Vous l’avez peut-être remarqué ces derniers mois : vos services bancaires vous demandent de vous authentifier à l’aide de moyens de connexion renforcés. Le SMS de validation fait peu à peu place à d’autres méthodes : validation de vos transactions et autres opérations sensibles directement dans votre application bancaire par exemple, à l’aide de vos empreintes ou de la reconnaissance faciale. Tous ces changements ont un nom : il s’agit de l’authentification forte, devenue une obligation avec la DSP2.
Qu’est-ce que c’est ? Quelles sont ses implications pour les entreprises, qu’elles soient fournisseurs ou clientes ? Zoom sur le renforcement de la sécurité des paiements en ligne grâce à l’authentification forte prévue par la DSP2.
1. Qu’est-ce que l’authentification forte ?
Lorsqu’un client, particulier ou entreprise, réalise des opérations en ligne, il est crucial pour les acteurs des services financiers de vérifier l’identité de cet acheteur. Concrètement, jusqu’à présent, l’authentification des clients reposait principalement sur l’envoi d’un code par SMS, à renseigner sur son espace en ligne pour pouvoir réaliser son opération (ajout d’un bénéficiaire de virement, paiement d’un achat en ligne …).
Ce que la DSP2 prévoit, c’est de :
– rendre l’authentification forte obligatoire, lorsque celle-ci était seulement fortement conseillée jusqu’à présent,
– améliorer le niveau de sécurité de l’authentification forte, en mettant en place de nouveaux process de validation de l’identité.
Ces nouvelles mesures de sécurité proviennent des deux objectifs principaux de la DSP2 :
– renforcer la protection des consommateurs
– garantir des conditions de concurrence équitables.
Adieu “3D Secure 1.0”, bonjour “3D Secure 2” !
Le 3D Secure 1.0, qui se fiait à un mot de passe et à un code SMS, disparaît pour faire place au 3D Secure 2. Pour que l’authentification soit considérée comme forte, elle doit désormais combiner deux des trois éléments suivants :
– un élément que vous êtes le seul à connaître : mot de passe, code PIN …
– un élément que vous êtes le seul à posséder : application bancaire sur votre téléphone portable, carte bancaire …
– une caractéristique biométrique qui vous définit : empreinte digitale, reconnaissance vocale …
À quel moment l’authentification forte est-elle demandée ?
Elle s’applique à trois moments d’interaction avec le client : à la connexion à l’espace client, au moment du paiement, ainsi que pour toute opération dite “sensible” (comportant un risque de fraude, comme un changement d’adresse ou l’ajout d’un bénéficiaire de virement).
En résumé : les paiements par carte bancaire en ligne et par virement bancaire font l’objet de l’authentification forte du client dans la plupart des cas. Les prélèvements automatiques récurrents ne le requièrent pas car ils sont jugés comme étant initiés par le marchand.
Qui est concerné par cette nouvelle exigence de sécurisation ?
Ces nouveaux pré-requis sur l’authentification des clients s’appliquent dans le cadre de l’Espace économique européen. Si l’entreprise et la banque du titulaire de la carte font partie de l’un des 30 pays de l’EEE, alors les transactions seront soumises à l’authentification forte.
2. Quels sont les impacts de la directive DSP2 ?
Des transactions plus sécurisées
Tout l’intérêt de cette vérification renforcée de l’identité des clients est de protéger davantage les consommateurs et limiter la fraude. Grâce à l’authentification forte, les opérations sensibles sont mieux protégées, de même que les achats en ligne.
La méthode du 3D Secure simple avait déjà fait ses preuves : en 2018, l’Observatoire des moyens de paiement annonçait que le taux de fraude des transactions authentifiées était inférieur à celui des paiements non certifiés (0,07% contre 0,21%).
Cependant, toute étape supplémentaire dans un parcours client crée de la friction et peut amener à une baisse de conversion. Cela s’applique notamment pour les achats e-commerce. C’est pourquoi il existe un certain nombre de dérogations prévues par la DSP2 pour contourner ponctuellement l’authentification forte du client.
Quels sont les cas de dérogations à l’authentification forte ?
Il en existe plusieurs.. On recense notamment :
– les opérations de paiement inférieures à 30€
Ces transactions sont considérées comme étant à faible valeur et sont un cas d’exemption. Attention cependant, celle-ci a ses limites : le client doit se ré-authentifier s’il a utilisé l’exemption cinq fois depuis sa dernière authentification réussie ou si la somme des paiements exemptés précédemment dépasse 100€.
– les opérations à faible risque
Les prestataires de services de paiement (PSP) sont autorisés à évaluer le risque en temps réel pour savoir s’ils doivent appliquer une demande d’authentification forte ou non à une transaction. Ce n’est possible que si les taux de fraude des paiements par carte bancaire du PSP concerné ou de la banque ne dépassent pas certains seuils (0,13% pour les transactions de moins de 100€, 0,06% pour moins de 250€, 0,01% pour moins de 500€).
– les abonnements à montant fixe
Pour le premier paiement du client, l’authentification forte est requise, mais les paiements ultérieurs pourront être exemptés de celle-ci.
– les listes blanches ou bénéficiaires de confiance
Les clients peuvent créer une liste personnelle de bénéficiaires de confiance, transmise à leur banque. Ce sont des commerçants auprès desquels l’usager achète régulièrement des produits et services. Pour faciliter l’expérience client et ne pas apporter de friction supplémentaire, ils seront exemptés de l’authentification forte.
– les transactions MOTO
Les transactions de type MOTO (Mail Orders and Telephone Orders) ne sont pas considérées étant des paiements électroniques et ne relèvent donc pas du champ d’application de l’authentification forte. Elles font l’objet d’une exemption systématique.
L’authentification forte s’insère donc dans une démarche de renforcement de la protection des consommateurs, puis dans une démarche d’équitabilité de la concurrence. Cependant, sa mise en place bouscule les services financiers car elle remodèle l’expérience utilisateur.
Vous souhaitez créer des services financiers compétitifs et innovants en collaborant avec un acteur expert de la connexion bancaire ? La plateforme d’Open Banking Bridge répondra parfaitement à vos besoins. Contactez Bridge
