Vers des paiements frictionless
Au sein de l’espace SEPA, l’authentification forte est obligatoire depuis le 14 septembre 2019 avec des marges de tolérance qui ont été accordées par la plupart des régulateurs nationaux.
Actuellement, les commerçants ont encore la possibilité de ne pas demander d’authentification pour certaines transactions. A l’avenir, ils n’auront plus cette possibilité car l’authentification forte sera obligatoire pour l’ensemble des transactions, avec une décision finale de l’appliquer ou non qui sera prise par la banque du client payeur.
La seconde directive sur les services de paiements (DSP2) vise à favoriser la concurrence et à accroître les droits des consommateurs au sein de la zone euro pour l’accès aux paiements et aux services bancaires. Pour cela elle permet notamment aux consommateurs de confier à une organisation tiers agréée par le régulateur - et pas seulement leur banque – l’accès à leurs comptes et l’initiation de paiements.
De ce fait, l’authentification forte du client (Strong Customer Authentication – SCA) est un élément clé pour s’assurer qu’il est bien à l’origine des opérations initiées en son nom, et qu’il est protégé contre les risques qui en résultent, telles que la fraude en ligne ou la compromission de données. Les règles de mise en œuvre des normes techniques issues de la réglementation DSP2 (Regulatory Technical Standards – RTS) ont été publiées afin de donner un cadre explicite à l’exercice de l’authentification forte.
La DSP2 prévoyait initialement la mise en œuvre de l’authentification forte au 14 septembre 2019. C’est un jalon important et exigeant pour les banques, les commerçants, les Prestataires de Service de Paiements (PSP) et les tiers impliqués dans la fourniture de services de paiements. Constatant la complexité de ce déploiement et le retard pris par les banques et les commerçants, les régulateurs français, britannique allemand, italien, et espagnol ont accordé un délai supplémentaire au-delà du 14 septembre 2019 pour permettre la mise en place d’un plan de migration et de déploiement, suivant ainsi les recommandations de l’Autorité bancaire européenne (ABE).
Cependant la DSP2 prévoit également un ensemble d’exemptions qui peuvent être mises à profit pour accélérer sa mise en œuvre. Ces exemptions doivent permettre de simplifier les parcours d’achat tout en les sécurisant et ainsi de contribuer à développer les volumes des paiements tout en apportant la sécurité attendue par les utilisateurs.
En effet, une connaissance fine des règles d’exemptions à l’authentification forte ainsi que des opérations qui sont hors de son champ d’application doivent permettre aux banques et aux commerçants d’optimiser leurs offres et les parcours clients. Cette approche, conjuguée avec la mise en œuvre de la nouvelle architecture 3DSv2, offre un nouveau terrain de jeu pour diversifier les offres de paiement, optimiser les parcours clients, et sécuriser les paiements.