DSP2 : le 14 septembre est-elle une date couperet ?
Julien Bichon
Group API Solution Director chez BNP Paribas | Fondateur du Collectif API Thinking | Co Fondateur de France API
Théoriquement, le 14 septembre prochain, la deuxième Directive Européenne sur les Services de Paiement (DSP 2) entre en vigueur au niveau Européen avec deux objectifs phares : mieux protéger le consommateur final des fraudes sur les paiements tout en renforçant le niveau de sécurité des paiements.
Selon l’Observatoire de la sécurité des moyens de paiements, le taux de fraude sur les transactions de paiement et de retrait effectuées en France et à l’étranger avec des cartes françaises a plutôt une tendance baissière depuis plusieurs années, pour s’établir sous les 0,050%. A noter que la DSP2 vise à sécuriser les paiements exclusivement et non les retraits.
Pour élever la sécurité des paiements, la DSP2 impose donc une mise en place de processus d’authentification forte et réglemente via des API l’échange de données entre prestataires de services (TPP) et teneurs de comptes. Les établissements bancaires ont mis à disposition de ces TPP des API depuis le 15 mars dernier dans des portails dédiés pour la majorité. Le Groupe BPCE a par exemple ouvert son portail le 7 mars dernier.
L’authentification forte : et 1, et 2 et 3….ans !
Le 21 juin dernier, l’Autorité Bancaire Européenne (ABE) a publié une « opinion » en introduisant une période de migration progressive sans fixer de nouveau délai pour l’entrée en vigueur de l’authentification forte. L’ABE laisse pour l’instant le soin aux autorités nationales (l’ACPR pour la France) de négocier avec les acteurs concernés une période de transition pour assurer leur mise en conformité et acculturer les consommateurs finaux à ces nouveaux usages. Chaque établissement bancaire français, s’il n’est pas prêt au 14 septembre, devra communiquer à l’ACPR un plan de migration avec des jalons clés.
Pourquoi une période de migration ?
Cette période de migration est une décision, pardon, une « opinion », pragmatique pour deux raisons.
Première raison, Client First. La fluidité du processus de paiement lors d’un achat en ligne sera affectée négativement avec ce nouveau mode d’authentification. Plus sécurisé oui, plus long aussi ! Alors même que le taux d’abandon de panier tourne autour des 80% sur les sites de e-commerce ces dernières années, ce chiffre ne risque pas de s’améliorer en ajoutant une étape dans le processus de paiement
Deuxième raison, la confirmation d’un achat par SMS (appelé SMS-One Time Password) n’est plus suffisante
En France, 40 % des paiements en ligne, en montants, fait l'objet d'un contrôle anti-fraude renforcé, selon la Banque de France. Or, dans plus de 85 % des cas, cette « authentification forte » est effectuée par les banques à l'aide d'un SMS, selon le Groupement des Cartes Bancaires CB, qui pilote le système de paiement par cartes en France.
Toutefois, cette confirmation d’achat par SMS n’est pas reconnue par l’ABE comme suffisant pour une authentification forte. En effet, dans son « opinion » sur l'implémentation du règlement délégué (UE) 2018/389 (publiée le 13 juin 2018), l'ABE retient que le SMS OTP ne repose que sur un seul facteur : la possession du mobile du porteur, qui sert à recevoir le code de validation. Cette méthode est donc non conforme aux exigences DSP2 dans la mesure où ce mode d'authentification ne fait intervenir ni facteur biométrique, ni facteur de connaissance.
À cet égard, on peut noter que les banques diffusent d'ores et déjà auprès de leur clientèle, particuliers comme professionnels, d'autres procédés d'authentification forte pleinement conformes avec la directive, comme par exemple l'authentification biométrique des paiements effectués depuis un téléphone mobile.
Et les API, le 14 septembre : date butoire vraiment ?
Chez les agrégateurs de compte (AISP), l’inquiétude est croissante au fur et à mesure que l’échéance du 14 septembre approche. Ces derniers sont censés basculer sur les API mises à disposition par les établissements bancaires le 14 septembre prochain.
Toutefois, si une banque n’est pas prête techniquement, la France, l’Allemagne et la Grande-Bretagne ont imaginé et autorisé un mécanisme de secours.
Concrètement, les banques qui n’ont pas rempli leurs obligations devront autoriser les agrégateurs, et autres tiers autorisés, à pratiquer le web scraping, comme ils le faisaient jusqu’ici, après authentification. L’assurance, logiquement, d’une continuité de service pour l’usager.
Si on résume….
L’authentification forte ? Une période de migration progressive, mais pas de date couperet.
La mise à disposition d’API et la fin du web scrapping ? Mise à disposition d’API oui, mais non le web scrapping n’est pas (encore mort).
L’échéance du 14 septembre n’est donc pas autant couperet qu’on voudrait nous le faire croire….