Actualité des paiements


Posté le 16 juillet 2019

DSP2 : l’ABE reporte les échéances d’obligation d’authentification forte

Thierry Leblond, Directeur du pôle Monétique et Moyens de paiement de PW Consultants, a livré son analyse à Revue Banque quant aux reports des échéances d'obligation d'authentification forte introduite par la DSP2. 

 

L'ABE temporise

 

L’ABE a publié le 21 juin 2019 une opinion concernant la mise en œuvre de l’authentification forte prévue par la DSP2.

Celle-ci annonce le report de la date du 14 septembre à laquelle les processus d’authentification forte devaient entrer en vigueur. Rappelons que l’authentification forte définie par la DSP2 signifie que les accès aux comptes et les transactions de paiement devront être vérifiées par deux éléments de sécurité choisis dans trois catégories :

  • un élément de connaissance, comme un mot de passe ou un code, connu du seul utilisateur ;
  • un élément de possession : un téléphone mobile, une carte ou autre instrument, détenu par le seul utilisateur ;
  • un élément d’inhérence, c’est-à-dire qui relève d’une caractéristique personnelle de l’utilisateur : empreinte digitale ou rétinienne, reconnaissance vocale ou faciale ou tout autre élément de biométrie.

En annonçant ce report, l’ABE fait preuve de pragmatisme.

 

D’une part, les banques n’ont pas encore toutes équipé leurs clients des moyens de sécurisation adéquats, notamment celles qui comme les banques françaises, ont principalement opté pour les confirmations des transactions par SMS, qui est reconnu comme un facteur de possession mais n’est pas suffisant pour une authentification forte. La Banque de France vient d’ailleurs d’annoncer un planning sur trois ans pour orchestrer la disparition progressive des SMS de confirmation.

 

D’autre part, « les e-commerçants craignent que la fluidité du process de paiement lors d’une transaction commerciale soit affectée par ce nouveau mode d’authentification, alors même que des études montrent que le taux de transformation d’un paiement réalisé en e-commerce est déjà inférieur de 10 % à celui des achats réalisés en proximité en raison, selon les commerçants, des règles de vigilance appliquées par les banques » souligne Thierry Leblond, directeur du pôle monétique et moyens de paiement de PW Consultants. Une étude du cabinet 451Research de mai 2019 estime que le volume d’opérations de paiement abandonnées en raison de frictions dues à l’application de l’authentification forte en Europe pourrait atteindre 57 milliards d’euros dans les 12 mois suivant cette mise en œuvre, soit 10 % des ventes en lignes estimées en 2019. Certes, des dérogations aux règles d’authentification forte peuvent être négociées par les commerçants avec les banques, mais les conditions dans lesquelles celles-ci les accepterons ne sont pas encore clairement définies.

 

Enfin, « l’ABE prend également en compte le point de vue de l’utilisateur final, qui doit avoir été sensibilisé à cette évolution des pratiques, et surtout doit pouvoir continuer à effecteur sans heurts des paiements en ligne » ajoute Thierry Leblond.

 

Pour autant, « l’ABE n’a pas fixé de nouveau délai pour l’entrée en vigueur de l’authentification forte et laisse pour l’instant le soin aux autorités nationales de négocier avec les prestataires de service de paiement et les acteurs du e-commerce une période de transition pour assurer leur mise en conformité, et acculturer le marché à ces nouvelles méthodes », ajoute Thierry Leblond. Chaque acteur devra néanmoins présenter un plan de migration validé par l’autorité nationale. Reste à savoir combien de temps durera cette période de tolérance et à partir de quel moment l’ABE lancera les premiers contrôles et quand tomberont les premières sanctions. En outre, les autorités nationales pourraient aussi se montrer plus strictes vis-à-vis de certains acteurs : « en France, l’ACPR alerte les banques sur la nécessité de l’authentification forte pour leurs propres activités depuis des années, et avec l’arrivée du virement instantanée qui la rend d’autant plus nécessaire, elle pourrait se montrer moins patiente avec elles », explique encore Thierry Leblond.

 

L’opinion de l’ABE inclut également des précisions quant à la nature des facteurs d’authentification forte : principale nouveauté, l’autorité européenne précise les contours de la biométrie comportementale comme mécanisme d’authentification forte, par exemple la vitesse de saisie au clavier ou l’angle de tenue de l’instrument qui sert de mécanisme d’authentification (téléphone, montre connectée…).

Besoin de plus d'infos ? Contactez-nous !

20 rue Euler
75008 Paris
Téléphone : 01.49.52.93.93
contacteznous@pw-consultants.com

Dans le cadre de l’entrée en vigueur du RGPD (Règlement Général pour la Protection des Données) depuis le 25 mai 2018, sachez que les données que vous nous fournirez seront uniquement utilisées pour le traitement de votre demande.

Conformément à la loi « Informatique et libertés » du 6 janvier 1978 modifiée, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent. Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données vous concernant. Si vous souhaitez exercer ce droit et obtenir communication des informations vous concernant, veuillez adresser votre demande à : rgpd@pw-consultants.fr