L’authentification forte exigée par la DSP2 reportée à mars 2021
Avec l’entrée en vigueur de la DSP2 le 14 septembre dernier, les banques devaient avoir mis en place un système de double authentification pour leurs transactions financières et les sites d’e-commerce. Le changement vise à renforcer la sécurité des paiements et des utilisateurs. Mais la majorité des professionnels concernés n’étant pas prêts, certains pays leur accordent un délai pour se conformer à la directive.
Une double authentification pour renforcer la sécurité des opérations bancaires
Le premier volet de la DSP2 porte sur la mise en place d’une API par les banques françaises afin de faciliter l’accès aux données clients par les prestataires de services de paiement tiers.
Ces portails doivent être associés à un mécanisme de secours sécurisé reposant sur le screen-scraping. À défaut, l’APCR considère l’établissement comme non conforme à la réglementation.
Le second volet de la directive européenne concerne le passage à l’authentification forte afin d’offrir une protection accrue aux consommateurs lors des transactions et opérations bancaires en ligne.
Cette mesure concerne spécifiquement les banques. En revanche, les commerçants sont pour l’heure épargnés, les modalités de règlement des achats sur Internet restant inchangées.
Concrètement, les groupes bancaires doivent proposer au moins deux des trois systèmes d’identification suivants :
- un renseignement que seul le client détient (mot de passe, code PIN, question secrète),
- un objet qu’il possède (smartphone, montre connectée),
- une caractéristique qui le définit (empreinte digitale, voix ou traits du visage).
L’Autorité bancaire européenne a en outre introduit le Dynamic Linking, qui consiste à saisir sur l’interface un code secret à usage unique généré pour une opération donnée.
L’envoi de code de validation par SMS étant voué à disparaître, les banques devront recourir à la reconnaissance biométrique ou à la connexion sur leur appli mobile.
Des éléments à prendre en compte donc pour tous ceux qui envisagent d’ouvrir un compte bancaire, car il en va de la sécurité des transactions qui y seront réalisées.
Je compare les offres bancaires
La date limite de mise en place de l’authentification forte repoussée à mars 2021
Toutefois, les autorités françaises viennent d’annoncer le report de la date limite de mise en place de la Strong Customer Authentification (SCA) au mois de mars 2021.
En effets, les acteurs concernés ont accumulé un retard important. De plus, les Français ne disposent pas tous de téléphones biométriques. Durant ces 18 mois, les commerçants vont devoir adopter le protocole 3-D Secure afin de limiter les fraudes sur les paiements en ligne.
Selon l’Observatoire de la sécurité des moyens de paiements (OMSP),
« L’authentification forte s’appliquera à environ 75 % des transactions en ligne et des cyberacheteurs d’ici fin 2020. En outre, les particuliers devront passer par cette étape au minimum tous les 90 jours pour accéder aux services bancaires à distance ».
Des exceptions sont en effet prévues :
- les paiements inférieurs à 30 euros sur les e-boutiques,
- les virements bancaires entre différents comptes d’une même personne,
- les opérations récurrentes pour le même montant sur un même site désigné comme fiable par le consommateur,
- les paiements aux automates de transport et de parking.
Quant aux PSP et agrégateurs de comptes, le défi consiste à préserver l’expérience utilisateur malgré les nombreux écrans de contrôle ou la redirection fréquente vers des portails d’authentification.
