Strong Customer Authentication (SCA) : norme européenne pour des transactions de paiement sécurisées

Depuis septembre 2019, il y a de nouvelles normes concernant l’authentification des paiements en ligne dans l’Union européenne (UE) et dans les États de l’Espace économique européen (EEE). Elles font partie de la deuxième Directive sur les services de paiement, également connue officiellement sous le nom de DSP2 (Directive sur les services de paiement 2). La mise en œuvre de toutes les normes devrait finir en 2021.

Un élément important de la deuxième Directive européenne sur les services de paiement est l’authentification forte des clients (Strong Customer Authentication ou SCA en abrégé), également appelée « DSP2-SCA ». Cet article examine de plus près les normes de la « Strong Customer Authentication » : derrière elle se cache toute une série de normes juridiques qui ont pour but de rendre les paiements sur Internet plus sûrs.

Qu’est-ce que la SCA et quelle sera son importance lors des paiements futurs ? Quels sont les paiements déjà concernés par la Directive, quelles sont les exceptions et comment le processus de paiement peut-il être optimisé ? Ces questions seront traitées en détail dans les prochains paragraphes.

Qu’est-ce que la SCA et quel est son intérêt pour les paiements futurs ? En bref, l’authentification forte des clients, ou Strong Customer Authentication, fait partie d’une nouvelle Directive européenne qui vise à rendre les paiements en ligne plus sûrs en réduisant les possibilités de fraude. Sa principale innovation est une étape d’authentification supplémentaire qui précède le paiement proprement dit.

Conformément à la Directive DSP2-SCA, les paiements en ligne ne seront authentifiés que si deux des trois étapes suivantes sont respectées :

1. Connaissance : l’utilisateur fournit un mot de passe ou un code PIN qu’il est le seul à connaître
2. Possession : l’utilisateur utilise un ordinateur, un smartphone, une montre ou une Smartcard, une carte à puce ou un jeton d’authentification en sa possession
3. Inhérence : l’utilisateur s’identifie par ses empreintes digitales, un scanner d’iris ou de visage, la reconnaissance vocale, etc.

Strong Customer Authentication décrit une authentification dite à deux facteurs, qui garantit à deux reprises que l’utilisateur est réellement celui qu’il prétend être.

Le principe existe depuis longtemps dans de nombreux domaines en ligne, mais cette norme de sécurité supplémentaire n’était pas encore obligatoire pour les transactions en ligne. Il suffisait aux client de simplement saisir leurs coordonnées bancaires lors d’un achat pour le compléter. Bien que certaines entreprises aient introduit l’authentification forte des clients depuis un certain temps, la DSP2-SCA vient seulement de rendre cette étape supplémentaire obligatoire pour tous les fournisseurs.

La deuxième Directive européenne sur les paiements a déjà été introduite le 14 septembre 2019. Cependant, la date limite pour la mise en œuvre complète de toutes les exigences est en 2021. Mais l’histoire de l’authentification forte des clients remonte à plus loin encore.

La Directive européenne s’appuie sur trois domaines clés de la législation de 2007. À l’époque, tout comme aujourd’hui, l’Union européenne traitait de ces problématiques :

1. Renforcer les droits des consommateurs dans les opérations de paiement
2. Créer des conditions égales pour tous en réglementant l’accès des tiers aux informations sur les comptes.
3. Améliorer la sécurité pour l’ensemble des parties

Ces aspects ont été intégrés dans la première édition de la Directive sur les services de paiement (DSP). Toutefois, depuis son introduction, les progrès technologiques dans les opérations de paiement ont continué à se développer à un rythme effréné : le nombre de services de paiement en ligne et de fournisseurs tiers (ou TPP pour Third-Party-Providers), a également augmenté, offrant aux acheteurs des moyens entièrement nouveaux de payer facilement et rapidement. De plus, cela a permis aux vendeurs d’accéder aux informations personnelles sur les comptes des clients.

Toutefois, cela a également laissé l’accès aux comptes des consommateurs ouvert, entraînant un risque accru pour la sécurité. La réponse a rapidement pris la forme de lois claires réglementant les modalités d’accès des TPP et des prestataires de services de paiement aux comptes des clients.

Strong Customer Authentication est désormais la prochaine étape pour réduire la fraude dans les transactions en ligne. Cette technologie sera utilisée pour toutes les transactions financières effectuées dans l’UE. La loi prend effet dès que le prestataire de services de paiement de l’entreprise, la banque ou le fournisseur de cartes du donneur d’ordre est basé dans l’Espace économique européen (EEE). Ainsi, même pour les entreprises en ligne dont le siège social est situé hors Europe, les transactions peuvent être soumises à une authentification forte du client, à condition que le paiement soit effectué par une banque de l’Espace économique européen, par exemple.

Il s’agit d’une loi européenne qui affecte également les prestataires basés en dehors de l’EEE : c’est pourquoi les nouvelles exigences en matière d’authentification des paiements en ligne sont si complexes à mettre en place. Les prestataires de services de paiement ont donc déjà demandé à plusieurs reprises un délai dans la mise en œuvre de la DSP2-SCA. Il n’y a à l’heure actuelle aucun échéancier concret.

3D Secure est le protocole d’authentification le plus largement utilisé pour les paiements en ligne. Il est proposé par la grande majorité des cartes de débit et de crédit européennes et est donc le plus populaire. Immédiatement avant la fin du processus de paiement, le titulaire de la carte est invité à fournir des informations supplémentaires comme la saisie d’un numéro d’identification personnel (TAN) envoyé à un téléphone portable ou d’une empreinte digitale via l’application bancaire.

Pour la Strong Customer Authentication, la nouvelle version 3D Secure 2 est utilisée, ce qui fait d’elle la principale méthode officielle d’authentification des paiements par carte en ligne. Les améliorations de la nouvelle version sont principalement destinées à l’expérience de l’utilisateur. Les paiements en ligne sont donc assez faciles et rapides à effectuer, malgré les étapes d’authentification supplémentaires.

Ceux qui paient avec Apple Pay ou Google Pay utilisent déjà une option de paiement en ligne avec une étape d’authentification intégrée. Les deux fournisseurs ont déjà mis en place des mesures biométriques et protections par mot de passe, mais le processus de paiement est transparent pour les clients, un exemple parfait de la technologie qui sous-tend la DSP2-SCA.

DSP2-SCA s’applique à chaque fois qu’un client transfère de l’argent ou accède à son compte dans l’Espace économique européen. Strong Customer Authentication est donc toujours obligatoire quand :

• un client accède à son compte en ligne
• un client effectue une opération de paiement électronique
• un client est exposé à un risque de fraude lors d’une transaction en ligne

Comme pour toute loi, il existe des exceptions comme lors du paiement d’un abonnement. Dans ce cas, l’authentification forte n’a lieu que lorsqu’un abonnement est accepté, mais plus pendant la durée de celui-ci. Parmi les autres exceptions possibles, on peut citer les paiements à faible risque pour lesquels une authentification forte du client n’est pas nécessaire ou peut même être dérangeante.

Des seuils existent également pour les transferts de petits montants. Par exemple, les transactions d’une valeur maximale de 30 euros sont considérées comme des paiements de « faible valeur », qui peuvent en principe être exemptés de la DSP2-SCA. Toutefois, afin de ne pas permettre une accumulation des fraudes, il existe déjà des règles claires pour les montants de faible valeur :

1. Les banques doivent également procéder à une authentification forte du client pour une carte dans le cas d’exceptions si la carte a déjà été utilisée cinq fois auparavant sans nouvelle authentification.
2. Si la somme des transactions exemptées dépasse 100 euros, Strong Customer Authentication s’applique à la transaction suivante, quel que soit le montant de la transaction.

Les exemptions seront très utiles, en particulier pour les petites entreprises en ligne. Toutefois, il faut rappeler qu’en fin de compte, c’est la banque du client qui décide si ces exemptions sont approuvées ou non. Pour éviter de perdre des clients, il est conseillé de proposer plusieurs options de paiement conformes à la DSP2-SCA aujourd’hui.