Logo

Site non disponible sur ce navigateur

Afin de bénéficier d'une expérience optimale nous vous invitons à consulter le site sur Chrome, Edge, Safari ou Mozilla Firefox.

adnews
  • Réglementation
  • Paiement
  • Europe

L’ABE publie ses règles finales pour l’authentification forte du client

Après le nombre record de réponses à sa consultation, le régulateur bancaire européen a allégé en partie les règles d’authentification de la DSP 2.

L’ABE (Autorité Bancaire Européenne) a publié la version finale attendue du Standard Technique et Réglementaire (RTS) prévu par la DSP 2 sur l’authentification forte du payeur et les échanges sécurisés entre PSP. Ayant reçu 224 contributions avec 300 sujet de préoccupation (Observatoires d’août et de novembre 2016), l’agence a voulu mieux tenir compte de la complexité et de la diversité des marchés de paiement.

Deux exemptions sont ajoutées au principe d’authentification à deux facteurs pour l’initiateur du paiement. L’une couvre le paiement sur automates (« unattended »). L’autre, qui sera réexaminé au bout de 18 mois, s’applique aux transactions faisant l’objet d’une analyse de risque déclinée selon des taux de fraude prédéfinis.

Par ailleurs, l’ABE a remonté à 30 euros le montant au-delà duquel est requise l’authentification forte. Le seuil originel de 10 euros, équivalant à une obligation quasi systématique, était perçu comme contre-productif. Dans leurs interactions avec les nouveaux PSP créés par la DSP2, les banques, en tant que gestionnaires de compte (Account Servicing PSP) restent tenues d’offrir au moins une interface d’accès vers les comptes clients aux PISP et aux AISP. La DSP 2 interdit en effet l’accès non identifié répété de tiers (‘screen scraping’). Pour cela, les banques devront fournir le même niveau de service (performance, plan de continuité) sur les transactions transmises par les PISP que sur celles initiées par leurs clients. Elles devront leur confirmer sans délai la disponibilité des fonds.

Notre analyse : Des allègements sur l’authentification, moins sur l’accès au S.I. Paiement

Le texte final, à adopter par la Commission Européenne comme acté délégué, conserve la grande majorité de ses principes, notamment la communication sécurisée des ordres de paiement (via un PISP). Le nombre inédit de contributions a toutefois reconnu la validité des actuelles pratiques sur le paiement à distance, fondée sur une authentification conditionnelle et réactive de l’authentification du payeur.

Selon l’analyse en temps réel du contexte d’une transaction et de l’historique de son initiateur, chaque établissement définit son équilibre entre pertes de fraude et gêne/manque à gagner. L’authentification sélective du client permet aussi aux commerçants et aux fournisseurs techniques d’évaluer les situations à risque, et de déclencher des mesures de contrôle plus contraignante si la menace dépasse l’impact négatif sur les affaires. Rappelons que la définition de l’authentification forte par un établissement teneur de compte consiste à vérifier deux éléments (facteurs) parmi trois : ce que le client sait, possède ou/et est (inhérence, ex. : traits physiques). Ceci suppose la compatibilité avec tout standard déployé.