Les progrès des technologies numériques et la croissance de l’internet ont entraîné une explosion de la criminalité en ligne. Alors que les délits traditionnels tels que les cambriolages et les vols de voitures continuent de diminuer, la fraude en ligne est rapidement devenue le délit le plus courant au Royaume-Uni, avec près de 1,5 million d’euros.  une personne sur dix en est victime.

Les criminels ont modifié leurs stratégies et la criminalité en ligne leur a permis de cibler des milliers de victimes en même temps, à partir de presque n’importe quel endroit du monde. L’utilisation de  l‘hameçonnage, Grâce à des logiciels malveillants et à d’autres tactiques, les criminels peuvent accéder aux comptes bancaires des gens en les incitant à révéler leurs mots de passe et leurs données personnelles.

Ces crimes en ligne peuvent avoir un impact dévastateur sur la victime et, dans certains cas, les personnes ne savent même pas qu’elles ont été ciblées jusqu’à ce qu’elles réalisent que leur compte bancaire a été vidé.

Le secteur des services financiers a investi massivement dans de nouvelles mesures visant à protéger les clients en ligne, ce qui a permis d’éviter plus d’un million d’euros de pertes. 1,6 milliard de livres sterling de fraudes non autorisées. Cependant, malgré cet investissement, les cybercriminels ont tout de même réussi à voler 1,2 milliard de livres sterling par le biais de fraudes et d’escroqueries en 2018.

En janvier 2018, une nouvelle directive européenne sur les services de paiement (DSP2) a été introduite, apportant de nouvelles lois conçues pour renforcer les droits des consommateurs et réduire la fraude en ligne. Il s’agit d’une mise à jour de la première directive sur les services de paiement (DSP1), mise en œuvre en 2009. La version actualisée de la directive a été motivée par l’essor du commerce électronique et les innovations technologiques dans le secteur des paiements.

Qu’est-ce que l’authentification forte du client dans le cadre de la directive PSD2 ?

L’un des éléments clés de la DSP2 est l’introduction d’authentifications de sécurité supplémentaires pour les transactions en ligne de plus de 30 euros, connues sous le nom d’authentification forte du client (Strong Customer Authentication – SCA). Auparavant, les clients pouvaient simplement régler leurs achats en ligne en saisissant leur numéro de carte et un code de vérification CVC. Toutefois, en vertu de la nouvelle réglementation PSD2, les clients devront fournir une forme d’identification supplémentaire.

Quelle est l’exigence en matière d’authentification forte du client ?

En vertu du nouveau règlement, toutes les transactions de paiement électronique devront être authentifiées par au moins deux des trois méthodes possibles :

  1. Connaissance : Quelque chose que seul l’utilisateur connaît – Ex : un mot de passe
  2. Possession : Quelque chose que seul l’utilisateur possède – Ex : téléphone portable, lecteur de jetons ou de cartes.
  3. Inhérence : Quelque chose que l’utilisateur est – Ex : Biométrie – Empreinte digitale, reconnaissance faciale, reconnaissance vocale

Où s’applique l’authentification forte des clients ?

Le SCA s’appliquera uniquement aux transactions effectuées dans l’Espace économique européen (EEE), lorsque le payeur et le bénéficiaire se trouvent tous deux dans la région. Si l’un d’entre eux est situé en dehors de l’Europe, le prestataire de services de paiement en Europe doit faire de son mieux pour appliquer l’ACS.

Qu’est-ce que le paiement SCA ?

L’authentification forte du client s’appliquera aux paiements en ligne effectués par le client en Europe. Cela signifie que la majorité des paiements par carte et tous les virements bancaires nécessiteront l’ACS.

À l’heure actuelle, le moyen le plus courant d’authentifier un paiement par carte en ligne repose sur le service 3D Secure. Ce service est proposé par plusieurs fournisseurs de cartes de crédit et offre une protection supplémentaire aux utilisateurs de cartes en introduisant une autre couche de protection par mot de passe. Les inconvénients de la méthode actuelle sont l’utilisation d’une URL différente pour l’écran pop-up, qui pourrait être interprétée à tort comme une  site d’hameçonnage. Il peut également être difficile de se souvenir de plusieurs mots de passe pour différentes cartes.

Pour relever ces défis et répondre aux nouvelles exigences du SCA, une version actualisée de 3D Secure a été adoptée par les banques européennes. La nouvelle version 3DSecure2 est adaptée à la mobilité et prend en charge l’utilisation de la biométrie, ce qui contribue à améliorer l’expérience globale de l’utilisateur.

Quelles sont les exemptions à l’authentification forte du client ?

La DSP2 a été conçue pour rendre le SCA obligatoire pour toutes les transactions en ligne. Cependant, certaines exemptions permettront de maintenir un parcours de paiement sans friction pour le client et d’atteindre un juste équilibre entre la commodité pour le consommateur et la prévention de la fraude.

Les exemptions comprennent

  • Transactions de faible valeur – Les transactions inférieures à 30 euros ne sont pas soumises à l’ACS. Toutefois, si le client tente plus de cinq paiements consécutifs de faible valeur, ou si la valeur totale des paiements dépasse 100 euros, le SCA sera exigé.
  • Transactions récurrentes – Lorsqu’un client effectue un paiement régulier du même montant à la même entreprise, SCA ne sera requis que pour la première transaction. Si le montant change, 3D secure sera nécessaire pour chaque nouveau montant.
  • Commerçants inscrits sur une liste blanche – Les consommateurs ont la possibilité d’inscrire des entreprises sur une liste blanche de bénéficiaires de confiance. Après la première authentification, toutes les transactions ultérieures seront exemptées d’authentification.
  • Transactions à faible risque – Les transactions à faible risque qui ont fait l’objet d’une évaluation en temps réel peuvent être traitées sans SCA. Cette décision sera basée sur les niveaux de fraude moyens de l’émetteur de la carte et c’est lui qui décidera en dernier ressort si le SCA est nécessaire.
  • Vente par correspondance et commandes téléphoniques (MOTO ) – Les transactions de vente par correspondance et de commandes téléphoniques ne sont pas considérées comme des paiements électroniques et ne sont donc pas soumises à l’ACS.
  • Paiements d’entreprise – Lorsqu’une transaction est initiée par une entreprise plutôt que par un consommateur, elle ne nécessite pas d’authentification distincte.

Quand l’authentification forte du client PSD2 entrera-t-elle en vigueur ?

La mise en œuvre de l’authentification forte du client PSD2 entrera en vigueur à partir du 14 septembre 2019.

La semaine dernière, le régulateur financier britannique, la Financial Conduct Authority (FCA), a accepté de retarder de 18 mois l’application de la nouvelle réglementation sur les paiements en ligne. Les entreprises auront jusqu’à mars 2021 pour mettre en œuvre efficacement la nouvelle fonctionnalité.

Ce délai a été accordé à la suite de la pression exercée par des groupes industriels avertissant que les émetteurs de cartes, les sociétés de paiement et les détaillants en ligne n’auraient pas assez de temps pour mettre en œuvre les changements et que les clients pourraient en subir les conséquences.

La FCA a déclaré qu’elle ne prendrait pas de mesures à l’encontre des entreprises qui ne respectent pas la nouvelle législation pendant cette période, à condition qu’elles puissent prouver qu’elles ont pris des mesures pour se conformer au système. Après la période de grâce de 18 mois, tous les paiements en ligne seront soumis aux nouvelles mesures de sécurité.

Conclusion

Il ne fait aucun doute que la mise en œuvre de la DSP2 entraînera d’énormes changements pour les prestataires de services de paiement. Nombre d’entre eux devront modifier leurs systèmes pour gérer 3D Secure2 et d’autres méthodes SCA, tout en équilibrant soigneusement les besoins de commodité et de sécurité de leurs clients. Toutefois, en contribuant à réduire les taux de fraude dans le secteur, la nouvelle réglementation renforcera la confiance des consommateurs et améliorera en fin de compte l’ensemble du parcours de paiement du client.

MetaCompliance est spécialisée dans la création de la meilleure formation de sensibilisation à la cybersécurité disponible sur le marché. Nos produits répondent directement aux défis spécifiques posés par les cybermenaces et la gouvernance d’entreprise en facilitant l’engagement des utilisateurs dans la cybersécurité et la conformité.  Contactez-nous pour obtenir de plus amples informations sur la manière dont nous pouvons vous aider à transformer la formation à la cybersécurité au sein de votre organisation.