+
-

Authentification forte

L’Autorité bancaire européenne temporise

L’ABE a publié le 21 juin 2019 une opinion concernant la mise en œuvre de l’authentification forte prévue par la DSP 2.

Le 09/07/2019

Dans une "opinion" publiée le 21 juin 2019, l'Autorité bancaire européenne annonce le report de la date du 14 septembre à laquelle les processus d’authentification forte devaient entrer en vigueur. Rappelons que l’authentification forte définie par la DSP2 signifie que les accès aux comptes et les transactions de paiement devront être vérifiées par deux éléments de sécurité choisis dans trois catégories :

  • un élément de connaissance, comme un mot de passe ou un code, connu du seul utilisateur ;
  • un élément de possession : un téléphone mobile, une carte ou autre instrument, détenu par le seul utilisateur ;
  • un élément d’inhérence, c’est-à-dire qui relève d’une caractéristique personnelle de l’utilisateur : empreinte digitale ou rétinienne, reconnaissance vocale ou faciale ou tout autre élément de biométrie.

En annonçant ce report, l’ABE fait preuve de pragmatisme.

D’une part, les banques n’ont pas encore toutes équipé leurs clients des moyens de sécurisation adéquats, notamment celles qui comme les banques françaises, ont principalement opté pour les confirmations des transactions par SMS, qui est reconnu comme un facteur de possession mais n’est pas suffisant pour une authentification forte. La Banque de France vient d’ailleurs d’annoncer un planning sur trois ans pour orchestrer la disparition progressive des SMS de confirmation.

D’autre part, « les e-commerçants craignent que la fluidité du process de paiement lors d’une transaction commerciale soit affectée par ce nouveau mode d’authentification, alors même que des études montrent que le taux de transformation d’un paiement réalisé en e-commerce est déjà inférieur de 10 % à celui des achats réalisés en proximité en raison, selon les commerçants, des règles de vigilance appliquées par les banques » souligne Thierry Leblond, directeur du pôle monétique et moyens de paiement de PW Consultants. Une étude du cabinet 451Research de mai 2019 estime que le volume d’opérations de paiement abandonnées en raison de frictions dues à l’application de l’authentification forte en Europe pourrait atteindre 57 milliards d’euros dans les 12 mois suivant cette mise en œuvre, soit 10 % des ventes en lignes estimées en 2019. Certes, des dérogations aux règles d’authentification forte peuvent être négociées par les commerçants avec les banques, mais les conditions dans lesquelles celles-ci les accepterons ne sont pas encore clairement définies.

Prendre en compte le point de vue de l'utilisateur final

Enfin, « l’ABE prend également en compte le point de vue de l’utilisateur final, qui doit avoir été sensibilisé à cette évolution des pratiques, et surtout doit pouvoir continuer à effecteur sans heurts des paiements en ligne » ajoute Thierry Leblond.

Pour autant, « l’ABE n’a pas fixé de nouveau délai pour l’entrée en vigueur de l’authentification forte et laisse pour l’instant le soin aux autorités nationales de négocier avec les prestataires de service de paiement et les acteurs du e-commerce une période de transition pour assurer leur mise en conformité, et acculturer le marché à ces nouvelles méthodes », ajoute Thierry Leblond. Chaque acteur devra néanmoins présenter un plan de migration validé par l’autorité nationale. Reste à savoir combien de temps durera cette période de tolérance et à partir de quel moment l’ABE lancera les premiers contrôles et quand tomberont les premières sanctions. En outre, les autorités nationales pourraient aussi se montrer plus strictes vis-à-vis de certains acteurs : « en France, l’ACPR alerte les banques sur la nécessité de l’authentification forte pour leurs propres activités depuis des années, et avec l’arrivée du virement instantanée qui la rend d’autant plus nécessaire, elle pourrait se montrer moins patiente avec elles », explique encore Thierry Leblond.

L’opinion de l’ABE inclut également des précisions quant à la nature des facteurs d’authentification forte : principale nouveauté, l’autorité européenne précise les contours de la biométrie comportementale comme mécanisme d’authentification forte, par exemple la vitesse de saisie au clavier ou l’angle de tenue de l’instrument qui sert de mécanisme d’authentification (téléphone, montre connectée…).

Séminaires

Sur le même sujet