C’est un fait, la DSP2 et les RTS (normes techniques de règlementation ») vont impacter les paiements en ligne à brève échéance. Ce dernier texte (le RTS) qui précise les modalités du renforcement de l’authentification forte demandé par la DSP2 sera applicable dans moins d’un an, le 14 septembre prochain.

De nombreux articles de presse se sont récemment fait l’écho de la fin programmée du SMS qui contribue à l’authentification forte du porteur de la carte dans le cadre du protocole 3Dsecure utilisé pour certaines transactions.

Le ton pour le moins anxiogène de ces articles et les raccourcis parfois rapides sur ce sujet complexe nous semble particulièrement exagéré. 3Dsecure dans sa forme la plus répandue (avec SMS donc) a mis plus de dix ans à s’installer dans le paysage des paiements en ligne. Et, ironie de l’histoire, la Fevad a longtemps été assez réticente à propos, si ce n’est ce protocole d’authentification, du moins de ses modalités de mise en œuvre qui dans les premières années pouvaient conduire à de nombreux échecs de paiement.

Il fait aujourd’hui parti de l’arsenal de lutte contre la fraude et s’il n’est pas la solution idéale, il est d’une part, bien accepté des cyberacheteurs et d’autre part pertinent du point de vue des marchands dans certains cas en complément d’une analyse de risque.

La position de l’EBA (European Banking Autority) sur le sujet est certes assez tranchée (voir ici) mais il serait quelque peu aventureux de devoir y renoncer brutalement avant que d’autres solutions techniquement fiables et largement diffusées ne soient opérationnelles : la transition ne peut être envisagée dans un si court délai.

La position du Conseil Consultatif du commerce 

Depuis la publication du RTS, l’ensemble de la profession (régulateur, banques, marchands, scheme, prestataires …) s’est mobilisé pour faire une lecture pragmatique de ces nouvelles obligations afin que le 14 septembre 2019 soit le plus « frictionless » possible (voir le livre blanc du CCC CB ci-dessous) pour les marchands et les consommateurs. De nouvelles solutions d’authentification arrivent (biométrie mais aussi ce qu’on appelle « inhérence passive »), de même qu’un 3DS 2.0 « DSP2 compatible ». Tout cela demande du temps et le SMS OTP, si sa fin est programmée, a encore un rôle à jouer dans le paysage du commerce électronique. D’autant que de nombreuses questions restent aujourd’hui 

Pour plus d’infos sur les évolutions en cours :

Télécharger la position du CCC CB à la rédaction de laquelle la Fevad a participé.

Télécharger la position de Mastercard

Consulter les Q&A de l’EBA sur les RTS

 

Contact Fevad : Bertrand Pineau / bpineau@fevad.com 

Summary
Article Name
Authentification forte des transactions : le SMS OTP en mutation mais toujours utile
Description
Depuis la publication du RTS, l’ensemble de la profession (régulateur, banques, marchands, scheme, prestataires …) s’est mobilisé pour faire une lecture pragmatique de ces nouvelles obligations afin que le 14 septembre 2019 soit le plus « frictionless » possible
Publisher Name
FEVAD
PARTAGER