Le 14/09/2019, les nouvelles normes techniques réglementaires de la directive sur les services de paiement DSP2 sont entrées en vigueur. Celles-ci ont été définies par l'Autorité Bancaire Européenne et tous les commerçants en ligne européens sont tenus de fournir une meilleure authentification des clients pour les achats en ligne.

Ce que signifie la DSP2 pour tous les commerçants en ligne européens : toutes les transactions de paiement par carte bancaire doivent être sécurisées et il doit être vérifié que l'acheteur est bien le titulaire de la carte. Cette procédure est appelée authentification à 2 facteurs.

Les exigences en matière d'authentification forte des clients (en anglais "Strong-Customer-Authentificaion, SCA") visent à accroître la sécurité des paiements électroniques et donc à se protéger contre la fraude lors des achats en ligne. Pour être en conformité avec la directive sur les services de paiement (DSP2), les banques vont utiliser à partir de septembre 2019 la procédure 3-D Secure pour les paiements par carte bancaire pour assurer une authentification à deux facteurs.

Qu'est-ce que 3-D Secure ?

À partir du 14 septembre 2019, la procédure 3-D Secure va offrir une meilleure protection contre la fraude pour les paiements par carte bancaire lors d'achats en ligne, en utilisant des mesures de sécurité plus fortes. 3-D Secure utilise des fonctions d'identification uniques pour s'assurer que le paiement est effectivement confirmé par le titulaire légitime de la carte.

Outre le numéro de carte et le code de sécurité, un autre élément, par exemple un mot de passe, une empreinte digitale ou un Face-ID (reconnaissance faciale), doit être demandé à l'avenir. Pour ce faire, les consommateurs sont redirigés directement vers la société émettrice de leur carte bancaire et activent le paiement en fournissant l'élément de sécurité supplémentaire : la procédure est semblable à l'authentification à deux facteurs pour le processus de connexion.

Pour les consommateurs, 3-D Secure offre une expérience d'achat plus agréable et plus sûre. Voici comment ils doivent procéder pour payer par carte bancaire pour les achats en ligne :

  • Le client saisit les informations de sa carte bancaire (numéro de carte + code de sécurité) sur le site du commerçant en ligne.
  • Le commerçant achemine le client vers le site Web de la société émettrice de la carte bancaire et le client y fournit l'élément de sécurité supplémentaire. Par exemple : mot de passe, PIN, numéro de transaction ou données biométriques (empreintes digitales, reconnaissance faciale).
  • Le paiement est validé et la transaction a lieu.

Que signifie une authentification client forte ?

Avec l'authentification forte, l'identité est vérifiée en deux "facteurs". Ces facteurs appartiennent à diverses catégories. Une authentification forte doit toujours être faite avec 2 facteurs de catégories différentes.

Les catégories habituelles en ce moment sont :

  • Connaissance : Il peut s'agir d'un mot de passe ou d'un code PIN.
  • Possession : Par exemple, une carte bancaire ou un smartphone.
  • Inhérence (caractéristiques ou comportement) : Il s'agit notamment des empreintes digitales, de la reconnaissance faciale ou des mouvements.

Exemple : La procédure souvent utilisée dans le passé pour sécuriser le numéro de carte avec le code de sécurité au dos de la carte ne correspond pas à la définition d'une authentification forte. En effet, le numéro de carte bancaire et le code de sécurité appartiennent tous deux à la catégorie de possession. En plus du numéro de carte de crédit, par exemple un mot de passe, un code PIN ou une empreinte digitale doit également être utilisé, car ces facteurs font partie de la catégorie connaissance ou inhérence.

L'authentification à deux facteurs n'est pas une procédure nouvelle en soi. Ce qui est nouveau, c'est que dans le cadre de la nouvelle directive, son utilisation est obligatoire pour tous les paiements en ligne.

Y a-t-il des exceptions ?

Oui, la directive sur les services de paiement prévoit certaines exceptions, telles que des exigences de sécurité moins strictes pour les petits montants. La société de carte bancaire décide si une exception est autorisée ou non.