.png)
La sécurité des transferts d’argent est une préoccupation constante pour les prestataires de services financiers, autant que pour leurs clients. Au fil des années, de nombreux protocoles et dispositifs visant à protéger les usagers de l’usurpation et du piratage ont vu le jour. Et invariablement, avec l’avènement de nouvelles technologies et moyens de paiement, les mesures de sécurité ont été mises à jour. Aujourd’hui, le dispositif de l’authentification forte DSP2 est l’une des solutions les plus efficaces. Un mécanisme grâce auquel vous pouvez protéger vos clients contre la fraude et les rassurer quant à la sécurité de vos transactions.
L’authentification forte est l’une des nouveautés introduites par la Directive sur les services de paiements votée en 2015 par le Parlement Européen. Entrée en vigueur en 2019 et appliquée depuis mai 2021, c’est un ensemble de règles qui visent à harmoniser les paiements en ligne en Europe, afin de mieux protéger les consommateurs.
Parmi les mesures de la Directive sur les services de paiements (DSP2), l’authentification forte apporte de nouvelles protections contre la fraude pour toutes les transactions d’une valeur de plus de 30 euros. En vertu de l’authentification forte DSP2, les services bancaires sont désormais censés vérifier l’identité de la personne qui demande l’accès à un compte ou procède à un paiement, avant de l’autoriser. Notons que l’authentification forte peut également être demandée pour le simple accès à l’espace client de votre banque. Cette authentification devra être répétée au moins tous les 90 jours.
En termes simples, l’authentification forte consiste à demander une vérification additionnelle par un canal différent pour chaque opération bancaire. C’est-à-dire que le prestataire de service de paiement pourra envoyer une demande de confirmation par le biais d’une application mobile, par SMS ou par tout autre moyen de confiance avant de valider une transaction.
Notons cependant que certains critères doivent absolument être respectés pour l’authentification forte DSP2 :
Connaissance: la confirmation peut consister en une information que seul le titulaire du compte et les personnes autorisées connaissent. Il peut s’agir d’un code PIN, d’un mot de passe ou d’une réponse secrète, par exemple.
Possession: dans ce cas, la vérification se fait en envoyant un signal à un périphérique qui est censé être en possession du titulaire du compte ou d’une personne autorisée. On pense notamment à un smartphone, un ordinateur portable, etc.
Inhérence: ici, la confirmation se fait en validant une donnée biométrique qui est indissociable de l’identité du titulaire du compte. Typiquement, les données biométriques reconnues sont les empreintes digitales, l’empreinte rétinienne, la voix et la reconnaissance faciale.
Pour parler d’authentification forte au sens de la DSP2, il faudra qu’au moins deux des critères soient pris en compte dans la méthode d’authentification du prestataire de service. En somme, c’est une approche à facettes multiples de l’authentification.
L’authentification forte et la DSP2 de manière plus générale ont pour vocation d’améliorer la sécurité des transactions dans l’Union Européenne. Ainsi, les transactions réalisées à distance, et en particulier d’un pays à un autre, sont moins sujettes aux risques de fraude. Depuis l’entrée en vigueur de cette directive, le taux de la fraude relative aux paiements par carte a considérablement diminué pour atteindre les niveaux historiques les plus bas ; soit 0,028 % dès 2021.
En somme, l’authentification forte est une mesure de sécurité précieuse pour l’e-commerce en Europe. C’est la garantie d’une meilleure protection pour les consommateurs et les entrepreneurs. Autrement dit, un moyen pratique de rassurer votre clientèle et d’opérer en toute sécurité sur les marchés numériques européens.
En effet, les consommateurs associent aujourd’hui cette étape de vérification à un gage de sécurité. L’authentification forte devient alors un élément important pour le succès des ventes en ligne.
L’authentification forte DSP2 se fait par le biais d’un appareil en possession du titulaire du compte, d’une donnée biométrique personnelle ou d’une information que seul le titulaire ou une personne autorisée est censée détenir.
L’authentification forte à l’aide d’une application mobile peut se faire de diverses manières. Pour des raisons de sécurité, il s’agit généralement d’une application mobile fournie par le prestataire de services de paiement. Avec cette méthode, le paiement en ligne ou l’accès au compte n’est autorisé que lorsque l’utilisateur confirme l’opération depuis l’application mobile spécifique.
En optant pour une authentification forte par SMS ou code personnel, la confirmation des paiements impose à l’utilisateur d’entrer une combinaison de chiffres et de lettres. Lorsque c’est un code personnel, la combinaison est définie et l’avance qui sera demandée au moment de valider la transaction. Cependant, dans le cas d’un code SMS, il est émis par le service de paiement et envoyé sur le numéro de téléphone associé au titulaire du compte. Ce n’est qu’après avoir inscrit la combinaison reçue par SMS que la transaction est validée. Notons que certains services de paiement peuvent utiliser les deux types de codes simultanément.
Les appareils physiques pouvant être utilisés pour l’authentification forte sont variés. Il peut s’agir de votre téléphone portable, d’une montre connectée, d’un ordinateur ou même d’un périphérique fourni par votre banque comme une clé de sécurité FIDO ou un lecteur de QR Code, par exemple. Pendant l’étape de vérification, l’utilisateur devra alors utiliser le périphérique « de confiance » ou l’introduire dans le terminal électronique depuis lequel il a initié la transaction.
Précisons que l’un des dispositifs d’authentification forte les plus répandus aujourd’hui est le protocole 3DS2 (3D Secure 2). C’est un standard déjà adopté par la plupart des prestataires de paiement comme Visa, MasterCard, American Express, Discover, JCB et UnionPay. C’est un standard qui garantit une interopérabilité remarquable pour tous les prestataires de service de par le monde.
Avec ce standard, ce sont plus d’une centaine de données qui sont échangées entre les services de paiement et les marchands afin de garantir l’authenticité des opérations. De plus, le protocole 3DS2 est conforme aux exigences de la DSP2, car il prévoit l’utilisation des données biométriques, des codes à usage unique et des applications mobiles pour la vérification d’identité de l’utilisateur.
La Directive sur les services de paiements a été votée par le Parlement Européen. Le texte s’applique donc dans tous les pays de l’Union Européenne, mais aussi à tous les prestataires de services et les services de paiement en ligne dans l’Espace économique européen. C’est-à-dire que l’authentification forte est applicable dans les 27 pays membres de l’Union Européenne en plus de la Norvège, du Liechtenstein et de l’Islande.
Sur le continent européen, la notable exception à l’obligation légale d’adopter la DSP2 est la Suisse qui ne fait partie ni de l’Union Européenne, ni de l’Espace économique européen. Il n’est toutefois pas exclu que des dispositifs similaires à la DSP2 soient adoptés dans la législation suisse, compte tenu de leur importance pour la fluidité des transactions en ligne.
En savoir plus: Optimiser la stratégie de l'authentification forte
Pour les entreprises qui opèrent dans l’espace européen, adhérer à l’authentification forte est devenu un impératif. En plus de protéger les consommateurs, c’est crucial pour les commerçants qui souhaitent protéger leur réputation en ligne.
Cependant, adopter les dispositifs d’authentification forte implique de trouver le bon équilibre entre sécurité et fluidité des transactions. Des mesures de sécurité trop rigides qui introduisent une trop forte friction entraîneront plus d’abandons de paniers.
Avec Checkout.com, vous avez un partenaire qui vous propose une solution d’authentification forte DSP2 flexible. Profitez d’une implémentation aisée, d’une évaluation des risques efficace et de solutions de paiement qui supportent votre stratégie commerciale.
Apprenez-en plus sur la sécurité des transactions avec Checkout.com et comment vous pouvez l’adopter en tant que solution autonome ou plateforme de paiement tout-en-un.
.jpg)
.jpg)
