DSP2 et authentification forte du client : votre plateforme est-elle en règle ?

Ces dernières années, les dispositifs d’authentification forte se sont peu à peu imposés sur les sites de e-commerce et sur les marketplaces, en fonction du montant des opérations. Désormais, toutes les transactions d’un montant supérieur à 30 euros doivent faire l’objet d’une double authentification, conformément à la Directive sur les services de paiement 2 (DSP2). Ce règlement vise à réduire les fraudes sur les paiements effectués en ligne et à sécuriser davantage les opérations bancaires, afin de protéger les consommateurs. Qu’est-ce que recouvre l’authentification forte ? Comment faire pour être en règle ? Explications.  

Comment la DSP2 définit les nouvelles normes d’authentification forte du client

L’authentification forte fait partie d’un panel de mesures comprises dans la Directive européenne sur les services de paiement 2 (DSP2). Entré en vigueur en janvier 2018, - mais réellement déployé en 2021 -, ce règlement recouvre deux grands objectifs :

• Assurer une communication efficace et sécurisée entre les acteurs qui gravitent dans les secteurs de services d’information sur les comptes, d’initiation de paiements ou encore de la confirmation de la disponibilité des fonds ;
• Sécuriser les transactions avec une authentification à deux facteurs, là où jusqu’à présent seul un SMS reçu sur son mobile était suffisant pour l’authentification des paiements par carte (3DS protocole).

  Si le calendrier de déploiement s’est étalé dans le temps, c’est parce que les directives européennes telles que la DSP2 nécessitent une transposition dans toutes les législations nationales. De leur côté, les règlements sont d’application immédiate dans le droit local et ont pour vocation d’harmoniser les différentes normes mise en place dans le cadre de la DPS2. Les normes techniques de réglementation (NTR), dites RTS en anglais pour Regulatory Technical Standard, ont justement été préparées par l’Autorité Bancaire Européenne (ABE) et adoptées par le Commission Européenne pour définir concrètement – et ainsi harmoniser – le processus d’authentification forte du client qui doit être implémenté par les Etats membres. Bien consciente de l’ampleur et de la complexité d’une telle mise en conformité, la Banque de France avait décidé en 2019 d’accorder un délai de trois ans supplémentaires pour s’assurer que l’ensemble des acteurs affectés par l’authentification forte puissent bénéficier d’une solution sécurisée d’ici 2022.  

Authentification forte : qu’est-ce c’est ?

Garants de la sécurité des paiements, les normes techniques de réglementation définissent l’authentification forte du client par la combinaison, a minima, de deux facteurs d’authentification, parmi lesquels :

Ainsi, pour valider une transaction bancaire, le client doit ouvrir l’application de sa banque, grâce par exemple à la reconnaissance faciale (inhérence) pour renseigner un code reçu par SMS qui prouve qu’il possède bien son téléphone (possession). Le fait d’utiliser deux facteurs d’authentification est plus sécurisé que d’en utiliser un seul. D’abord en vigueur uniquement pour les paiements de plus de 2000 euros, l’authentification forte est peu à peu devenue obligatoire pour des montants plus faibles. En France, depuis le 15 avril 2021, elle est ainsi obligatoire pour les paiements de plus de 100 euros. Au 15 mai 2021, elle sera requise pour les paiements de plus de 30 euros.  

Dans quels cas doit-on mettre en place l’authentification forte du client ?

Ce n’est pas à l’opérateur de marketplace de décider du moment opportun pour utiliser l’authentification forte, mais à l’émetteur de la carte bancaire, c’est-à-dire la banque émettrice. Ainsi, les États membres veillent à ce qu’un Prestataire de Services de Paiement (PSP) applique l’authentification forte du client dans les cas suivants :

Authentification forte : quelles dérogations ?

Pour alléger ce dispositif, les NTR ont défini également neuf « dérogations ». Seuls les PSP du payeur et du bénéficiaire peuvent faire faire jouer ces dérogations selon la nature du paiement effectué en ligne. L’idée de ces dérogations est de trouver un juste équilibre entre l’intérêt d’un renforcement de la sécurité des paiements en ligne et les besoins de convivialité et d’accessibilité des paiements dans le secteur du e-commerce. Ces dérogations au principe d’authentification forte du client ont été définies sur la base du niveau de risque, du montant, du caractère récurrent et du moyen utilisé pour exécuter l’opération de paiement. Parmi les dérogations, trois concernent directement les paiements en ligne. Ainsi, l’authentification forte est facultative pour :

Pour ce dernier point, la valeur de la transaction est dépendante du taux de fraude notifié par le PSP. Voici, en fonction des montants, les différents seuils de dérogation d’application de l’authentification forte :

Le taux de fraude moyen actuel se situe autour de 0.16% pour les opérations françaises et autour de 0.3% pour les opérations transfrontalières. Bon à savoir : Le choix d’accorder, - ou non -, une exemption revient in fine à la banque émettrice de la carte.  

Et Lemonway dans tout ça ?

S’il y a bien un domaine dans lequel Lemonway ne transige pas, c’est la sécurité des paiements. C’est pourquoi, nous avons accueilli ces standards réglementaires comme une nouvelle positive qui va dans le sens d’une augmentation du niveau de sécurité et de la confiance des clients finaux.  De par notre positionnement dans la chaîne de paiement, nous n’intervenons pas directement dans le choix et la définition des critères d’authentification. Cependant, nos experts se tiennent à votre disposition pour toute demande d’information !