Chargement...

DSP2 et Authentification forte du client : ce qui va changer à partir du 14 septembre 2019

26 avril 2019

Business insight

Un nouveau règlement européen relatif à l’authentification forte du client et normes ouvertes communes et sécurisées de communication sera mis en application, à compter du 14 septembre 2019, dans le cadre de la Directive sur les services de paiement 2 (DSP2).

Deux objectifs à ce nouveau règlement :

  • Assurer une communication efficace et sécurisée entre les acteurs qui gravitent dans les secteurs de services d’information sur les comptes, d’initiation de paiements ou encore de la confirmation de la disponibilité des fonds ;
  • Sécuriser les transactions avec une authentification à deux facteurs, là où jusqu’à présent seul un SMS reçu sur son mobile était suffisant pour l’authentification des paiements par carte (3DS protocole).

 

Comment la DSP2 définit les nouvelles normes d’authentification forte du client ? 

Rappelons que les directives (telles que la DSP2) nécessitent une transposition dans toutes les législations nationales. Les règlements quant à eux sont d’application immédiate dans le droit local et ont pour vocation d’harmoniser les différentes normes mise en place dans le cadre de la DPS2.

Les normes techniques de réglementation (NTR, en anglais RTS ou Regulatory Technical Standard) ont justement été préparées par l’Autorité Bancaire Européenne (ABE) et adoptées par le Commission Européenne pour définir concrètement – et ainsi harmoniser – le processus d’authentification forte du client qui doit être implémenté par les Etats membres.

 

Garants de la sécurité des paiements, ces NTR définissent l’authentification forte du client par la combinaison, a minima, de deux facteurs d’authentification, parmi lesquels :

Dans quels cas doit-on mettre en place l’authentification forte du client ?

Les États membres veillent à ce qu’un Prestataire de Services de Paiement (PSP) applique l’authentification forte du client lorsque le payeur :

Quelles exceptions ?

Pour alléger ce dispositif, les NTR définissent également neuf « dérogations ». Seuls les PSP du payeur et du bénéficiaire peuvent faire faire jouer ces dérogations selon la nature du paiement effectué en ligne. L’idée de ces dérogations est de trouver un juste équilibre entre l’intérêt d’un renforcement de la sécurité des paiements en ligne et les besoins de convivialité et d’accessibilité des paiements dans le secteur du commerce électronique.

Ces dérogations au principe d’authentification forte du client ont été définies sur la base du niveau de risque, du montant, du caractère récurrent et du moyen utilisé pour exécuter l’opération de paiement.

Parmi les dérogations, trois concernent directement les paiements en ligne :

Pour ce dernier point, la valeur de la transaction est dépendante du taux de fraude notifié par le PSP :

Le taux de fraude moyen actuel se situe autour de 0.16% pour les opérations françaises et autour de 0.3% pour les opérations transfrontalières.

 

Et Lemon Way dans tout ça ?

S’il y a bien un domaine dans lequel Lemon Way ne transige pas, c’est la sécurité des paiements. C’est pourquoi, nous accueillons ces nouveaux standards règlementaires comme une nouvelle positive qui va dans le sens d’une augmentation du niveau de sécurité et – in fine – de la confiance des clients finaux.  De part notre positionnement dans la chaîne de paiement, nous n’intervenons pas directement dans le choix et la définition des critères d’authentification. Cependant, nos experts se tiennent à votre disposition pour toute demande d’information !