"L'abandon du SMS n'est pas reporté de 36 mois !", Bertrand Pineau, Fevad
Alors que les RTS encadrant la sécurisation des paiements dans le cadre de la DSP2 entrent en vigueur le 14 septembre, il convient de distinguer la migration des infrastructures techniques et l'abandon du SMS OTP, prévient Bertrand Pineau, responsable veille, innovation et développement à la Fevad.
Je m'abonneConfirmez-vous le délai de 2022 pour l'abandon du SMS OTP, comme annoncé par Les Échos? Plus largement, où en sont les discussions sur le plan de migration?
Attention! Il ne faut pas confondre la méthode d'authentification forte avec la mise en place des règles qui la rendent obligatoire. Pour ce qui concerne l'abandon du SMS OTP en France, qui concerne le consommateur et sa banque, il s'agit d'une montée en charge sur trois ans de nouvelles méthodes d'authentification et non pas d'un report de 36 mois. D'ailleurs certaines banques proposent d'ores et déjà à certains de leurs clients de s'authentifier par d'autres méthodes, par exemple via leur banque en ligne.
Quant à la migration visant à faire évoluer les infrastructures techniques de monétique pour pouvoir gérer les règles de la DSP2, elle touche toutes les parties prenantes de la chaine de paiement: banques émetteurs, banques acquéreurs, prestataires techniques, schemes (réseaux CB, Visa, Mastercard)... et bien sûr e-commerçants! Ces derniers se trouvent en bout de chaîne et sont donc dépendants de l'état de préparation des autres acteurs.
La date d'application des RTS prévues par la DSP2 ne change donc pas mais cette application se fera progressivement, conformément à l'avis de l'EBA [Autorité bancaire européenne, NDLR] du 21 juin dernier. Il appartient à chaque régulateur national de définir avec les acteurs de son marché les modalités de ces évolutions.
Quel est le niveau de maturité des consommateurs?
Le SMS OTP restera actif entre 18 mois et trois ans, afin que tous les clients soient enrôlés dans les nouveaux systèmes [par exemple un smartphone avec une application bancaire, NDLR]. Le plan de l'OSMP (Observatoire de la Sécurité des Moyens de Paiement) prévoit que 80% des consommateurs basculeront sur les nouveaux systèmes dans les 18 mois à venir. Ce plan laisse encore 18 mois pour proposer des solutions pour les 20% restants. Il est important que ce changement soit le plus transparent possible pour les consommateurs. Les banques devront communiquer avec leurs clients pour les informer de ces évolutions.
Quelles technologies sont privilégiées? (biométrie, code confidentiel tapé sur l'application bancaire du client...)
Plusieurs solutions seront proposées en fonction des choix des banques et/ou des consommateurs et des contextes d'achats (mobile, desktop ...). C'est aux banques de trouver et proposer des méthodes d'authentification adaptées aux différents profils de clients et conformes à la DSP2. Par exemple, lorsqu'un client effectue un achat sur son PC, son application bancaire se "réveille" sur son smartphone. Le consommateur s'y connecte pour valider son achat grâce à la reconnaissance de son empreinte digitale, le scan de son visage ou via un code.
Qu'en est-il du 3D Secure 2.0?
3D Secure 2.0 est un nouveau protocole d'échange qui doit être implanté au sein des infrastructures techniques monétiques. Auparavant, deux flux coexistaient: l'un dédié à l'autorisation, le deuxième à l'authentification (3DS V1). Avant la DSP2, les marchands avaient la maîtrise de l'authentification forte, en fonction de leur analyse de risque pour chaque transaction (un client régulier n'était pas forcément authentifié, la transaction était seulement autorisée).
Dorénavant, et pour simplifier, il n'existera plus qu'un flux d'authentification par lequel transiteront toutes les transactions électroniques: en fonction d'un certain nombre de paramètres (souhait du marchand, montant de la transaction, risque de la transaction ...) les banques pourront déterminer à la fois l'appartenance de la transaction au champ d'application de la DSP2 (transaction européenne, initiée par un consommateur...) et d'autre part son éligibilité aux exemptions possibles (moins de 30 euros, notamment).
Les exemptions à l'authentification forte ont-elles évolué?
Ce qui a le plus évolué, c'est une précision importante sur le champ d'application de la DSP2. L'autorité bancaire européenne a notamment précisé que les transactions "à l'initiative du marchand" (plein de carburant réalisé a posteriori par le loueur de voiture, par exemple, ou consommation dans un minibar d'hôtel débitée plusieurs jours après le départ de l'établissement) ne sont pas dans le périmètre de la DSP2. Et donc que ce type de paiements ne sera pas soumis à l'authentification forte. Ce qui est logique, le client n'étant plus dans le contexte de la transaction au moment où le débit se fait. Il en va de même pour un paiement en trois fois par exemple: la première transaction est authentifiée, les deux autres réalisées les mois suivants ne le seront pas!
Une autre exemption est particulièrement attendue par les e-commerçants: c'est celle relative aux "listes des bénéficiaires de confiance". Un consommateur pourra déclarer dans son interface bancaire les e-commerçants qu'il juge de confiance, chez lesquels il achète fréquemment sans vouloir être gêné par l'authentification. Cette exemption n'est malheureusement pas encore opérationnelle dans les systèmes bancaires.
Quand démarreront les sanctions?
La DSP2 régule les PSP (les établissements bancaires) et non les e-commerçants ou les prestataires de paiement. Mais les e-commerçants sont indirectement concernés car une banque sanctionnée pour non-respect des règles de la DSP2 ne pourra plus faire de "frictionless"... ce qui pénalisera fortement le taux de transformation des e-commerçants. Il appartient à l'ensemble de l'écosystème d'avancer ensemble dans un système vertueux. Quant aux sanctions, elles ne devraient être mises en place qu'à l'issue de la période de transition.
Quels sont les pays européens les plus affectés par la mise en place de la DSP2?
Les deux marchés importants dans lesquels les paiements s'effectuent en majorité par carte bancaire sont la France et le Royaume-Uni. En revanche, l'Allemagne et les Pays-Bas, où les paiements utilisent largement la banque en ligne, sont moins touchés. En effet, les consommateurs sont habitués à se connecter à leur banque en ligne. Quant aux pays du Nord, l'authentification forte systématique y est déjà bien implantée.