La DSP 2 authentification forte en matière de sécurité des paiements, précisée par de nouveaux standards adoptés par l’ABE (autorité bancaire européenne).
La DSP 2 authentification forte
Pour l’essentiel, les standards (1) viennent spécifier l’obligation d’authentification forte du client, systématisée par la DSP 2 (2), et qui aura pour conséquence d’impacter les commerçants physiques et les commerçants en ligne.
L’authentification forte se définit comme :
- « une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories :
- connaissance (quelque chose que seul l’utilisateur connaît) ;
- possession (quelque chose que seul l’utilisateur possède) ; et
- inhérence (quelque chose que l’utilisateur est) ; et
- indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification (3).
Ainsi, la DSP 2 exige que l’authentification forte du client soit prévue lorsque le payeur :
- accède à son compte de paiement en ligne ;
- initie une opération de paiement électronique ;
- exécute une action, grâce à un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse (4).
L’élaboration de normes techniques par l’ABE
Néanmoins, la DSP 2 admet que soit dérogé à la règle de l’authentification forte, en habilitant l’Autorité bancaire européenne (ABE) à élaborer des normes techniques.
Afin d’élaborer ces normes dérogeant à l’authentification forte, la DSP 2 exige que l’ABE tiennent compte des critères suivants :
- le niveau de risque lié au service fourni ;
- le montant, le caractère récurrent de l’opération ou les deux ;
- le moyen utilisé pour exécuter l’opération (5).C’est ainsi que le 23 février 2017, après une longue concertation avec les acteurs du secteur, l’ABE a publié la version finale des standards techniques de la DSP 2 (6).
L’ABE a organisé deux consultations publiques dans le cadre des travaux préparatoires :
- un « Discussion Paper » entre décembre 2015 et février 2016 pour recueillir le point de vue des acteurs de marché sur plusieurs points clés préalablement identifiés ;
- un « Consultation Paper » entre août et octobre 2016 sur le projet de standards. L’ABE a reçu près de 224 réponses, ce qui constitue un record pour une consultation l’autorité.
Ces standards techniques étaient très attendus. En effet, en systématisant l’authentification forte lors des paiements, la DSP 2 a provoqué une levée de boucliers de la part des commerçants et de leurs représentants, et l’ABE était donc très attendu sur ce sujet.
La version finale du projet de standards de l’ABE prévoit que les prestataires de services de paiement pourront déroger à l’application de l’authentification forte du payeur dans les cas suivants :
- consultation en lecture seule des informations du compte de paiement, sans communication de données confidentielles de paiement. Une authentification forte est obligatoire lors de la 1ère connexion, puis a minima tous les 90 jours ensuite ;
- paiement sans contact en point de vente de moins de 50 €, le cumul des opérations précédentes ne devant pas dépasser 150 € ou 5 opérations ;
- paiement sur un automate situé à un péage routier, un parking ou pour accéder aux transports en commun ;
- paiement récurrent vers le même bénéficiaire, sauf pour le premier paiement de la série ;
- paiement vers un bénéficiaire inscrit dans une liste blanche maintenue par le payeur, l’authentification forte étant requise lors de l’ajout d’un nouveau bénéficiaire à la liste blanche ;
- virement entre deux comptes appartenant à la même personne et détenus par un seul et même PSP ;
- paiement internet de moins de 30 €.
Alors que la DSP 2 prévoit explicitement une approche par les risques pour déterminer les exemptions à l’authentification forte, il a été reproché aux normes techniques d’avoir éludé cet aspect, notamment lorsque l’ABE exigeait une authentification forte pour les paiements en ligne supérieurs à 10 euros. Ce plafond a été modifié en conséquence et a été fixé à 30 euros.
Calendrier
La Commission européenne :
- dispose désormais de 3 mois pour analyser le texte et proposer des amendements ;
- doit, en cas d’amendements, recueillir l’avis de l’ABE (6 semaines) ;
- soumettre ensuite le texte aux Conseil et Parlement européens (3 mois) ;
- recueillir, en cas d’amendements supplémentaires, à nouveau l’avis de l’ABE (6 semaines) ;
- avant de pouvoir l’adopter en qualité d’acte délégué (probablement en octobre 2017) L’entrée en vigueur des standards interviendra ensuite 18 mois après sa publication, soit probablement à partir d’avril 2019.
Frédéric Forster
Charlotte Le Fiblec
Lexing Constructeurs informatique et Télécom
(1) Regulatory Technical Standards on strong customer authentication and secure communication under PSD2
(2) Directive (UE) 2015/2366 du 25-11-2015 concernant les services de paiement dans le marché intérieur
(3) Directive (UE) 2015/2366, article 30 : Mesures en cas de non-conformité.
(4) Directive (UE) 2015/2366, article 97 : Authentification.
(5) Directive (UE) 2015/2366, article 98, 2 : Normes techniques de réglementation concernant l’authentification et la communication.
(6) Regulatory Technical Standards under PSD2.