Accueil > Services bancaires > Paiements > Authentification forte : quel bilan pour l’écosystème financier ?Authentification forte : quel bilan pour l’écosystème financier ?La DSP2 a imposé l’authentification forte de tous les paiements électroniques, obligeant les banques à enrôler leurs clients sur une solution développée à cet effet. En parallèle, le transfert de responsabilité des commerçants aux banques émettrices a nécessité la migration de la chaîne des paiements vers de nouvelles infrastructures. Quatre années plus tard, et alors qu’un premier texte DSP3 vient d’être dévoilé, mind Fintech dresse le bilan de ce chantier titanesque. Par Aude Fredouelle. Publié le 05 juillet 2023 à 18h00 - Mis à jour le 06 juillet 2023 à 15h18 Ressources Alors qu’un premier texte de la troisième directive européenne sur les services de paiement (DSP3) vient d’être dévoilé par la Commission européenne, un bilan de la seconde directive s’impose. En parallèle du volet sur l’open banking, la DSP2, entrée en vigueur le 14 septembre 2019 en France, a exigé que les paiements en ligne passent par une authentification forte (SCA). Un chantier titanesque pour les acteurs de la chaîne du paiement et les commerçants. Authentification forte : à quel chantier s’attellent les banques ?Enrôler les clients sur une solution SCAPour authentifier fortement les paiements en ligne, les banques ont dû élaborer des solutions d’authentification à deux facteurs (2FA), se basant sur au moins deux de ces méthodes : connaissance (comme un mot de passe ou code PIN), possession (comme un smartphone ou token) et caractéristique personnelle (facteurs biométriques comme l’empreinte digitale, par exemple). La plupart des établissements bancaires ont choisi une solution alliant la possession du smartphone et, après un premier enrôlement, la connexion à l’application bancaire sécurisée (par biométrie, la plupart du temps, ou bien avec le code d’accès). Les établissements financiers ayant pris du retard, l’ACPR et la Banque de France leur avaient accordé un délai supplémentaire, tout en établissant des indicateurs de suivi de la mise en conformité. Objectif : 80 % des clients enrôlés d’ici décembre 2020 et la totalité d’ici fin 2021. “L’objectif a été atteint : nous avions 100 % des clients actifs sur Internet équipés en janvier 2022”, se félicite aujourd’hui Julien Lasalle, adjoint à la direction des études et de la surveillance des paiements de la Banque de France. Plus précisément, la Banque de France dénombrait “plus de 60 % d’équipement fin 2020”. Elle a ensuite observé une phase de déploiement de solutions alternatives en 2021, pour les clients ne disposant pas de smartphone récent ou pour des particuliers n’utilisant par l’application mobile – ou même n’ayant pas d’accès de banque en ligne. Dans ce cas de figure, le SMS OTP (one-time password), qui consiste à rediriger vers une page de la banque et à y entrer un code temporaire reçu par SMS pour s’authentifier, n’est pas assez sécurisé pour constituer l’une des méthodes d‘authentification forte au sens de la DSP2. Les banques ont donc développé le “SMS OTP renforcé”. Le SMS, permettant de vérifier la possession du téléphone, est doublé du mot de passe d’accès à l’espace bancaire en ligne ou d’un mot de passe dédié aux achats sur Internet, qui font office de second facteur. Aujourd’hui, “un peu plus de 70 % des particuliers utilisent l’application bancaire sécurisée pour authentifier leurs achats et plus de 25 % le SMS OTP renforcé”,… Aude FredouelleconformitéDSP2fraudepaiement en lignerégulationBesoin d’informations complémentaires ?Contactez le service d’études à la demande de mind Nom Prénom Nom Entreprise*Téléphone mobileE-mail* Demande* À lire La Commission propose un règlement pour permettre l’avènement de l’open banking EntretienAlain Lacour (Lyra) : “Pour l’initiation de virement, demander l’IBAN en entrée, c’est une façon de tuer la DSP2” La FCA supprime la réauthentification forte tous les 90 jours
