Les progrès des technologies numériques et le développement de l'internet ont entraîné une explosion de la criminalité en ligne. Alors que les délits traditionnels tels que les cambriolages et les vols de voitures continuent de diminuer, la fraude en ligne est rapidement devenue le délit le plus courant au Royaume-Uni, près d'une personne sur dix en étant victime.
Les criminels ont modifié leurs stratégies, et la criminalité en ligne leur permet de cibler des milliers de victimes en même temps, depuis presque n'importe quel endroit du monde. Grâce au hameçonnage, aux logiciels malveillants et à une foule d'autres tactiques, les criminels peuvent accéder aux comptes bancaires des gens en les incitant à révéler leurs mots de passe et leurs données personnelles.
Ces crimes en ligne peuvent avoir un impact dévastateur sur la victime et, dans certains cas, les personnes ne savent même pas qu'elles ont été ciblées jusqu'à ce qu'elles se rendent compte que leur compte bancaire a été vidé.
Le secteur des services financiers a beaucoup investi dans de nouvelles mesures pour aider à protéger les clients en ligne, ce qui a permis d'éviter plus de 1,6 milliard de livres sterling de fraudes non autorisées. Cependant, malgré cet investissement, les cybercriminels ont tout de même réussi à voler 1,2 milliard de livres sterling par le biais de fraudes et d'escroqueries en 2018.
En janvier 2018, une nouvelle directive européenne sur les services de paiement (PSD2) a été introduite, apportant de nouvelles lois conçues pour renforcer les droits des consommateurs et réduire la fraude en ligne. Il s'agissait d'une mise à jour de la précédente première directive sur les services de paiement (PSD1) qui a été mise en œuvre en 2009. La version actualisée de la directive a été motivée par l'essor du commerce électronique et les innovations technologiques dans le secteur des paiements.
Qu'est-ce que l'authentification forte du client dans le cadre de la DSP2 ?
Un élément clé de la DSP2 est l'introduction d'authentifications de sécurité supplémentaires pour les transactions en ligne de plus de 30 €, connues sous le nom de Strong Customer Authentication (SCA). Auparavant, les clients pouvaient simplement régler leurs achats en ligne en saisissant leur numéro de carte et un code de vérification CVC. Toutefois, en vertu de la nouvelle réglementation PSD2, les clients devront fournir une forme supplémentaire d'identification.
Quelle est l'exigence d'une authentification forte du client ?
En vertu du nouveau règlement, toutes les transactions de paiement électronique devront être authentifiées par au moins deux des trois méthodes possibles :
- Connaissance : Quelque chose que seul l'utilisateur connaît - Ex : Un mot de passe
- Possession : Quelque chose que seul l'utilisateur possède - Ex : téléphone portable, jeton ou lecteur de carte.
- Inhérence : Quelque chose que l'utilisateur est - Ex : Biométrique - Empreinte digitale, reconnaissance faciale, reconnaissance vocale
Où s'applique l'authentification forte du client ?
Le SCA s'appliquera aux transactions effectuées dans l'Espace économique européen (EEE) uniquement, lorsque le payeur et le bénéficiaire se trouvent tous deux dans la région. Si l'un d'eux est situé en dehors de l'Europe, le prestataire de services de paiement en Europe devra faire tout son possible pour appliquer SCA.
Qu'est-ce que le paiement SCA ?
L'authentification forte du client s'appliquera aux paiements en ligne initiés par le client en Europe. Cela signifie que la majorité des paiements par carte et tous les virements bancaires nécessiteront une authentification forte.
À l'heure actuelle, le moyen le plus courant d'authentifier un paiement par carte en ligne repose sur 3D Secure. Ce service est proposé par plusieurs fournisseurs de cartes de crédit et offre une protection supplémentaire aux utilisateurs de cartes en introduisant une autre couche de protection par mot de passe. Parmi les inconvénients de la méthode actuelle, citons l'utilisation d'une URL différente pour l'écran contextuel, qui peut être interprétée à tort comme un site de phishing. Il peut également être difficile de se souvenir de plusieurs mots de passe pour différentes cartes.
Pour relever ces défis et répondre aux nouvelles exigences du SCA, une version actualisée de 3D Secure a été adoptée par les banques européennes. La nouvelle version 3DSecure2 est adaptée aux téléphones portables et prend en charge l'utilisation de la biométrie, ce qui contribue à améliorer l'expérience globale de l'utilisateur.
Quelles sont les exemptions à l'authentification forte du client ?
La DSP2 a été conçue pour rendre le SCA obligatoire pour toutes les transactions en ligne. Toutefois, certaines exemptions permettront de maintenir un parcours de paiement sans friction pour le client et d'atteindre le bon équilibre entre la commodité pour le consommateur et la prévention de la fraude.
Les exemptions comprennent :
- Transactions de faible valeur - Les transactions de moins de 30 € sont exemptées de SCA. Toutefois, si le client tente d'effectuer plus de cinq paiements consécutifs de faible valeur, ou si la valeur totale des paiements dépasse 100 €, le CPA sera exigé.
- Transactions récurrentes - Lorsqu'un client effectue un paiement régulier du même montant à la même entreprise, SCA ne sera requis que pour la première transaction. Si le montant change, 3D secure sera requis pour chaque nouveau montant.
- Liste blanche de commerçants - Les consommateurs ont la possibilité d'inscrire des entreprises sur une liste blanche de bénéficiaires de confiance. Une fois la première authentification effectuée, toutes les autres transactions seront exemptées d'authentification.
- Transactions à faible risque - Les transactions à faible risque qui ont fait l'objet d'une évaluation en temps réel peuvent être traitées sans SCA. Cette décision sera fondée sur les niveaux de fraude moyens de l'émetteur de la carte et c'est lui qui décidera en dernier ressort si le SCA est nécessaire.
- Commandes par correspondance et par téléphone (MOTO ) - Les transactions de commandes par correspondance et par téléphone ne sont pas considérées comme des paiements électroniques, elles sont donc exemptées du SCA.
- Paiements d'entreprise - Lorsqu'une transaction est initiée par une entreprise plutôt que par un consommateur, elle ne nécessite pas d'authentification distincte.
Quand l'authentification forte des clients de la DSP2 entrera-t-elle en vigueur ?
La mise en œuvre de la DSP2 Authentification forte du client entrera en vigueur à partir du 14 septembre 2019.
Au cours de la semaine dernière, le régulateur financier britannique, la Financial Conduct Authority (FCA), a accepté de retarder de 18 mois l'application de la nouvelle réglementation sur les paiements en ligne. Les entreprises auront jusqu'à mars 2021 pour mettre effectivement en œuvre cette nouvelle fonctionnalité.
Ce délai a été accordé après que des groupes industriels aient exercé une pression croissante, avertissant que les émetteurs de cartes, les sociétés de paiement et les détaillants en ligne n'auraient pas suffisamment de temps pour mettre en œuvre les changements et que les clients pourraient en subir les conséquences.
La FCA a déclaré qu'elle ne prendra pas de mesures contre les entreprises qui ne respectent pas la nouvelle législation pendant cette période, à condition qu'elles puissent prouver qu'elles ont pris des mesures pour se conformer au système. Après la période de grâce de 18 mois, tous les paiements en ligne seront soumis aux nouvelles mesures de sécurité.
Conclusion
Il ne fait aucun doute que la mise en œuvre de la PSD2 entraînera d'énormes changements pour les prestataires de services de paiement. Nombre d'entre eux devront modifier leurs systèmes pour gérer 3D Secure2 et d'autres méthodes SCA, tout en équilibrant soigneusement les besoins de commodité et de sécurité de leurs clients. Toutefois, en contribuant à réduire les taux de fraude dans le secteur, la nouvelle réglementation permettra d'accroître la confiance des consommateurs et, en fin de compte, d'améliorer l'ensemble du parcours de paiement des clients.
MetaCompliance se spécialise dans la création de la meilleure formation de sensibilisation à la cybersécurité disponible sur le marché. Nos produits répondent directement aux défis spécifiques que posent les cybermenaces et la gouvernance d’entreprise en facilitant la tâche des utilisateurs en matière de cybersécurité et de conformité. N’hésitez pas à nous contacter pour savoir comment nous pouvons vous aider à transformer la formation en matière de cybersécurité au sein de votre organisation.
