DSP2 : le déploiement de l’authentification forte prend du retard

Entrée en vigueur le 14 septembre 2019, la directive européenne sur les services de paiement DSP2 est encore loin d’être appliquée dans les faits. L’obligation d’authentifier fortement (SCA) tous les paiements électroniques a été repoussée : l’ACPR et la Banque de France ont accordé un délai aux établissements financiers, en leur laissant jusqu’à fin décembre 2020 pour enrôler 80% de leurs clients sur un mécanisme d’authentification forte puis la totalité en trois ans, d’ici à 2022. La migration de toute la chaîne du paiement (des schemes aux banques en passant par les prestataires de services de paiement et e-commerçants) vers de nouvelles infrastructures 3D-Secure 2.0, nécessaires pour s’adapter aux nouvelles règles de la DSP2, doit s’étaler sur une période de 18 mois, ouverte à l’été 2019  (lire notre dossier publié le 1er octobre 2019 à ce sujet).

Évolution de l’infrastructure 3DS

Cette étape est nécessaire car la DSP2 opère un basculement dans la responsabilité : alors que, jusqu’ici, le commerçant décidait de déclencher ou non une authentification forte selon ses propres critères, il revient désormais à la banque émettrice de s’en charger. L’infrastructure 3DS binaire sur laquelle échangeaient jusqu’ici commerçants et banques n’est pas capable de gérer le nouveau cadre DSP2. D’abord, parce qu’elle est à la main du commerçant, et ensuite, parce que les informations envoyées par le commerçant à la banque sont actuellement limitées alors que la banque aura désormais besoin de bien plus de données pour évaluer le risque du client.

Élaboré par les banques, schemes et e-commerçants et présenté à la Banque de France, le plan relatif à l’évolution du socle technique de place prévoit une disparition d’ici à mars 2021 des transactions n’ayant pas été authentifiées fortement (hormis les demandes d’exemption). Il introduit aussi une situation intermédiaire effective depuis avril 2020, permettant aux acteurs de communiquer de façon enrichie et aux banques de réaliser des “soft declines” lors d’une transaction sans demande d’authentification forte par le commerçant sur un montant supérieur à 500 euros ou si le commerçant présente un taux de fraude élevé. Il ne s’agit alors pas d’un refus pur et simple mais d’un refus avec un mécanisme d’information du e-commerçant lui permettant de soumettre à nouveau la transaction avec authentification forte, ce qui n’était pas possible auparavant. Ce protocole intermédiaire 3DS 2.1 prévoit donc de demander une exemption, sans toutefois pouvoir la justifier, tandis que le protocole 3DS 2.2 permettra au marchand de la justifier.

Retard lié au coronavirus

Mais le marché sera-t-il vraiment prêt à la date prévue pour la mise en oeuvre complète de l’authentification forte ? “La crise du coronavirus a ralenti les travaux et les PSP, marchands, acquéreurs et émetteurs demandent un report auprès de l’EBA et de la Commission européenne”, indique Nicolas Engel, directeur chez Cybersource, solution de lutte contre la fraude pour les e-commerçants. Au Royaume-Uni, le régulateur (FCA) a quant à lui décidé de repousser de six mois la généralisation de l’authentification forte, au 14 septembre 2021 – soit deux ans de décalage par rapport à la date initiale.

Concernant l’enrôlement des clients des banques sur des solutions d’authentification forte, les déploiements sont bien en cours. L’authentification forte nécessite de passer par au moins deux des trois méthodes suivantes : connaissance (comme un mot de passe ou code PIN), possession (comme un smartphone ou token), caractéristique personnelle (facteurs biométriques comme l’empreinte digitale, par exemple). “La situation de départ était très disparate entre les établissements bancaires, commente Marc Giordanengo, partner chez Ailancy, qui anime le groupe de travail de l’Afepame (Association française des établissement de paiement et de monnaie électronique) sur la DSP2. Par exemple, Société Générale a commencé la migration vers le Pass Sécurité depuis plusieurs années déjà. Mais d’autres banques ne sont pas aussi avancées sur l’intégration de la fonctionnalité et sur l’accompagnement des clients.” Selon lui, le déploiement a aussi été repoussé car les APIs devant permettre, dans le cadre de la DSP2 également, de donner l’accès aux données de transactions des clients à des acteurs tiers, n’étaient pas finalisées. “De ce fait, les banques ne pouvaient pas généraliser l’authentification forte. Cela aurait bloqué les TPPs tentant de se connecter alors que la DSP2 demande de garantir leur continuité d’activité.” Il assure que toutes les banques sont désormais en phase de généralisation mais que toutes n’atteindront probablement pas les 80% de clients enrôlés d’ici la fin de l’année, selon leur profil et type de clientèle.

Soft decline : une part encore très faible des volumes

Les authentifications fortes représentent actuellement environ 20 % à 30 % des transactions e-commerce. L’objectif de la mise en place du soft decline est d’assurer une montée en charge progressive, pour s’assurer que les serveurs tiennent le coup. Le soft decline, qui devait être possible dès avril 2020, a bien été lancé… mais sur des volumes extrêmement faibles. “Neuf émetteurs le testent en France, dont BNP Paribas ou le Crédit Agricole par exemple”, indique Nicolas Engel. Cela ne représenterait encore que quelques centaines de transactions par jour en moyenne, destinées à tester les serveurs techniques, soit moins de 0,05% du volume total de transactions. “Quelques e-commerçants testent les protocoles 3DS 2.1 mais il y a encore des points à améliorer comme les temps de réponse et des problèmes sont rencontrés sur certains navigateurs”, ajoute Nicolas Engel. Marc Giordanengo renchérit : “les tests de migration ne sont pas forcément concluants car cela complexifie l’UX, avec un impact négatif sur les taux de conversion”. Le consultant s’inquiète de l’impact de la migration sur les plus petits commerçants, car “les banques vont probablement se concentrer sur la fluidification des parcours des plus gros commerçants”. 

Valdis Dombrovskis s’oppose à un nouveau report

Le report réclamé en raison de la crise pourrait ne pas être accordé. Selon nos informations, le vice-président de la Commission européenne Valdis Dombrovskis s’est en effet prononcé contre la demande de report de la migration SCA d’au moins six mois par les acteurs du marché. Dans un courrier daté du 12 juin et adressé aux organisations européennes de commerçants eCommerce Europe, EuroCommerce et Independent Retail Europe, que mind Fintech a pu consulter, le vice-président répond que “les règles sur l’authentification forte de la DSP2 étaient connues du marché depuis au moins novembre 2017 et ont été clarifiées à de multiples reprises par l’EBA (Autorité Bancaire européenne)”. Il ajoute que le délai accordé jusqu’au 31 décembre 2020 était déjà “une exception sans précédent” décidée “face à l’impréparation de l’écosystème e-commerce”. “Ma compréhension est que l’EBA n’a aucune intention d’allonger le délai, considérant que l’industrie a eu assez de temps pour se mettre en conformité (…). Nous devrions tous nous préparer pour une introduction complète [des règles européennes sur l’authentification forte] le 1er janvier 2021”, conclut-il. La Banque de France devrait s’exprimer sur le sujet dans les semaines à venir.