Le nombre de paiements par carte connait depuis dix ans une croissance exponentielle. La valeur totale des transactions par carte en 2018 représentait près de 1 800 milliards dans la zone euro.
La nouvelle Directive européenne PSD2 du 25 novembre 2015 entrée en vigueur pour partie en janvier 2018 vient moderniser le cadre légal imposé depuis 2017. L’Union européenne a entendu franchir un cap dans l’encadrement des services de paiement au sein du marché intérieur. Elle élargit les droits des consommateurs, interdit la surfacturation des paiements par carte de débit ou de crédit et a notamment pour objectif de favoriser la concurrence.
En sus, la Directive prévoit une protection accrue des consommateurs et vise une lutte efficace contre la fraude grâce à une sécurisation des paiements électroniques par une authentification forte (aussi appelé double authentification ou two-factors authentification), ces normes techniques de sécurité devaient entrer en vigueur le 14 septembre dernier, et sont pour certains pays comme la France repoussées à 2020.
- Qu’est-ce que l’authentification forte ?
L’authentification est une norme technique définit par la Directive comme une procédure permettant au prestataire de service de paiement de vérifier l’identité d’un utilisateur de service de paiement ou la validité d’un instrument de paiement spécifique, y compris l’utilisation des données de sécurité personnalisées de l’utilisateur.
L’authentification forte, quant à elle est une authentification qui repose sur l’utilisation de deux éléments ou plus appartenant aux catégories connaissance (quelque chose que l’utilisateur connait), possession (quelque chose que l’utilisateur possède) et inhérence (quelque chose que l’utilisateur est). Ces éléments doivent être indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification.
Avant la Directive DSP2, l’authentification forte restait seulement recommandée. Elle devient aujourd’hui obligatoire. En effet, cette dernière permet une plus grande sécurité du consommateur et une diminution des fraudes lors des paiements électroniques. Les éléments d’authentifications seront demandés aux consommateurs par leurs divers prestataires de service de paiement qui devront mettre en place à terme les infrastructures techniques nécessaires afin que l’utilisateur puisse satisfaire à deux des trois catégories suivantes :
– Connaissance : mot de passe, nom de mon chien, date de naissance de mon père
– Possession : digipass, un code envoyé par sms
– Inhérence : empreinte digitale, reconnaissance faciale, rétine
L’authentification forte sera applicable lorsqu’un payeur effectue une opération de paiement en ligne supérieure à 30 euros. Néanmoins des dérogations prévues par la Directive s’appliquent notamment pour les paiements de faibles valeur, paiements à faibles risques, paiements à un bénéficiaire de confiance, le paiement à des automates de transport et de parking mais aussi lors d’opérations de paiement d’entreprise recourant à des protocoles de transfert d’ordres de paiements sécurisés, etc… Ces larges exceptions sont toutefois encadrées par un suivi sur une base trimestrielle pour limiter au maximum le taux de fraude.
- En pratique : le report à 2020
C’était la mesure tant attendue de la directive DSP2, pour autant avant même son entrée en vigueur, le 14 septembre dernier, de multiples secteurs lançaient un cri d’alerte sur leur absence de préparation. En effet, ces changements demandent une adaptation du secteur bancaire, des e-commerçants mais aussi des consommateurs, et tel n’était pas le cas en pratique. C’est pourquoi l’EBA (European Banking Authority), afin éviter tout risque de confusion en septembre, a accordé discrètement le 21 juin 2019 un délai supplémentaire aux acteurs concernés dans le but de se conformer à la nouvelle Directive.
Ce délai laissé à l’appréciation des États a permis à la France de repousser à 36 mois l’application de la double authentification. L’Allemagne, et d’autres en suivant le même chemin mettent à mal la politique de l’Union européenne en la matière qui voulait opérer une harmonisation de la sécurisation des paiements dans la zone euro et une lutte effective de la fraude.
Sources :