Une révolution est en marche sur le marché des services financiers en Europe. La nouvelle directive européenne sur les services de paiement (DSP2 ou PSD2 en anglais), est entrée en application il y a près de deux ans, mais la mise en vigueur de son volet consacré à l’authentification forte, qui était initialement prévue le 14 septembre dernier, a été repoussée à 2022, donnant un peu de répit aux acteurs retardataires, en premier lieu les banques et les sites de e-commerce. Toutes les entreprises concernées ont donc encore deux ans pour se mettre en conformité, mais beaucoup se sont déjà engagés dans cette voie.

Concrètement, la directive a pour objectif de favoriser l’innovation, la transparence de la concurrence et l’efficacité du marché des services financiers dans l’Union Européenne, et plus précisément de moderniser les services de paiement en Europe au profit tant des consommateurs que des entreprises, pour rester en phase avec un marché en évolution rapide. En filigrane, le but est aussi de favoriser l’essor des services de banque en ligne et autres FinTech, ces nouveaux acteurs mariant services financiers et technologies numériques.

En dehors de l’interdiction de la surfacturation pour les paiements par carte bancaire, et du renforcement des droits des consommateurs, avec par exemple l’abaissement de la franchise restant à la charge du client en cas de paiement frauduleux par carte, la directive impose aux entreprises concernées deux nouvelles règles :

L’obligation de l’authentification forte pour les paiements en ligne de plus de 30€, qui touche en premier lieu les sites de e-commerce.

L’obligation imposée aux banques de fournir l’accès aux données de leurs clients, avec l’accord préalable de ces derniers, à des acteurs tiers via un canal de communication sécurisé.

L’authentification forte : un enjeu majeur pour le commerce en ligne comme pour les banques

L’authentification forte, ou Strong Customer Authentification (SCA), dont le respect définitif par tous a été repoussé à 2022 par les autorités bancaires, introduit une révolution majeure pour le commerce en ligne. Car elle nécessitera de fait l’abandon du système actuel d’authentification, qui utilise le processus 3D Secure avec l’envoi d’un SMS, considéré comme insuffisamment sécurisé, notamment en cas de vol du smartphone.

Le SCA impose en effet pour tout paiement par Internet une authentification successivement par au moins deux des trois facteurs suivants :

  • Connaissance : le client doit fournir une information connue de lui seul (mot de passe, réponse à une question personnelle).
  • Possession : l’authentification doit faire intervenir un objet que le client possède (smartphone par exemple).
  • Inhérence : l’authentification doit utiliser un élément inhérent à l’individu (empreinte digitale, reconnaissance faciale, etc.).

Le renforcement des procédures d’identification et d’autorisation aura donc un impact direct sur le business des sites marchands. D’ici 2022 au plus tard, il imposera de mettre à jour la brique de paiement dans le parcours client, afin qu’elle fonctionne en adéquation avec les nouvelles normes. Sinon, certaines transactions risqueront d’être refusées.

Il imposera de plus la mise en place d’une nouvelle ergonomie pour le client, le risque étant que déstabilisé par de multiples facteurs d’authentification, il renonce à ses achats.

Des solutions innovantes, faciles à mettre en œuvre par les banques et les acteurs du e-commerce, existent déjà, qui permettent de réinventer l’ergonomie à l’étape du paiement en ligne. Beaucoup d’entre elles suppriment tout mot de passe, trop facile à usurper, et intègrent d’autres facteurs contextuels tels que la géolocalisation et la biométrie.

Accès sécurisé aux données des comptes clients : un défi pour les banques

La directive DSP2 oblige en outre les banques à fournir l’accès aux données de leurs clients, en obtenant leur accord au préalable, à des acteurs tiers que sont les initiateurs de services de paiement (traditionnellement les sites de commerce électronique) ou les fournisseurs de services d’informations sur les comptes (agrégateurs offrant des outils de gestion des finances personnelles rassemblant plusieurs comptes).

Les banques doivent pour cela assurer une communication sécurisée et standardisée en mettant à disposition un ensemble d’API ouvertes et interopérables, briques logicielles permettant à deux applications – celle de la banque et celle de l’acteur tiers – de communiquer entre elles.

L’objectif, grâce à ces API, est de simplifier et d’automatiser les parcours client en ligne, en supprimant les intermédiaires, et de donner aux différents prestataires concernés l’opportunité d’offrir de nouveaux services financiers innovants.

Gérer ces nouveaux processus requiert pour les banques la mise en place de nouvelles solutions basées sur l’identité numérique capables, en toute transparence, d’obtenir le consentement du demandeur et de sécuriser l’ensemble des transactions entre le client, la banque et l’acteur tiers.

Ces solutions existent, reste à les mettre en œuvre au bénéfice des consommateurs et des entreprises européennes.

__________
Arnaud Gallut est
Directeur des Ventes Europe du Sud Ping Identity