Authentification forte

L’authentification forte : Quels changements suite à la réglementation DSP2 dans le secteur bancaire ?

La DSP2 qu’est-ce que c’est ?

La DSP2 ou Directive sur les services de paiements, est une nouvelle directive européenne entrée en vigueur le 14 septembre 2019. Elle a été créée dans le but d’améliorer la sécurité des paiements en ligne et l’accès aux informations sur le compte. Ainsi, cette directive impose de nouvelles obligations aux banques et aux autres prestataires de services de paiement (PSP tiers) tels que les agrégateurs de comptes et initiateurs de paiements.

Elle porte sur 3 sujets majeurs :

  • L’authentification forte pour la consultation des comptes et les opérations sensibles ;
  • La communication sécurisée entre les banques et les PSP tiers : les banques devront ainsi mettre en place un système sécurisé de partage des informations de paiement de leurs clients, à destination des PSP ;
  • Le renforcement des droits des consommateurs : remboursement sans délai des opérations contestées, interdiction des surfacturations…

Qu’est-ce que l’ authentification forte ?

L’un des volets majeurs de la DSP2 concerne la mise en place de l’authentification forte pour la consultation des comptes et les opérations de paiement électronique.

Elle vise à rendre les transactions électroniques plus sûres en renforçant la vérification de l’identité numérique de l’utilisateur.

Une authentification est considérée comme forte si elle résulte de la combinaison de deux facteurs d’authentification, minimum, parmi les trois catégories suivantes :

  • Un élément que vous possédez : smartphone, carte SIM, clé physique, etc ;
  • Un élément que vous connaissez : mot de passe, code secret, etc ;
  • Une caractéristique personnelle : empreinte digitale, reconnaissance faciale, vocale, etc.

Un client devra obligatoirement utiliser une méthode d’authentification forte pour effectuer des paiements en ligne ou pour toutes autres opérations en ligne comportant un risque de fraude (tel qu’un changement de numéro de téléphone par exemple).

Cette double authentification sera exigée pour la connexion à l’espace personnel de banque en ligne et devra être mise à jour tous les 90 jours.

Cependant, des exceptions à l’authentification forte sont prévues, notamment pour :

  • Les opérations à faibles montants (inférieurs à 30 € ou 50 € pour le paiement sans contact) ;
  • Les opérations considérées à risques faibles après analyse du risque par la banque ;
  • Les transactions régulières d’un même montant et au profit du même bénéficiaire à partir de la 2ème opération et des suivantes ;
  • Les opérations de virement entre deux comptes d’un même titulaire au sein de la banque ;
  • Les virements pour des bénéficiaires inscrits sur une liste blanche de « bénéficiaires de confiance ».

Quelles sont les conséquences de ce changement ?

L’un des volets majeurs de la DSP2 concerne la mise en place de l’authentification forte pour la consultation des comptes et les opérations de paiement électronique.

Elle vise à rendre les transactions électroniques plus sûres en renforçant la vérification de l’identité numérique de l’utilisateur.

Une authentification est considérée comme forte si elle résulte de la combinaison de deux facteurs d’authentification, minimum, parmi les trois catégories suivantes :

  • Un élément que vous possédez : smartphone, carte SIM, clé physique, etc ;
  • Un élément que vous connaissez : mot de passe, code secret, etc ;
  • Une caractéristique personnelle : empreinte digitale, reconnaissance faciale, vocale, etc.

Un client devra obligatoirement utiliser une méthode d’authentification forte pour effectuer des paiements en ligne ou pour toutes autres opérations en ligne comportant un risque de fraude (tel qu’un changement de numéro de téléphone par exemple).

Cette double authentification sera exigée pour la connexion à l’espace personnel de banque en ligne et devra être mise à jour tous les 90 jours.

Cependant, des exceptions à l’authentification forte sont prévues, notamment pour :

  • Les opérations à faibles montants (inférieurs à 30 € ou 50 € pour le paiement sans contact) ;
  • Les opérations considérées à risques faibles après analyse du risque par la banque ;
  • Les transactions régulières d’un même montant et au profit du même bénéficiaire à partir de la 2ème opération et des suivantes ;
  • Les opérations de virement entre deux comptes d’un même titulaire au sein de la banque ;
  • Les virements pour des bénéficiaires inscrits sur une liste blanche de « bénéficiaires de confiance ».

Comment choisir la bonne méthode d’authentification complémentaire pour ses clients ?

Généralement le service client ou le service marketing réalise une enquête et établit les personae de ses différents clients. En identifiant leurs problématiques, les banques sont plus à même de proposer à chaque typologie de client, la méthode d’authentification adaptée à leurs contraintes.

Les conseillers des établissements bancaires et le service client ont donc un rôle primordial. Il doivent d’une part, informer et sensibiliser les clients lors de la migration à l’authentification forte et sont d’autre part le point d’entrée pour le recensement d’éventuels problèmes avec les clients.

Les clients sont donc migrés progressivement vers de nouvelles solutions d’authentification forte, prévues par leur banque de manière anticipée grâce à leur interlocuteur (généralement le conseiller).

Comment fonctionne concrètement l’authentification forte par application ?

Pour remplacer l’authentification par SMS par l’authentification par application mobile bancaire, le client devra enregistrer son téléphone et relier son numéro à son compte bancaire.

Lors de cette inscription, le smartphone du client sera relié à son compte bancaire. Par la suite il lui sera demandé de définir un code de sécurité afin d’accéder à l’espace de banque en ligne.

Vous avez une problématique similaire ou souhaitez mettre en place un système d’authentification fort ? Contactez-nous ! ?

 

Article rédigé par l’un de nos consultants.

Partager l'article

Partager l'article

Sommaire

À lire aussi

rapport de tests
Lire l'article
Articles d'experts (2)
Lire l'article
Accessibilité
Lire l'article