Retard après retard, la mise en œuvre de la directive européenne DSP2 sur « l'authentification forte » des paiements en ligne est enfin appliquée en France depuis le 15 mai. Désormais, tous les paiements en ligne de plus de 30 euros devront faire systématiquement l'objet d'une authentification à « au moins deux facteurs ».
Terminé donc le simple SMS envoyé sur le téléphone mobile pour valider une transaction. Il faut désormais soit un SMS associé à un code personnel (ou une identification biométrique), soit une transaction effectuée à partir de l'espace personnel de l'application bancaire mobile.
Les banques avaient jusqu'à fin décembre 2020 pour embarquer au moins 80% de leurs clients dans ce nouveau dispositif de sécurité, mais crise sanitaire oblige, elles ont obtenu un nouveau délai jusqu'au 15 mai.
Le second volet de l'application de la DSP2, transparent pour les clients, concerne les infrastructures de paiement avec la mise en place du nouveau protocole de sécurité, baptisé 3D-Secure 2.0, pour tous les achats en ligne. L'été dernier, la Banque de France avait, poliment mais fermement, pointé le retard pris par les banques dans le déploiement de ce nouveau protocole. D'autant que la Commission européenne avait refusé, l'an dernier, tout nouveau délai, après avoir déjà accepté de repousser l'échéance d'un an.
Réduire le taux de fraude en ligne
La DSP2 impose en effet que ce soit l'émetteur de la carte (la banque du porteur) qui gère la décision d'authentifier une transaction en ligne, et non plus le commerçant lui-même, en fonction de sa propre analyse du risque. L'objectif est de réduire le taux de fraude sur le commerce en ligne, qui est environ trois fois plus élevé que le taux de fraude (très faible, de l'ordre de 0,05%) constaté en magasin.
Ce basculement inquiète les e-commerçants qui redoutent une explosion des transactions inachevées par des clients mal informés ou trop habitués au SMS. Le paiement depuis l'application bancaire peut également poser un problème en gênant le retour vers le site marchand une fois le paiement effectué, privant ainsi le marchand de l'opportunité d'un second achat. Plus globalement, ces nouvelles mesures d'authentification viennent contrecarrer les efforts des prestataires de paiement et des marchands d'offrir des modes de paiement avec le moins de « frictions » possibles (frictionless payment).
Comme le rappelle la Fédération bancaire française (FBF) dans un communiqué, les banques mettront progressivement cette authentification forte sur une durée de 4 semaines, à partir du 15 mai, pour laisser aux commerçants (et aux clients) le temps de s'adapter. Mais, passé ce délai, les banques sont en droit de refuser une transaction en ligne.
Les e-commerçants pourront également demander des exemptions pour les transactions de moins de 30 euros ou celles « jugées peu risquées par la banque et/ou le commerçant ». Une tolérance bien encadrée car limitée à un plafond de 150 euros.
L'authentification forte entre en vigueur pour les paiements en ligne - La Tribune
Read More
No comments:
Post a Comment