« DSP2 » : QU’EST-CE QUE LA SECONDE DIRECTIVE SUR LES PAIEMENTS ET POURQUOI L'AUTHENTIFICATION FORTE TOUS LES 90 JOURS ?
Cette directive européenne vise à renforcer, d’une façon générale, la protection des clients en cas de fraude en matière de paiement, comme notamment :
- L’obligation pour les banques de donner suite aux réclamations en principe en 15 jours maximum
- La gratuité des recherches réalisées par les banques pour les opérations frauduleuses
- L’abaissement à 50€ maximum de la franchise restant à la charge des clients en cas de perte ou vol d’une carte bancaire et de paiement réalisé avec cette carte perdue ou volée
- La sécurisation des opérations bancaires (paiements notamment) réalisées sur Internet par les clients. Ce renforcement de la sécurité (à titre privé et/ou professionnel) passe par « l’authentification forte », mécanisme permettant de vérifier de façon accrue l’identité de celui qui réalise une opération en ligne.
POURQUOI LA DSP2 ?
L'univers des paiements en ligne connaît une croissance explosive. Cela signifie également que les opportunités pour les fraudeurs se multiplient. La DSP2 vise donc à mettre un frein à cette tendance inquiétante en introduisant des normes de sécurité plus strictes.
Elle vise également à harmoniser la protection des consommateurs à travers l'Union Européenne, assurant ainsi que les citoyens bénéficient des mêmes droits et protections, quelle que soit leur localisation.
ZOOM SUR L’AUTHENTIFICATION FORTE
L’authentification forte consiste à vérifier l’identité du donneur d’ordre par la combinaison d’au moins 2 des 3 critères suivants :
- Critère de « connaissance » : vous détenez une information que vous êtes seul(e) à connaître (mot de passe, code secret, question secrète, …)
- Critère de « possession » : vous utilisez un appareil qui n’appartient qu’à vous (téléphone portable, carte à puce, montre connectée, …)
- Critère « d’inhérence » : vous êtes identifiable grâce à une caractéristique personnelle (reconnaissance faciale, vocale, empreinte digitale, …)
COMMENT FONCTIONNE L'AUTHENTIFICATION FORTE ?
Après avoir initié une transaction ou une action nécessitant une authentification, le système vous demandera de fournir deux des trois critères mentionnés ci-dessus.
Par exemple, si vous essayez de vous connecter à votre banque en ligne, après avoir saisi votre mot de passe (critère de connaissance), vous pourriez également devoir fournir une empreinte digitale (critère d'inhérence).
Cela garantit qu'en cas de compromission d'une de vos informations d'authentification, les fraudeurs ne pourront toujours pas accéder à vos comptes ou effectuer des transactions en votre nom sans l'autre facteur d'authentification.
L’authentification forte est requise dans 3 cas de figure :
- la consultation des comptes en ligne (authentification forte requise au moins tous les 90 jours)
- la réalisation d’un paiement en ligne (sauf exception)
- la réalisation de tout type d’opération en ligne susceptible de comporter un risque de fraude en matière de paiement ou toute autre utilisation frauduleuse
PAIEMENTS CONCERNÉS
Si la DSP2 couvre une vaste gamme de transactions, elle est particulièrement pertinente pour les paiements en ligne. Cela inclut tout, des achats en ligne aux virements bancaires, en passant par la consultation de votre solde bancaire sur une application mobile.
Les retraits au guichet automatique et les paiements par carte en magasin sont moins concernés, car ils utilisent généralement déjà des méthodes d'authentification forte, comme le code PIN.
QUELS CHANGEMENTS POUR LES CLIENTS : COMMENT INSTALLER L'AUTHENTIFICATION FORTE DSP2?
Les banques proposent désormais à leurs clients les moyens d’authentifier leurs opérations conformément à la réglementation.
Pour ce faire, elles ont majoritairement généralisé des solutions d’authentification forte à partir d’application mobile. Concrètement vous recevez une notification sur votre application mobile bancaire, qui vous permet d’authentifier l’opération en cours soit par la saisie d’un code secret défini au préalable (critère de connaissance) soit par votre empreinte digitale ou faciale (selon les possibilités de votre appareil mobile - critère d’inhérence). Le second critère est quant à lui vérifié par l’appareil mobile sur lequel vous réalisez l’authentification (critère de possession).
Autre possibilité proposée par les banques : rajouter un code secret supplémentaire (critère de connaissance) au mécanisme d’authentification déjà existant du code à usage unique (« OTP ») reçu par SMS (critère de possession…de la ligne téléphonique). L’essentiel étant de pouvoir vous authentifier par 2 facteurs différents.
