Depuis le 25 juillet 2023, le renouvellement de l’authentification forte d’un client est passé de 90 à 180 jours. En pratique, l’utilisateur conserve le droit de connexion simple à ses comptes, via l’application mobile de sa banque ou par l’intermédiaire d’un prestataire de services, pendant 180 jours. Puis il s’identifie à nouveau à l’aide de deux facteurs distincts.
Approfondissons un peu plus en détail ce principe d’authentification forte. De quoi s’agit-il exactement ? Qui est concerné par cette obligation ? Comment fonctionne-t-elle ? Quel est son impact sur les entreprises et l’utilisateur ? Est-elle vraiment efficace pour lutter contre les fraudes ? Vous trouverez ci-dessous nos éléments de réponse.
Qu’est-ce que l’authentification forte (SCA) ?
La seconde directive des services de paiement ou DSP2 a été transposée en droit français le 13 janvier 2018. Elle introduit plusieurs notions clés, dont l’Open Banking et la SCA ou Strong Customer Authentification (Authentification forte pour le client), qui s’applique depuis mai 2021.
La SCA se distingue alors de l’Electronic Banking Internet Communication Standard ou EBICS et apporte une solution efficace aux problèmes rencontrés avec ce système : temps de traitement trop long, historique de transactions inaccessible ou incompatibilité du système avec les banques en ligne et les néobanques.
L’authentification forte devient aussi un instrument de lutte contre la fraude et de protection des consommateurs, qui s’impose au client au moment d’un achat afin de vérifier son identité.
Et pour cause, avec le développement progressif des achats sur internet et des espaces bancaires en ligne, les fraudes et les cyberattaques présentent un risque réel et des méthodes de plus en plus sophistiquées (hameçonnage, logiciels malveillants…).
La SCA vient donc renforcer la sécurité des transactions et la protection des données confidentielles des clients en prévoyant la mise en place d’une authentification multifacteurs (AMF).
L’authentification forte intervient aussi lors de la première connexion au compte bancaire puis tous les 90 jours, selon la première version de la réglementation européenne. Or, depuis le 25 juillet 2023, l’Autorité bancaire européenne a augmenté cette périodicité à 180 jours afin de :
• garantir une concurrence équitable entre tous les prestataires de services de paiement ;
• développer plus aisément des services innovants ;
• réduire les frictions dans le parcours client.
Le 28 juin 2023, la Commission européenne a publié les propositions relatives à la DSP3 et au règlement des services de paiement (RSP). Ce dernier a vocation à s’appliquer de façon identique et non modifiable à tous les États membres. En intégrant la SCA à 180 jours dans le RSP, la Commission érige cette norme technique de réglementation au statut de loi.
Qui est concerné par l’authentification forte ?
L’authentification forte est obligatoire au sein de l’espace économique européen (EEE).
Les banques, mais également les émetteurs de carte et tous les prestataires de services de paiement doivent la mettre en place : spécialistes de l’agrégation de comptes ou de l’initiation de paiement. Enfin, au plus proche des consommateurs, l’e-commerçant est tenu de se conformer aux obligations en matière de paiement et de sécurité au risque de voir ses transactions rejetées.
Le recours à l’authentification forte s’impose donc dans plusieurs cas :
– Lors de l’accès au compte bancaire en ligne, à la première connexion puis, tous les 180 jours ;
– Pour les opérations de paiement électronique (par virement ou paiement par carte) d’un montant supérieur à 30 € (paiement en ligne) ou 50 € (en cas de paiement sans contact) ;
– Pour les actions réalisées par un mode de communication à distance et qui présentent un risque élevé de fraudes (comme l’ajout d’un nouveau bénéficiaire de virement sur un compte bancaire en ligne ou un changement d’adresse).
Le projet du RSP insiste sur l’utilité de la SCA à 180 jours dans ces mêmes conditions.
En revanche, il existe des exemptions d’authentification forte lorsque l’opération :
– concerne un bénéficiaire de confiance (préautorisé) ;
– est récurrente (par exemple, un abonnement ou le paiement d’un loyer) ;
– est de faible valeur unitaire et à distance (moins de 30 €) ou sans contact (50 €) ;
– implique un risque limité ;
– ou se limite à la consultation du solde du compte.
Comment fonctionne l’authentification forte ?
Concrètement, au moment du paiement en ligne ou quand il accède à ses comptes, l’utilisateur doit certifier qu’il est bien le titulaire de la carte ou du compte de paiement. Pour ce faire, il fournit deux preuves de son identité via un système sécurisé.
Deux éléments d’authentification doivent donc être validés parmi ces trois catégories existantes (article L.133-4 du code monétaire et financier) :
– un élément de connaissance (c’est-à-dire une information que seul l’utilisateur connaît) comme un mot de passe, un code PIN… ;
– un élément de possession (c’est-à-dire quelque chose que l’utilisateur possède) tel qu’un téléphone, un boîtier mis à disposition par la banque… ;
– un élément d’inhérence (c’est-à-dire une caractéristique biométrique) parmi l’empreinte digitale, la reconnaissance vocale ou faciale, etc.
Ainsi, pour se connecter à son application bancaire, il faut, par exemple, détenir un téléphone et utiliser le Face ID d’Apple. De même, pour valider une transaction, vous pouvez saisir un code personnel permanent et un code à usage unique reçu par SMS.
Avantages et inconvénients de l’authentification forte
Un instrument de lutte contre la fraude
L’avantage principal de l’authentification forte est qu’elle vient sécuriser les paiements en ligne et l’accès aux comptes à distance. Fini le système 3DSecure 1 via lequel les utilisateurs recevaient un seul SMS au moment de la transaction !
Entre 2021 et 2022, on constate une diminution du taux de fraude de l’ordre de 12 % sur les paiements en ligne. En revanche, ceux qui échappent au 3D Secure et à l’authentification forte voient les incidents progresser de 13 % sur la même période (Source : Observatoire de la sécurité des moyens de paiement).
Toutefois, la victoire est en demi-teinte puisque les techniques évoluent et les tentatives de phishing se développent. Elles consistent à usurper la qualité de conseiller bancaire afin de pousser le client à effectuer un virement.
Un principe parfois contraignant
En dépit de ses multiples avantages, l’authentification forte présente malgré tout quelques limites. Parce que deux vérifications sont désormais indispensables, les acheteurs sont en effet susceptibles de renoncer à leur achat plus facilement. Les e-commerçants doivent donc s’assurer de mettre en place les mesures nécessaires pour réduire le taux d’abandon de panier.
Par ailleurs, certains parcours de paiement posent davantage de problèmes. Ainsi, les achats via les applications mobiles enregistrent des taux d’échec de transactions plus importants, en particulier quand il s’agit de revenir sur le site marchand suite à l’authentification auprès de la banque.
Authentification forte : quels impacts pour les entreprises ?
Pour les e-commerces
Indispensable et bienvenu, ce renforcement de la sécurité imposé par la DSP2 reste cependant susceptible de heurter l’expérience client lorsqu’il n’est pas géré avec la bonne solution. Parcours de paiement moins fluide, plus long, plus complexe… De là, à voir les utilisateurs abandonner leur panier et les taux de conversion chuter, il n’y a qu’un pas !
Les entreprises doivent par conséquent s’adapter aux changements majeurs impulsés par la DSP2 au risque de constater la baisse de leur chiffre d’affaires au profit de la concurrence. Or, elles ne maîtrisent pas toujours cette partie de la transaction.
Pour surmonter les difficultés liées à l’authentification forte, il est donc judicieux de se faire accompagner par un prestataire de paiement afin de s’assurer d’être en conformité avec la loi et gagner en sérénité.
De plus, ce dernier peut proposer la mise en place de solutions de paiement plus fiables et efficaces que la carte bancaire, comme le virement bancaire Open Banking immédiat ou instantané ou le paiement par lien.
Découvrez notre vision instantanée du paiement de Bridge !
Pour les éditeurs de logiciels comptables et ERP
Grâce aux API Open Banking, les éditeurs offrent, à leurs utilisateurs, la possibilité de gérer leurs paiements, de se connecter aux comptes bancaires, de réconcilier leurs opérations financières ou d’automatiser leur comptabilité… sans quitter leur logiciel.
Cependant, ils doivent respecter le principe de l’authentification forte s’ils souhaitent synchroniser leurs données. Avec l’allongement de la périodicité à 180 jours, seulement deux authentifications fortes par an sont nécessaires, contre 4 auparavant, de quoi résoudre certains points de crispation.
L’authentification forte avec Bridge
Incontournable, l’authentification forte doit être mise en place de manière optimale pour ne pas impacter le parcours d’achat des clients et permettre la synchronisation des comptes bancaires sans friction. Leader français de l’Open Banking, Bridge accompagne les entreprises et se charge du processus SCA pour vous.
Nos solutions d’authentification multifacteurs renforcent la sécurité de vos paiements. Avec Analyse, le virement bancaire Open Banking ou encore Pay By Link, Bridge répond en effet aux exigences de l’authentification forte tout en proposant une expérience de paiement fluide, irrévocable, instantanée et sûre.
Impossible aujourd’hui de faire l’impasse sur une stratégie SCA efficace et performante. Faute de disposer des ressources adéquates, s’attaquer soi-même à la mise en œuvre de l’authentification forte peut s’avérer complexe, chronophage et fastidieux… C’est pourquoi Bridge s’en charge pour vous !
