L'autre scandale de la DSP2
Décidément, la mise en œuvre de la deuxième directive européenne des services de paiement (DSP2) tourne à la farce ! Après les dérogations accordées aux banques pour l'ouverture des accès aux comptes, un autre volet essentiel du texte, qui devait enter en vigueur le 14 septembre, fait l'objet de reports d'échéance dans plusieurs pays.
Depuis la publication en juin dernier d'une opinion par l'Autorité Bancaire Européenne – qui rappelait pourtant son illégitimité à changer la date d'application d'une législation européenne – entrouvrant la porte, « à titre exceptionnel », à un assouplissement des exigences, les régulateurs allemand, britannique, italien, espagnol et, finalement, français ont commencé à formaliser des extensions des délais de mise en œuvre des obligations d'authentification forte sur les opérations de paiement.
La réaction à ces annonces est unanime. Les acteurs du commerce en ligne sont universellement soulagés de pouvoir temporiser le déploiement de mesures de protection qu'ils considèrent comme un risque majeur pour leurs taux de conversion. En effet, l'ajout d'une étape de validation de l'identité du payeur lors du règlement de son panier tend à constituer une friction supplémentaire dans le parcours d'achat, qui entraîne une augmentation des abandons et, en fin de chaîne, une perte nette de chiffre d'affaires.
Il est certes admirable de se préoccuper ainsi de l'expérience utilisateur (ou, plus précisément, de l'impact potentiel de sa dégradation sur l'économie) mais il est tout de même étrange que nul ne s'inquiète de ce qui justifiait initialement la nouvelle contrainte ! Comment peut-on oublier aussi rapidement l'enjeu véritable de cette portion de la DSP2 ? La sécurité des paiements ne serait-elle plus d'actualité ? Les dispositifs existants seraient-ils redevenus suffisants ? La cybercriminalité aurait-elle disparu ?
Contrairement à ce qui est évoqué (rarement) dans la presse, le renforcement de l'authentification dont il est question n'a pas pour objectif de réduire toujours plus la fraude sur les paiements à distance (qui semble aujourd'hui sous contrôle). Il s'agit avant tout de prendre conscience de l'obsolescence prochaine des mécanismes de protection actuels, dont la validation par SMS des implémentations de 3D-Secure, et d'anticiper le moment où ils seront totalement dépassés par les capacités technologiques des fraudeurs.
En décalant la mise en place de systèmes de sécurité plus robustes (jusqu'à 3 ans, en France), les régulateurs font le pari, extrêmement dangereux, que les défauts des pratiques en vigueur aujourd'hui resteront peu exploitées et ne feront pas exploser le nombre de préjudices subis durant l'intervalle. Tout cela pour, encore une fois, satisfaire les demandes d'entreprises qui, oublieuses de la sophistication en hausse constante des malfaiteurs, ont traîné des pieds pendant 4 ans et se trouvent soudain confrontées à une situation d'urgence menaçant leurs performances commerciales…
Billet publié initialement sur le blog « C'est pas mon idée ! »
Manager at Oaklen Consulting
5 ansLa DSP2 n'a aucune spécification technique. Les RTS en ont. La version de base du 3DS V2 est sorti fin 2017. Inutile de développer si c'est pour tout recommencer car cela ne suit aucun standard.
Manager at Oaklen Consulting
5 ansIl est important de souligner qu'un projet d'une telle ampleur, qui implique tous les acteurs de la chaîne des paiements (e-commercant, prestataire d'acceptation, acquéreur, émetteur, réseau carte..) ne peut se faire en 18 mois..
retraité chez Banque Courtois
5 ansL'enfer est pavé de bonnes intentions.
Architecte #digital #strategy
5 ansLa Banque d Espagne est en train de discuter une période de 12 à 18 mois pour les paiements e-commerce. Par contre on est bien d'accord que pour l'accès à la banque en ligne l'authentification forte sera un pré requis à partir du 14 septembre