Le 13 janvier 2018 entrait en vigueur dans l’Union européenne la deuxième directive relative aux services de paiement (DSP2) avec l’ambition de pallier les lacunes de l’EBICS. Au cœur de cette directive, une mesure phare : l’authentification forte (SCA).
Mais, de quoi s’agit-il exactement ? Qui est concerné par l’authentification forte ? Comment fonctionne-t-elle ? Quel est son impact sur les entreprises ? Est-elle vraiment efficace pour lutter contre les fraudes ? Vous trouverez ci-dessous nos éléments de réponse.
Qu’est-ce que l’authentification forte (SCA) ?
Impulsée par une directive européenne puis transposée en droit français le 13 janvier 2018, avant de devenir obligatoire à compter de mai 2021, la SCA pour « Strong Customer Authentification » (ou « authentification forte du client » en français) fait partie d’un ensemble de mesures encadrées par la deuxième directive relative aux services de paiement (DSP2) ; au même titre que l’ouverture des données bancaires via les API.
Instrument de lutte contre la fraude en ligne et pour la protection des consommateurs, l’authentification forte intervient au moment de l’achat afin de vérifier l’identité de l’acheteur.
Et pour cause, avec le développement progressif des achats sur internet et des espaces bancaires en ligne, les fraudes et les cyberattaques sont de plus en plus nombreuses et de plus en plus sophistiquées (hameçonnage, logiciels malveillants…).
La SCA vient donc renforcer l’authentification des clients en prévoyant que ces derniers s’identifient à deux reprises (au lieu d’une seule) lorsqu’ils procèdent à certaines opérations en ligne sensibles, telles que l’achat sur des sites e-commerce.
La SCA vient ainsi mettre un terme à l’authentification à facteur unique (l’AFU), dorénavant remplacée par une authentification multi-facteurs (AMF).
Qui est concerné par l’authentification forte ?
L’authentification forte est obligatoire au sein de l’espace économique européen (EEE).
Autrement dit, les entreprises, banques, prestataires de paiement et réseaux de carte (VISA, Mastercard) qui font partie de l’un des 30 pays de l’EEE, doivent la mettre en place. Les professionnels du e-commerce sont donc également concernés.
La DSP2 impose le recours à l’authentification forte dans plusieurs cas :
– L’accès au compte de paiement en ligne ;
– Les opérations de paiement électronique (par virement ou paiement par carte) pour des montants supérieurs à 30€ (paiement en ligne ) ou 50€ (en cas de paiement sans contact) ;
– Les actions réalisées par un mode de communication à distance et qui présentent un risque élevé de fraudes (par exemple, l’ajout d’un nouveau bénéficiaire de virement sur un compte bancaire en ligne).
En revanche, il existe des exemptions d’authentification forte lorsque l’opération :
– concerne un bénéficiaire de confiance (pré-autorisé) ;
– est récurrente (par exemple, un abonnement ou le paiement d’un loyer) ;
– est de faible valeur unitaire et à distance (moins de 30€) ou sans contact (50€) ;
– implique un risque limité.
Comment fonctionne l’authentification forte ?
Concrètement, au moment du paiement en ligne ou au moment d’accéder à ses comptes, l’utilisateur devra certifier qu’il est bien le titulaire de la carte ou du compte de paiement. Pour se faire, il devra fournir deux preuves de son identité via un système sécurisé.
Deux éléments d’authentification devront donc être validés parmi ces trois catégories existantes (article L.133-4 du code monétaire et financier) :
– Un élément de connaissance (c’est-à-dire une information que seul l’utilisateur connaît) : un mot de passe, un code PIN… ;
– Un élément de possession (c’est-à-dire quelque chose que l’utilisateur possède) : un téléphone, un boitier fourni par la banque… ;
– Un élément d’inhérence (c’est-à-dire une caractéristique biométrique) : empreinte digitale, reconnaissance vocale, faciale…
Les avantages et inconvénients de l’authentification forte
L’avantage principal de l’authentification forte est qu’elle vient sécuriser les paiements en ligne et l’accès aux banques en ligne. Fini le système 3DSecure 1 via lequel les utilisateurs recevaient un seul SMS au moment du paiement !
En pratique, accroître la sécurité des paiements permet de renforcer la confiance des consommateurs et de se connecter à leurs données bancaires personnelles lors d’un achat en ligne.
Un gage de confiance bienvenu compte tenu de la recrudescence des fraudes en ligne avec un « taux de fraude est 20 fois plus élevé en e-commerce (0,16 % des montants) que dans les commerces de proximité » comme le constatait Jean-Michel Chanavas, délégué général de Mercatel, association professionnelle spécialiste des questions liées au paiement. La DSP2 et son authentification forte arrivent donc à point nommé pour rassurer les clients et protéger les e-commerçants.
En dépit de ses multiples avantages, l’authentification forte présente malgré tout quelques limites. Parce que deux vérifications sont désormais nécessaires, les acheteurs sont en effet davantage susceptibles de renoncer à leur achat, et les entreprises doivent donc s’assurer de mettre en place les mesures nécessaires pour réduire le taux d’abandon de panier.
Authentification forte : quels impacts pour les entreprises ?
Indispensable et bienvenu, ce renforcement de la sécurité imposé par la DSP2 reste cependant susceptible de heurter l’expérience utilisateur lorsqu’il n’est pas géré avec la bonne solution. Parcours de paiement moins fluide, plus long, plus complexe… De là, à voir les utilisateurs abandonner leur panier et faire chuter les taux de conversion, il n’y a alors qu’un pas !
Les entreprises doivent par conséquent s’adapter aux changements majeurs impulsés par la DSP2 au risque de voir leur chiffre d’affaires amputé au profit de la concurrence.
Or, adapter ses propres processus de paiement peut demander un investissement financier, technique et temporel important. Pour surmonter les difficultés liées à l’authentification forte, il est donc judicieux pour les e-commerçants de se faire accompagner par un prestataire de paiement afin de s’assurer d’être en conformité avec la loi et gagner en sérénité.
L’authentification forte avec Bridge
Incontournable, l’authentification forte doit-être mise en place de manière optimale pour ne pas impacter le parcours d’achat des clients. Leader français de l’open banking, Bridge accompagne les entreprises et se charge du processus SCA pour vous.
Nos solutions d’authentification multi-facteurs vous permettent ainsi de renforcer la sécurité de vos paiements tout en préservant l’expérience utilisateur. Bridge Pay et Bridge Pay By Link répondent en effet aux exigences de l’authentification forte tout en proposant une expérience de paiement fluide, irrévocable, instantanée et sûre.
Impossible aujourd’hui de faire l’impasse sur une stratégie SCA efficace et performante. Faute de disposer des ressources adéquates, s’attaquer soi-même à la mise en œuvre de l’authentification forte peut s’avérer complexe, chronophage et fastidieux… C’est pourquoi Bridge s’en charge pour vous !
