Qu'est-ce que l'authentification forte ou DSP2 ?

Rédigé par Stéphanie LORMEAU

Publié le 23 Février 2021

La DSP2 est l’acronyme pour Directive Européenne sur les Services de Paiement. Son objectif consiste à consolider la sécurité des paiements en ligne. Cette SCA en anglais (Strong Customer Authentication) doit sécuriser la communication entre les banques et les TPP (Third Party Providers).

La réglementation vise aussi à renforcer les droits des consommateurs et donc à obliger l’authentification forte lors de la consultation de comptes et de réalisation d’opérations. Ce sont donc des contraintes techniques qui inquiètent les e-commerçants soucieux de réduire au maximum les points de friction sur le parcours client.

Cependant, devant les bugs lors des tests de migration en 2020, les autorités ont repoussé l’application généralisée de la DSP2 au 30 juin 2021. Observons l’impact pour les détenteurs de cartes bancaires en revenant sur les principes de cette directive européenne.

Qu’est-ce que la réglementation DSP2 ?

La DSP2 est la transposition en France de la direction européenne 2015/2366 dite des services de paiement dans le marché intérieur. Son entrée en vigueur remonte au 13 janvier 2018 mais plusieurs dispositions ne sont effectives qu’au fil des années suivantes.

Le cadre réglementaire vient encadrer et réguler l’activité de nouveaux venus dans la sphère bancaire : les tiers de paiement (ou bien appelés PSP : Prestataire de Services de Paiement). Cette deuxième directive inclut ces PSP dans l’adoption obligation du système d’authentification forte des paiements en ligne.

Qu’est-ce que l’authentification ? L’authentification concerne la procédure de vérification et de validation de l’identité d’une personne ou d’une entité, au moment d’un échange électronique, afin d’avoir le contrôle d’accès à un réseau, logiciel ou système informatique.

Qu’est-ce que l’authentification forte ?

L’authentification forte est une procédure qui renforce la sécurité des paiements en ligne ou l’accès à un espace en ligne personnel. Son objectif est d’éviter les fraudes en permettant de bien vérifier l’identité de la personne à l’initiation d’une transaction en ligne.

Le fonctionnement de l’authentification forte consiste à valider l’opération ou la connexion en combinant deux des trois éléments suivants :

• Connaissance : une information que seule la personne connaît (code secret, mot de passe, question secrète, etc.) ;
• Possession : un appareil que seule la personne détient (carte à puce, smartphone, montre connectée, etc.) ;
• Inhérence : une caractéristique biométrique (reconnaissance vocale, faciale ou empreinte digitale).

Cette réglementation rend caduque le système 3D-Secure qui fonctionne uniquement par l’envoi d’un code sms. Le système est considéré comme non optimisé en matière de sécurité, d’où la volonté de rajouter une couche supplémentaire d’authentification.

Les étapes de validation d'un paiement en ligne avec authentification forte :

Qu’est-ce qu’un TPP (Third Party Providers) ?

Un Third Party Providers (ou bien en français "PSP": Prestataire de Services de Paiement) est un acteur intervenant dans le cadre d’une transaction en ligne.

On trouve deux groupes de PSP :

• les banques qui gèrent les comptes des clients ;
• les tiers prestataires qui fournissent des services bancaires en ligne et accèdent donc aux comptes bancaires de leurs utilisateurs via des API.

La DSP2 crée deux nouveaux statuts :

• les Prestataires de Services d’Informations sur les Comptes (PSIC) ou, en anglais Account Information Service Provider (AISP) : ce sont les agrégateurs de comptes comme Bankin, Linxo, Max, La FinBox, etc. ;
• les Prestataires de Services d’Initiation de Paiement (PSIP) ou, en anglais, Payment Initiation Service Provider (PISP) : ce sont les services qui permettent de faire un virement sans entrer ses coordonnées bancaires comme SlimPay, Soforbanking, etc.

Quelles sont les opérations concernées par l’authentification forte ?

La DSP2 oblige à utiliser l’authentification forte pour les actions suivantes :

• la connexion à son compte de paiement en ligne ;
• la validation d’une transaction de paiement électronique qu’il s’agisse d’un paiement par carte ou d’un virement ;
• l’exécution d’une tâche risquée passant par une communication à distance comme l’enregistrement d’un nouveau bénéficiaire de virement sur son compte en banque.

Quelles sont les opérations non soumises à la DSP2 ?

Parmi les opérations qui ne tombent pas sous le joug de la DSP2, on peut mentionner :

• les paiements à distance inférieurs à 30 euros (jusqu’à 100 euros de paiement cumulé ou cinq opérations sans authentification forte) ;
• les paiements sans contact inférieurs à 50 euros (jusqu’à 150 euros de paiement cumulé ou cinq opérations sans authentification forte) ;
• les paiements initiés en direction d’un tiers de confiance expressément signalé comme tel par l’initiateur de la transaction (liste blanche) ;
• les paiements récurrents type abonnements ou loyer ;
• les opérations affichant un niveau de risque peu élevé par rapport à l’activité enregistrée par tel commerçant ;
• la consultation d’un compte courant à condition que la procédure d’authentification forte ait été réalisée dans les 90 jours ;
• les paiements au parking et aux barrières de péage d’autoroutes ;
• les virements entre deux comptes d’une même personne hébergés dans un même établissement bancaire ;
• les transactions MOTO (Mail Orders et telephone Orders) qui ne sont pas qualifiées comme des paiements électroniques ;
• les paiements par cartes d’affaires professionnelles ;
• les opérations impliquant un émetteur ou un acheteur localisé hors Europe.

Qu’apporte la DSP2 aux droits des consommateurs ?

Le renforcement des droits des consommateurs est un autre volet de la direction européenne sur les paiements. On peut mentionner :

• la baisse du montant de franchise à verser avant opposition (de 150 euros à 50 euros) en cas d’utilisation frauduleuse d’une carte bancaire suite à un vol ou à une perte avec validation du code confidentiel ;
• le raccourcissement des délais de remboursement (voire leur effacement) ;
• l’interdiction de surfacturer les paiements par carte de crédit ;

On peut également noter la possibilité de faire du cashback en magasin physique, puisque la DSP2 permet le traçage des paiements depuis l’enseigne concernée et le point de vente.

Quel est le calendrier de la DSP2 ?

L’application de la directive européenne chamboule un secteur des paiements en ligne bien rôdé. L’e-commerce est attentif à fluidifier au maximum le parcours d’achat de sa clientèle sur leur site. Or, le paiement est un moment critique où la moindre friction peut tout faire échouer. C’est ce risque encouru que dénoncent les e-commerçants avec l’application de la DSP2 qui ajoute une étape dans ce parcours. D’où une ère de transition et de test.

Toutefois, face aux doutes exprimés et aux différents bugs constatés, la Banque de France a décidé de reporter la date butoir préalablement fixée au 31 décembre 2020. Le processus a adopté une nouvelle phase de bilan d’une durée de trois mois. L’entrée en vigueur était alors établie pour le 01 avril 2021. Or, l’impact de la pandémie a changé la donne.

La Banque de France joue la carte de la compréhension et de la souplesse en reportant une fois encore au 30 juin 2021 l’application de la DSP2. Mais, au-delà, et sauf nouveau retournement de situation, les acteurs en ligne doivent se conformer. S’ils ne le font pas, les opérations sont rejetées au risque de perdre des clients en route.

Des banques déjà conformes

Les banques ont déjà mis leur dispositif en ordre de bataille et ont prévenu leurs clients de l’évolution de l’authentification des paiements en ligne. Ainsi, ces prestations sont baptisées Certicode Plus pour La Banque Postale, Sécuripass du côté du Crédit Agricole ou Confirmation Mobile chez le Crédit Mutuel.

Le principe est identique : la banque transmet une notification sur le mobile du client qui se substitue à l’ancien code SMS. Le client doit au préalable désigner son appareil comme digne de confiance.

La notification permet la connexion à l’application mobile bancaire, tandis que le code secret ou la reconnaissance biométrique (Face ID, Touch ID, etc.) sert à l’authentification. En combinant ces deux éléments, l’authentification forte est respectée et le paiement validé.

DSP2 : et si je n’ai pas de smartphone ?

Les personnes dont le téléphone mobile n’intègre pas de dispositifs biométriques d’authentification peuvent demander un boitier à connecter à leur mobile. Ce lecteur d’empreintes digitales pallie ainsi cette carence.

Et pour les personnes qui n’ont pas de mobile ou qui ne veulent pas télécharger l’application mobile de leur banque ? Les banques proposent des solutions alternatives à l’instar du Crédit Mutuel qui fournit un lecteur Digipass à partir de 29 euros (à la souscription).

Son fonctionnement est simple : afficher un code unique à huit chiffres après avoir scanné un QR Code à l’écran au moment de payer en ligne. L’utilisateur n’a plus qu’à taper le code pour authentifier et valider la transaction.

Enfin, d’autres établissements bancaires proposent comme autre solution le code SMS-OTP. Ces banques transmettent toujours un code SMS à usage unique ou par le biais d’un serveur vocal. C’est la 3D-Secure v2 qui combine le précédent code usage unique fourni avec un code fixe délivré par la banque tel que le code d’accès à l’espace personnel en ligne.

Qu’arrive-t-il en cas de fraude en l’absence d’authentification forte ?

Si le tiers de paiement ou la banque ne vérifie pas le paiement en appliquant les règles de la DSP2, la faute leur incombe. Le client n’est pas coupable en cas de fraude et de débit du compte suite à une opération non vérifiée.

Que faut-il faire ? La victime signale la fraude dès qu’il en a connaissance à sa banque ou au TPP. La personne peut le faire jusque 13 mois après la date du débit frauduleux. Le remboursement de la somme est alors immédiat.

Vous avez des questions sur la DSP2 dans votre quotidien ? Professionnel ou client, vous êtes témoin d’opérations invalidées suite à des dysfonctionnements de la procédure d’authentification forte ? Racontez-nous vos expériences ou demandez-nous des précisions !