L’ABE très critiquée sur son projet de standard sur l’authentification forte à distance
Les enseignes en ligne ont été rejointes par un appel inter-secteur en faveur d’une application sélective (2 facteurs), fondée sur l’évaluation des risques.
Ayant clos mi-octobre sa consultation, l’ABE élabore la version finale de son RTS sur l’authentification forte du client, publiée en janvier prochain. Durcissant les règles de ses lignes directrices de 2014, en vigueur depuis l’été 2015, l’Autorité les adapte selon l’environnement de paiement et le risque associé. Toutefois, l’e-commerce relève du « paiement électronique à distance ». Du fait de sa fraude globalement plus élevée, l’authentification forte est prescrite pour tout achat de plus de dix euros. Les achats non authentifiés ne peuvent dépasser un cumul de 100 euros d’affilée.
En outre, la norme prévoit un montant maximum associé à une transaction authentifiée. Enfin, l’ABE élimine les exemptions actuelles, les voyant comme une mesure de transition entre ses guidelines d’août 2015 et l’entrée en vigueur, en octobre 2018, du RTS à l’étude.
L’authentification forte étant définie comme le recours à au moins deux éléments du client (parmi ce qu’il connaît, ce qu’il possède et ce qu’il est), il en résulte une forte contrainte sur le process.
Contestant cette ligne, une nuée de contributions (Visa, PayPal ou encore la FEVAD) prône une approche plus flexible, adaptative, appuyée sur l’analyse en temps réel du contexte d’une opération et du comportement habituel du client. C’est la stratégie de sécurité suivie jusqu’à présent dans le secteur, adaptant l’équilibre entre pertes de fraude et coûts de la lutte antifraude, tout en préservant la confiance.
Dans une note, Visa argue qu’un parcours de paiement allongé et plus compliqué a un effet direct sur l’abandon d’achats. En faveur de l’existant, le scheme met en avant ses pertes de fraude, inférieures à 0,005 %. En outre, sa récente enquête, menée par le bureau Populus, évalue à un peu plus de 50 % la part des internautes anglais disant abandonner un achat en ligne si le tunnel de paiement s’allonge. Seraient aussi impactés des points de vente physiques, comme les automates : péages, parkings.
Notre analyse : Réaction unanime, des établissements financiers aux enseignes en ligne
Outre la campagne de Visa, 39 organisations d’Europe ont signé, le 27 novembre, une lettre ouverte à la Commission Européenne, soulignant l’effet négatif du projet de RTS. Elle réunit les télécoms et sociétés de nouvelles technologies, les processeurs, des systèmes de cartes comme Cartes Bancaires, des éditeurs, des PSP, ainsi que des commerçants en ligne, y compris du secteur des loisirs et du voyage.
Ils montrent que les technologies déployées permettent déjà de mesurer et d’optimiser le risque. L’authentification forte est déclenchée selon une convergence de critères indicateurs de fraude potentielle. Les commerçants et leurs prestataires techniques identifient ces situations et choisissent d’y appliquer ces mesures additionnelles de sécurité.
Lire aussi : Lettre ouverte à la Commission Européenne, 25 novembre 2016