Les transactions inter-régionales

Lorsque l’émetteur d’un paiement ou l’acquéreur de la carte ne sont pas basés en Europe, la transaction est exemptée de l’authentification forte prévue par la DSP2.

  • Les paiements par carte d’affaires

Les paiements effectués avec une carte professionnelle ne sont pas concernés par l’authentification forte.

Comment l’authentification forte du client s’inscrit-elle dans le cadre de la directive DSP2 ?

Article 74 paragraphe 2

« Lorsque le prestataire de services de paiement du payeur n’exige pas une authentification forte du client, le payeur ne supporte aucune perte financière éventuelle à moins qu’il ait agi frauduleusement. Lorsque le bénéficiaire ou son prestataire de services de paiement n’accepte pas une authentification forte du client, il rembourse le préjudice financier causé au prestataire de services de paiement du payeur ».

Article 97 paragraphe 1

« Les Etats membres veillent à ce qu’un prestataire de services de paiement applique l’authentification forte du client lorsque le payeur :

  • Accède à son compte de paiement en ligne
  • Imite une opération de paiement électronique
  • Exécute une action, grâce à un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse »

Article 97 paragraphe 2

« En ce qui concerne l’initiation des opérations de paiement électronique visée au paragraphe 1, point b), les Etats membres veillent à ce que, pour les opérations de paiement électronique, les prestataires de services de paiement appliquent l’authentification forte du client comprenant des éléments qui établissent un lien dynamique entre l’opération, le montant et le bénéficiaire données ».

Article 97 paragraphe 3

«Eu égard au paragraphe 1, les Etats membres veillent à ce que les prestataires de services de paiement aient mis en place des mesures de sécurité adéquates afin de protéger la confidentialité et l’intégrité des données de sécurité personnalisées des utilisateurs de services de paiement ».

Article 97 paragraphe 4

« Les paragraphes 2 et 3 s’appliquent également lorsque les paiements sont initiés par l’intermédiaire d’un prestataire de services d’initiation de paiement. Les paragraphes 1 et 3 s’appliquent également lorsque l’information est demandée par l’intermédiaire d’un prestataire de services d’information sur les comptes ».

Article 97 paragraphe 5

« Les Etats membres veillent à ce que les prestataires de services de paiement gestionnaire du compte autorise le prestataire de services d’initiation de paiement et le prestataire de services d’information sur les comptes et se fonder sur les procédures d’authentification prévues par le prestataire de services de paiement gestionnaire du compte à l’intention de l’utilisateur de services de paiement conformément aux paragraphes 1 et 3 et, lorsque le prestataire de services d’initiation de paiement intervient, conformément aux paragraphes 1, 2 et 3 ».

Article 98 paragraphe 1

« L’ABE en étroite coopération avec la BCE et après avoir consulté toutes les parties concernées, y compris sur le marché des services de paiement, représentant tous les intérêts en présence, élabore des projets de normes techniques de réglementation à l’intention des prestataires de services de paiement visés à l’article 1er, paragraphe 1, de la présente directive, conformément à l’article 10 du règlement (UE) n°1093/2010, précisant :

  • Les exigences relatives à l’authentification forte du client visée à l’article 97, paragraphe 1 et 2
  • Les dérogations à l’application de l’article 97, paragraphe 1, 2 et 3, sur la base des critères établis au paragraphe 3 du présent article
  • Les exigences auxquelles doivent satisfaire les mesures de sécurité, conformément à l’article 97, paragraphe 3, afin de protéger la confidentialité et l’intégrité des données de sécurité personnalisées de l’utilisateur de services de paiement
  • Les exigences applicables aux normes ouvertes communes et sécurisées de communication aux fins de l’identification, de l’authentification, de la notification et de l’information, ainsi que pour la mise en œuvre des mesures de sécurité, entre les prestataires de services de paiement gestionnaires du compte, les prestataires de services d’initiation de paiement, les prestataires de services d’information sur les comptes, les payeurs, les bénéficiaires et d’autres prestataires de services de paiement ».

Article 98 paragraphe 2

Les projets de normes techniques de réglementation visés au paragraphe 1 sont élaborés par l’ABE en vue de garantir :

  • Un niveau de sécurité approprié pour les utilisateurs de services de paiement et les prestataires de services de paiement par l’adoption d’exigences efficaces et fondées sur les risques.
  • La sécurité des fonds et des données à caractère personnel des utilisateurs de services de paiement.
  • Et maintenir une concurrence équitable entre l’ensemble des prestataires de services de paiement.
  • La neutralité du modèle commercial et des technologies.
  • Le développement de moyens de paiement innovants, accessibles et faciles à utiliser.

A lire également : l’authentification forte, le fondement de l’identité numérique

A télécharger : ebook – Identité numérique : le nouveau périmètre de la sécurité informatique