Recevez chaque jour toute l'actualité du numérique

x

Authentification forte : le D-Day est reporté

Tribune Le renforcement de l'authentification lors des paiements en ligne a été repoussé à 2022 par la France. La Banque de France prévoit désormais une migration en deux temps, suite aux demandes des professionnels du secteur. Décryptage de Pascal Agosti, du cabinet d'avocats Caprioli & Associé.
Twitter Facebook Linkedin Flipboard Email
×

Authentification forte : le D-Day est reporté
Authentification forte : le D-Day est reporté © TeroVesalainen - Pixabay

Le 14 septembre 2019 devait être un Big bang en matière d’authentification forte pour les banques et les prestataires de services de paiement. Rappelons que le Règlement délégué (UE) 2018/389 de la Commission du 27 novembre 2017 intégrant des standards techniques (RTS) concernant l’authentification forte du client précisait les conditions entourant l’authentification forte du client devant être appliquées chaque fois qu'un payeur accède à son compte de paiement en ligne, initie une opération de paiement électronique ou exécute une action, grâce à un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse.

 

Qu’est ce que l’authentification forte ?

L’authentification forte repose sur l'utilisation de deux éléments ou plus appartenant aux catégories "connaissance" (quelque chose que seul l'utilisateur connaît), "possession" (quelque chose que seul l'utilisateur possède) et "inhérence" (quelque chose que l'utilisateur est) et indépendants en ce sens que la compromission de l'un ne remet pas en cause la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d'authentification.

 

De plus, certaines des méthodes actuelles d’authentification à double facteur comme l’OTP SMS sont remises en cause.

 

Mais voilà…

Il faut se préparer. Les PME ont subi l’évolution des services de paiement induite par la DSP2, sans être prêtes et en étant sanctionnées par une baisse des conversions, les abandons de paniers et une expérience client détériorée. Face à ce risque pesant sur la sécurité du e-commerce, avec l'aval de l'Autorité Bancaire Européenne, certains Etat ont décidé d'accorder un délai supplémentaire aux banques et commerçants pour se conformer à la directive.

 

Report en France

La Banque de France, en concertation avec la Place française, a prévu un plan de migration en deux volets, visant à répondre aux difficultés rencontrées par les acteurs français :

  1. le déploiement par les émetteurs de solutions d’authentification forte du client, tel que présenté dans le rapport 2018 de l’Observatoire de la sécurité des moyens de paiement, en vue d’assurer le remplacement progressif du SMS-OTP par des techniques d’authentification plus avancées ;
  2. la migration du socle technique 3D-Secure pour les paiements par carte en vue de permettre une gestion des responsabilités et des exemptions conforme aux requis règlementaires.

 

Ce plan de migration fera l’objet d’un suivi régulier par un groupe "migration" dédié de l’Observatoire qui sera présidé par la Banque de France. Ce groupe, qui associera des représentants des différentes parties impliquées au titre des deux volets du plan de migration, se réunira a minima sur une base mensuelle, et sera chargé :

  • de veiller au respect des principaux jalons et des objectifs cibles,
  • de valider les livrables structurants,
  • d’identifier les problèmes rencontrés et
  • de proposer des actions de remédiation le cas échéant.

 

Le report est prévu pour 2022.

 

Et dans les autres Etats ?

Au Royaume-Uni, la Financial Conduct Authority a repoussé l'entrée en vigueur de la SCA à mars 2020 pour se connecter aux services de banque en ligne. A noter que le BREXIT ne devrait pas avoir d’effet sur l’implémentation de l’authentification forte dans le secteur du paiement. La Banque Nationale Hongroise prévoit, quant à elle, un report de près de douze mois.

 

Le régulateur allemand, la BaFin, n'a pas encore précisé la durée du délai supplémentaire qu'il accorde aux acteurs tout comme la Banque d’Italie, la KNF polonaise, la Banque d’Espagne, la Banque centrale néerlandaise (mais en néerlandais), la Financial Supervisory Authority finlandaise.

 

Les acteurs du paiement électronique doivent mettre en œuvre une trajectoire pour le déploiement d’outils d’authentification en privilégiant des solutions qui pourraient être biométriques pour le paiement comme Amazon avec la reconnaissance de la main ou la Société Générale avec sa carte bancaire avec empreinte digitale. Mais d’autres voies pourraient être explorées… Gageons que la période de transition sera riche de projets d’authentification innovants et d’une réponse (idéalement) de Place.

 

Pascal Agosti, avocat associé, docteur en droit
Caprioli & Associés, société membre du réseau JURISDEFI

 

 

Les avis d'experts sont publiés sous l'entière responsabilité de leurs auteurs et n'engagent en rien la rédaction de L'Usine Digitale.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media