DSP2 : les API et l’authentification forte
La directive européenne DSP2 poursuit plusieurs objectifs : stimulation de l’innovation et de la concurrence sur le marché communautaire, réduction des coûts finaux pour les acteurs et les utilisateurs, et consolidation de la sécurité des paiements et de la protection des clients. La DSP2 dispose de deux volets : l’instauration des API pour les banques qui favorisent l’ouverture aux données bancaires à des tiers comme les agrégateurs de comptes, et l’authentification forte sur les transactions et opérations bancaires en ligne.
Le 14 septembre a sonné la fin de l’exemption de mécanisme d’urgence pour les banques ayant choisi de mettre en place une API. Toutes les grandes banques françaises doivent disposer d’un dispositif de screen scraping sécurisé, sous peine d’être déclarées « non conformes » à la réglementation, dixit l’Autorité de contrôle prudentiel et de résolution (ACPR). Cette mise à jour a rencontré des difficultés aussi bien en termes d’infrastructures (serveurs informatiques âgés) que de culture d’entreprise, bien que les banques aient plutôt critiqué les délais courts pour se conformer.
Pas de modification sur les paiements en ligne pour l’heure
Outre l’ouverture des API, les acteurs financiers doivent relever le défi de l’authentification forte. Cette nouvelle couche de sécurité pour les transactions et opérations bancaires en ligne est l’apanage des banques et non plus des commerçants. Le paiement en ligne doit progressivement évoluer d’ici 2021 afin de protéger les consommateurs et leur couverture juridique. Toutefois, Marie-Anne Barbat-Layani, directrice générale de la Fédération bancaire française, assure : « Les achats en ligne ne seront pas touchés par la DSP2 au 14 septembre. Aucune modification ne sera faite dans les modalités de paiement des achats à distance ».
Concrètement, l’autorisation forte (ou SCA pour Strong Customer Authentification) repose sur au minimum deux des trois moyens d’identification suivants : information seule connue du client, objet seulement possédé par le client et caractéristique singulière au client. L’Autorité bancaire européenne a rajouté le Dynamic Linking. Ainsi, l’authentification consiste à récupérer un code à usage unique associé à l’opération. Si le code reçu par SMS sera à terme exclu par ce procédé, d’autres solutions se substitueront via la reconnaissance biométrique ou la connexion obligatoire à l’application mobile bancaire.
Une mise en place lissée sur 18 mois
Toutefois, devant le retard accumulé par les professionnels et le sous-équipement des Français en téléphones biométriques, l’instauration de cette mesure est finalement repoussée de 18 mois, jusqu’au mois de mars 2021. Pour les particuliers, l'accès aux comptes bancaires réclamera une authentification renforcée au moins tous les 90 jours. Par contre, plusieurs opérations seront exemptées : achats en ligne inférieurs à 30 euros, virements bancaires internes entre comptes d’une même personne, paiements aux automates de transport et de parking. Côté professionnels, tous vont devoir se mettre au protocole 3-D Secure.
L’Observatoire de la sécurité des moyens de paiements (OMSP) a précisé que « plus des trois quarts des utilisateurs et des transactions réalisées sur internet » devront passer à l’authentification forte d’ici à décembre 2020. Les services de paiement pour payer avec son mobile (Paypal, Lyfpay, Lydia, etc.) et d’agrégation de comptes (Linxo, Bankin’, Budget Insight, etc.) risquent de voir l’expérience utilisateur pâtir de la multiplication des écrans de contrôle ou de la redirection vers des portails d’authentification. Á eux de trouver la parade pour que les clients ne fuient par ces éléments de friction d’un parcours digital emprunté pour évaluer, par exemple, un risque de crédit.