La DSP2 est l’acronyme pour Directive Européenne sur les Services de Paiement. Son objectif consiste à consolider la sécurité des paiements en ligne. Cette SCA en anglais (Strong Customer Authentication) doit sécuriser la communication entre les banques et les TPP (Third Party Providers).
La réglementation vise aussi à renforcer les droits des consommateurs et donc à obliger l’authentification forte lors de la consultation de comptes et de réalisation d’opérations. Ce sont donc des contraintes techniques qui inquiètent les e-commerçants soucieux de réduire au maximum les points de friction sur le parcours client.
Cependant, devant les bugs lors des tests de migration en 2020, les autorités ont repoussé l’application généralisée de la DSP2 au 30 juin 2021. Observons l’impact pour les détenteurs de cartes bancaires en revenant sur les principes de cette directive européenne.
La DSP2 est la transposition en France de la direction européenne 2015/2366 dite des services de paiement dans le marché intérieur. Son entrée en vigueur remonte au 13 janvier 2018 mais plusieurs dispositions ne sont effectives qu’au fil des années suivantes.
Le cadre réglementaire vient encadrer et réguler l’activité de nouveaux venus dans la sphère bancaire : les tiers de paiement (ou bien appelés PSP : Prestataire de Services de Paiement). Cette deuxième directive inclut ces PSP dans l’adoption obligation du système d’authentification forte des paiements en ligne.
Qu’est-ce que l’authentification ? L’authentification concerne la procédure de vérification et de validation de l’identité d’une personne ou d’une entité, au moment d’un échange électronique, afin d’avoir le contrôle d’accès à un réseau, logiciel ou système informatique.
L’authentification forte est une procédure qui renforce la sécurité des paiements en ligne ou l’accès à un espace en ligne personnel. Son objectif est d’éviter les fraudes en permettant de bien vérifier l’identité de la personne à l’initiation d’une transaction en ligne.
Le fonctionnement de l’authentification forte consiste à valider l’opération ou la connexion en combinant deux des trois éléments suivants :
Cette réglementation rend caduque le système 3D-Secure qui fonctionne uniquement par l’envoi d’un code sms. Le système est considéré comme non optimisé en matière de sécurité, d’où la volonté de rajouter une couche supplémentaire d’authentification.
Les étapes de validation d'un paiement en ligne avec authentification forte :
Un Third Party Providers (ou bien en français "PSP": Prestataire de Services de Paiement) est un acteur intervenant dans le cadre d’une transaction en ligne.
On trouve deux groupes de PSP :
La DSP2 oblige à utiliser l’authentification forte pour les actions suivantes :
Parmi les opérations qui ne tombent pas sous le joug de la DSP2, on peut mentionner :
Le renforcement des droits des consommateurs est un autre volet de la direction européenne sur les paiements. On peut mentionner :
On peut également noter la possibilité de faire du cashback en magasin physique, puisque la DSP2 permet le traçage des paiements depuis l’enseigne concernée et le point de vente.
L’application de la directive européenne chamboule un secteur des paiements en ligne bien rôdé. L’e-commerce est attentif à fluidifier au maximum le parcours d’achat de sa clientèle sur leur site. Or, le paiement est un moment critique où la moindre friction peut tout faire échouer. C’est ce risque encouru que dénoncent les e-commerçants avec l’application de la DSP2 qui ajoute une étape dans ce parcours. D’où une ère de transition et de test.
Toutefois, face aux doutes exprimés et aux différents bugs constatés, la Banque de France a décidé de reporter la date butoir préalablement fixée au 31 décembre 2020. Le processus a adopté une nouvelle phase de bilan d’une durée de trois mois. L’entrée en vigueur était alors établie pour le 01 avril 2021. Or, l’impact de la pandémie a changé la donne.
La Banque de France joue la carte de la compréhension et de la souplesse en reportant une fois encore au 30 juin 2021 l’application de la DSP2. Mais, au-delà, et sauf nouveau retournement de situation, les acteurs en ligne doivent se conformer. S’ils ne le font pas, les opérations sont rejetées au risque de perdre des clients en route.
Les banques ont déjà mis leur dispositif en ordre de bataille et ont prévenu leurs clients de l’évolution de l’authentification des paiements en ligne. Ainsi, ces prestations sont baptisées Certicode Plus pour La Banque Postale, Sécuripass du côté du Crédit Agricole ou Confirmation Mobile chez le Crédit Mutuel.
Le principe est identique : la banque transmet une notification sur le mobile du client qui se substitue à l’ancien code SMS. Le client doit au préalable désigner son appareil comme digne de confiance.
La notification permet la connexion à l’application mobile bancaire, tandis que le code secret ou la reconnaissance biométrique (Face ID, Touch ID, etc.) sert à l’authentification. En combinant ces deux éléments, l’authentification forte est respectée et le paiement validé.
Les personnes dont le téléphone mobile n’intègre pas de dispositifs biométriques d’authentification peuvent demander un boitier à connecter à leur mobile. Ce lecteur d’empreintes digitales pallie ainsi cette carence.
Et pour les personnes qui n’ont pas de mobile ou qui ne veulent pas télécharger l’application mobile de leur banque ? Les banques proposent des solutions alternatives à l’instar du Crédit Mutuel qui fournit un lecteur Digipass à partir de 29 euros (à la souscription).
Son fonctionnement est simple : afficher un code unique à huit chiffres après avoir scanné un QR Code à l’écran au moment de payer en ligne. L’utilisateur n’a plus qu’à taper le code pour authentifier et valider la transaction.
Enfin, d’autres établissements bancaires proposent comme autre solution le code SMS-OTP. Ces banques transmettent toujours un code SMS à usage unique ou par le biais d’un serveur vocal. C’est la 3D-Secure v2 qui combine le précédent code usage unique fourni avec un code fixe délivré par la banque tel que le code d’accès à l’espace personnel en ligne.
Si le tiers de paiement ou la banque ne vérifie pas le paiement en appliquant les règles de la DSP2, la faute leur incombe. Le client n’est pas coupable en cas de fraude et de débit du compte suite à une opération non vérifiée.
Que faut-il faire ? La victime signale la fraude dès qu’il en a connaissance à sa banque ou au TPP. La personne peut le faire jusque 13 mois après la date du débit frauduleux. Le remboursement de la somme est alors immédiat.
Vous avez des questions sur la DSP2 dans votre quotidien ? Professionnel ou client, vous êtes témoin d’opérations invalidées suite à des dysfonctionnements de la procédure d’authentification forte ? Racontez-nous vos expériences ou demandez-nous des précisions !
6 commentaires sur "Qu'est-ce que l'authentification forte ou DSP2 ?"
Bonjour
Depuis le 15 mai 2021, la DSP2 rend obligatoire l'« authentification forte » par les banques. Elle vise à renforcer la sécurité des paiements en ligne ainsi que l'accès aux comptes bancaires en ligne. Sur un paiement et sans DSP2, les banques rejetent toute transaction non conforme, sauf si le commerçant a bénéficié d'une exemption d'authentification forte.
Dans votre cas, la Caisse d'Épargne doit vous apporter des preuves écrites de cette authentification forte (date, heure, quel portable, par sms, via l'appli de la Caisse d'Epargne ?...). Pour plus d'accompagnement, il existe la plateforme Info Escroqueries (ministère de l'Intérieur) ouverte du lundi au vendredi, de 9h à 18h30 : 0 805 805 817 (appel et service gratuits). Ensuite, si rien ne change dans votre dossier, il est possible de faire une réclamation à votre banque pouvant déboucher jusqu'à un recours au médiateur bancaire.
Bon courage,