Succès croissant de la biométrie pour la double validation des transactions imposée par la DSP2
Les exigences de la deuxième directive sur les paiements (DSP2) relatives à la lutte contre la fraude imposent une « authentification forte » des utilisateurs. Dans ce cadre, la validation par SMS risque d’être supprimée, tandis que les technologies biométriques gagnent du terrain. Les établissements financiers pourront toutefois appliquer des exceptions de contrôle.
La double validation, nouvelle exigence de la DSP2
La sécurité est un enjeu majeur pour les banques. L’identification formelle de l’utilisateur est cruciale, depuis la consultation des comptes à la réalisation de transactions diverses : paiements, virements, etc. Jusqu’ici, il suffisait d’indiquer son numéro de carte et de valider la transaction via un code reçu par SMS.
Mais la procédure pourrait bientôt ne plus être aussi simple, avec l’entrée en vigueur de la deuxième directive sur les paiements (DSP2). En effet, la double validation est en passe de devenir la norme, en utilisant au moins deux éléments choisis dans les trois catégories existantes :
- un code ou un mot de passe « permanent »
- un dispositif physique : téléphone mobile, carte bancaire, clé
- un élément biométrie : empreinte digitale, reconnaissance faciale ou vocale.
Important Aussi bien les banques en ligne ou traditionnelles que les fintechs prestataires de services de paiements et d’agrégation de comptes sont concernés par l’évolution de la réglementation.
Les limites du SMS et les alternatives existantes
Considéré comme indissociable du terminal, le SMS ne peut avoir la fonction de facteur complémentaire de la carte. Aussi, aux États-Unis, ce système de validation est déjà exclu.
Important Mais en Europe, les banques bataillent pour son maintien au-delà du 14 septembre au motif que la généralisation d’autres systèmes serait trop coûteuse.
Les personnes qui ne possèdent pas de smartphone peuvent demander à recevoir un code sur leur téléphone fixe ou sur une carte envoyée par la voie postale, et reporter celui-ci dans la fenêtre de paiement, mais ces deux solutions pèchent par la lenteur et le manque de praticité.
Important Pour contourner le problème, plusieurs enseignes bancaires ont intégré à leurs applications mobiles des mécanismes d’authentification sous forme de « clés digitales », plus fiables que le SMS.
Popularité grandissante de la biométrie
Mais la technologie d’identification du futur est indéniablement la biométrie, d’autant que les dernières générations de téléphones sont équipées des dispositifs nécessaires :
- touche d’empreinte digitale,
- voix,
- reconnaissance faciale.
De plus, les Français se disent majoritairement prêts à utiliser ce type de fonctionnalités.
Les consommateurs doivent de toute façon s’accoutumer aux dispositifs d’authentification forte, même si les banques s’efforcent de développer des solutions simples qui n’imposent pas à leurs clients de mémoriser des procédures, identifiants ou mots de passe complexes.
Pour autant, des exceptions de contrôle avec une validation simple seront possibles dans certains cas : pour des commerces qui présentent un taux de fraude proche de zéro ou pour des montants de paiement inférieurs à un certain plafond.
Il reste que malgré la directive (DSP2), les banques ont le choix d’imposer ou pas la double validation des paiements. En effet, la responsabilité de rembourser les clients et d’en informer les autorités en cas de fraude leur incombe entièrement.
