Sécurité des paiements : quels changements avec la DSP2 ?
Connexion à la banque en ligne renforcée, paiements en ligne et sans contact plus sécurisés, voilà les changements qui se sont opérés dès le samedi 14 septembre 2019. Une nouvelle directive européenne entre en vigueur en cette rentrée 2019 et amorce de nouveaux changements pour les professionnels et les particuliers en matière d’authentification bancaire. Quels sont ces changements et quels seront leur impact ?
DSP2 : des changements en vigueur dès septembre 2019
Le samedi 14 septembre 2019 sont entrées en vigueur les nouvelles normes mises en place par la deuxième version de la directive sur les services de paiement (souvent désignée par son acronyme DSP2). Au programme des changements qui vont s’imposer au niveau européen :
- renforcement de l’authentification lors de la connexion aux services de banque en ligne ;
- amélioration de la sécurité lors des paiements en ligne par carte bancaire ;
- renforcement de l’authentification lors des paiements par carte sans contact.
Une nouvelle réglementation qui va donc impacter les professionnels, notamment les banques et les organismes de paiements mais également les commerçants. Cependant, les particuliers verront eux aussi des changements dans leur manière d’effectuer des achats en ligne ou en magasin physique, même si cela n’aura pas d’impact trop important sur les habitudes d’achats des consommateurs.
DSP2 : diminuer les fraudes et protéger les consommateurs
Le but de ces nouvelles normes mises en place par la DSP2 ? Protéger le consommateur d’éventuelles fraudes à la carte bancaire en renforçant l’authentification lors des paiements, notamment lors des paiements en ligne mais également lors des achats en magasins via les paiements sans contact.
En effet, en 2018, selon l’Observatoire de la sécurité des moyens de paiement, le taux de fraude par paiement authentifié était de 0,07 %, contre 0,21 % pour les transactions non authentifiées. Des chiffres qui prouvent ainsi l’importance de l’authentification lors des paiements en ligne ou chez les commerçants.
Qu’est-ce que la DSP2 ? La DSP2 ou directive sur les paiements 2, a été adoptée en janvier 2018. C’est la deuxième version de la directive sur les services de paiements adoptée en 2007. Elle a entre autres pour but d’améliorer la sécurité des paiements au sein de l’Union Européenne, en instaurant notamment de nouvelle normes plus strictes pour les paiements en ligne.
DSP2 : quels sont les changements à venir ?
En matière de sécurité, la DSP2 met ainsi l’accent sur l’authentification forte, afin de diminuer les fraudes et augmenter la sécurité lors des paiements électroniques.
Côté mise en place, c’est aux banques et aux commerçants de s’adapter aux nouvelles normes. Ils vont devoir en effet adapter leurs systèmes informatiques et leurs process afin de prendre en compte ces nouvelles mesures de sécurité.
Les professionnels devront ainsi s’équiper de la nouvelle mise à jour du système de paiement 3-D Secure, une nouvelle version du protocole sécurisé dédié aux paiements sur internet.
Qu’est-ce que le 3-D Secure ? Le 3-D Secure est un protocole sécurisé de paiement sur internet développé par Visa et MasterCard. Il vise à renforcer la sécurité des paiements en ligne afin de limiter les < a href="https://selectra.info/finance/comprendre/fraude-carte-bancaire"> fraudes à la carte bancaire. Son but ? S’assurer lors de chaque paiement que la carte bancaire est bien utilisée par son véritable titulaire, via un code à usage unique, un mot de passe ou encore une date de naissance.
La connexion à la banque en ligne
La DSP2 renforce la sécurité lors de la connexion aux services de banque en ligne. Auparavant, seul un identifiant et un mot de passe étaient demandés pour se connecter à son espace bancaire en ligne. Désormais, en plus de ces identifiants de connexion, il faudra que le client passe l’étape de l’authentification forte au moins une fois tous les 90 jours. Qu’est-ce que cela signifie ?
Lorsque le client se connectera sur son espace bancaire en ligne, un code secret supplémentaire à usage unique devra être renseigné, dans le but donc de renforcer l’authentification. Ce code pour être réceptionné de plusieurs manières, selon l’établissement bancaire et des préférences du client :
- par sms (sur mobile)
- via l’application de la banque après notification (sur smartphone notamment)
- par message vocal (sur ligne fixe par exemple)
Les paiements en ligne par carte bancaire
36%, c’est la hausse qu’a connu la fraude à la carte bancaire en 2018. Plus d’un millions de ménages ont été escroqués en 2018, et c’est sans surprise les paiements en ligne qui subissent le plus de fraude, selon le rapport annuel 2018 de l’Observatoire de la sécurité des moyens de paiements. En effet, ils sont en moyenne 17 fois plus fraudés que les paiements en magasins, toujours selon le rapport annuel de l’Observatoire.
Des chiffres qu’a pris en compte la DPS2 puisque les nouvelles normes s’appliquent également pour les paiements en ligne par carte bancaire. Au programme ? Toujours la mise en place de cette “authentification forte” lors des paiements en ligne par carte bancaire, afin de diminuer toujours plus le risque de fraude.
Pour cela, en plus de rentrer le numéro de carte, la date de validité de la carte ainsi que le cryptogramme à 3 chiffres au dos de la carte, le consommateur devra renseigner un code secret directement sur la page de paiement en ligne ou bien sur son application bancaire.
Toutefois, ce nouveau code secret ne sera pas demandé à chaque fois. Dans certains cas, les renseignements bancaires habituels suffiront pour effectuer les paiements en ligne, notamment pour les paiements inférieurs à 30 euros ou pour les paiements récurrents mais également dans le cas où le site e-commerce en question a un faible taux de fraude ou si le consommateur a indiqué que le site est un site de confiance.
Les paiements sans contact par carte bancaire
Si l’authentification forte est également mise en place pour les paiements dits “de proximité”, les paiements sans contact par carte bancaire ne seront que peu impactés par la mise en place de la DSP2. En effet, l’authentification forte ne sera appliquée que dans 2 cas pour les paiements sans contact :
- lorsque le client aura effectué 150 euros d’achats consécutifs cumulés
- ou lorsqu’il aura effectué 5 opérations consécutives depuis la date de sa dernière authentification forte
Dans ces cas-là, il devra insérer sa carte dans le terminal de paiement et taper son code. Ces principes de sécurité sont généralement déjà mis en place par les banques à l’heure actuelle.
Toutefois, les paiements par mobile eux ne sont pas concernés par ces directives. En effet, il existe déjà une authentification forte pour les paiements par mobile puisque le consommateur s’identifie via son empreinte digitale ou par reconnaissance faciale.
Calendrier des changements
Si la directive est active dès le 14 septembre 2019, les professionnels ont toutefois de la marge avant de mettre en oeuvre ces nouvelles mesures de sécurité. Ils bénéficient en effet d’un délai supplémentaire pour effectuer les changements, notamment au niveau informatique.
Normalement, d’ici la fin 2020, la plupart des professionnels concernés devront avoir mis en place l’authentification forte.
En France, à mi-décembre 2020, "plus des trois quarts des utilisateurs et des transactions réalisées sur internet devront être passés à l’authentification forte”, selon l’Observatoire de la sécurité des moyens de paiements.