La SCA fluide, l'arlésienne de la DSP2

Le 14 septembre 2019, une nouvelle exigence est venue enrichir la réglementation européenne concernant l'authentification des paiements en ligne.

 La Directive sur les services de paiement deuxième version (DSP2) a consacré l'authentification forte du client (ou SCA pour Strong Customer Authentification), un nouveau processus qui vise à renforcer la confiance des consommateurs dans les achats à distance, sécuriser les paiements en ligne et réduire les risques de fraude. Concrètement, une étape d’authentification supplémentaire s’ajoute désormais au parcours de paiement électronique des utilisateurs. Dans ce cadre, l’authentification doit utiliser au moins deux des trois éléments suivants : 

• un élément connu du client (ex : mot de passe…) ;
• un élément détenu par le client (téléphone, carte bancaire…)
• un élément qui définit le client (ex : ses empreintes digitales). 

Ce processus vise à authentifier de manière certaine les utilisateurs pour toutes les transactions électroniques, et ce quel que soit le médium utilisé.

Désormais obligatoire, la SCA s’applique aux paiements en ligne et aux virements bancaires initiés par le client au sein de l’Union européenne. Le système 3D Secure V2 en est une émanation directe, en tant que norme d’authentification prise en charge par la majorité des cartes bancaires. Avec ce protocole, une étape supplémentaire est ajoutée avant de finaliser le paiement. Le titulaire de la carte bancaire est alors invité par sa banque à valider son opération : par exemple via son application mobile bancaire installée sur son smartphone. Exit le code reçu par SMS que l’on connaissait avec la version 1 de 3D Secure, puisque même s’il représente un élément de “possession”, il n’est plus suffisant seul (les numéros de la carte ne sont pas considérés comme des éléments ni connus, ni définissant le client).  Une petite révolution dans le monde du paiement en ligne ? 

Certainement. Sauf que la trajectoire de ce nouveau parcours d’authentification est, pour l’instant, émaillée de fausses notes. Ou devrait-on plutôt dire de faux départs ? 

En effet, une première échéance avait initialement été fixée au 14 septembre 2019, c’est aussi la date à laquelle les API (acronyme pour Application Programming Interface, soit un intermédiaire entre deux applications distinctes) devaient être fonctionnelles, c'est-à-dire adaptées aux nouvelles exigences européennes. Puis, le 16 octobre 2019, l’European Banking Authority (EBA) annonçait un report au 31 décembre 2020. Soit plus d’un an après l’échéance initiale ! Mais la saga ne s’est pas arrêtée là. L'authentification forte n’est ainsi entrée en vigueur que le 15 mai 2021, après de nombreux rebondissements et plusieurs reports. 

Pendant ce temps, du côté des API DSP2, pour lesquelles la réalisation d’une SCA est strictement nécessaire à l’accès aux comptes ou l’initiation d’un paiement, l’EBA avait appelé les banques à supprimer tout obstacle empêchant les third party providers (TPP), ou fournisseurs tiers, d'accéder aux comptes bancaires des utilisateurs d'ici le 30 avril 2021... avant de rallonger ce délai de deux mois. Ainsi, un groupe de travail rassemblant autorités et professionnels du secteur s’est finalement accordé sur la date du 30 juin 2021. Sera-t-elle tenue ? 

Il est vrai que la mise en conformité DSP2 représente pour les API un travail important. En complexifiant l’expérience client des services proposés par les third party providers (TPP) et en plaçant ces derniers dans une certaine dépendance vis-à-vis des Banques, la DSP2 n’offre pas que des avantages. Par ailleurs, les multiples “périodes transitoires” dont elle a fait l’objet ont fragilisé les parties prenantes, en plus d’engendrer chez elles une frustration bien compréhensible. 

Verra t-on bientôt la fin du tunnel ? Rien n’est moins sûr car les banques rencontrent de réelles difficultés face au déploiement de ces nouvelles solutions. Selon Thierry Leblond, directeur du Pôle Monétique et Moyens de Paiement chez PW Consultants, ces difficultés ne seraient pas tant liées à la technologie mais davantage à un nécessaire temps d’adaptation et aux contraintes induites par l’ouverture à des tiers d’une partie de leurs systèmes d’information. 

Par ailleurs, les TPP se montrent inquiets à l’égard de ce choix d'authentification forte, qui renvoie automatiquement vers l'application de la banque, dans la mesure où l’accès aux données de comptes nécessite un renouvellement de l’authentification tous les 90 jours. Cette récurrence amène en effet une altération de l’expérience utilisateur créant son lot de frustrations et de plaintes chez les clients, qui finissent par abandonner ces services. Un comble pour ces acteurs régulés qui ne peuvent gérer eux-mêmes l’authentification de leurs utilisateurs. 

Parmi toutes ces ambiguïtés, une chose reste certaine : la DSP2, qui porte l’objectif ambitieux de développer un marché européen des paiements, exige des adaptations rapides et de forts investissements dans des délais restreints. Ce qui ne va pas sans son lot de difficultés. 

Du côté de la Grande-Bretagne, c’est la date du 14 septembre 2021 qui a été avancée pour l’entrée en vigueur de la SCA mais surtout le régulateur anglais a dors et déjà entamé les démarches pour supprimer purement et simplement la réauthentification tous les 90 jours dans le cas de l’accès aux données de comptes. Par conséquent, la Grande-Bretagne, qui a su (et qui a dû) s’adapter plus rapidement, montre déjà un temps d’avance sur l’Europe. Celle-ci doit donc réagir rapidement si elle ne veut pas laisser penser que le Brexit (ou le Frexit) sont les seules solutions à un contexte réglementaire bridant les acteurs et les services de paiement.

Alors, la mise en œuvre de la DSP2 souffrira-t-elle de ses hésitations et de ses multiples retards ? Va t-on vers un énième report surprise ? Si les migrations vers les API semblent désormais en bonne voie, on s’interroge encore face à l’envergure des chantiers qui restent à mener, ainsi qu’à la frustration légitime des acteurs intervenant sur le marché des paiements en ligne. Et, comme le dit l’adage : “wait and see”...