A l’occasion de sa réunion plénière le 23 juin dernier, l’Observatoire confirme l’importance qu’elle accorde à la conformité des acteurs de la chaîne de paiement à la DSP2 et donc, pour ce qui concerne le e-commerce, à l’authentification forte des paiements en ligne. Pour l’essentiel, les standards (1) viennent spécifier l’obligation d’authentification forte du client, systématisée par la DSP 2 (2), et qui aura pour conséquence d’impacter les commerçants physiques et les commerçants en ligne. L’authentification est la procédure nécessaire pour valider des paiements en ligne par carte bancaire ou transfert. Pour le e-commerce, cette exigence se traduit principalement par l’obligation de procéder à une authentification forte de … Luttez efficacement contre toute tentative de fraude en respectant ces quelques principes. Ratione materiae. L’authentification forte ou Strong Customer Authentification (SCA) qui sera généralisée le 14 septembre 2019 a pour objectif de réduire les cas de fraude et de renforcer la sécurité en introduisant l'authentification à deux facteurs pour l’accès à la banque en ligne ou lors des paiements électroniques. Le CIC tient à la sécurité des accès à vos comptes et de vos paiements en ligne et s'engage à répondre aux exigences de la Directive européenne sur les Services de Paiement 2 (dite DSP2)1. en toute circonstance (24/7, à l’étranger, …). L’authentification forte se définit comme : 1. Informations cookies et paramétrage, cliquez ici. Elle consiste à sécuriser vos connexions et vos transactions avec une authentification à deux facteurs, qui va se substituer au SMS reçu sur mobile. La DSP2 dans son article 25 précise qu’une fourniture du moyen d’authentification fort à distance nécessite une authentification forte. un facteur de connaissance (mot de passe, questions secrètes, …) que seul le client connait; un facteur de possession (téléphone mobile, carte à puce, …) que seul le client possède; une caractéristique personnelle du client (empreinte digitale, reconnaissance vocale ou faciale). L'authentification forte, telle que définie par la DSP2 1, signifie que les accès aux comptes et les transactions seront vérifiés à l'aide d'au moins 2 des éléments suivants : un mot de passe ou un code que seul l'utilisateur connaît; un appareil (téléphone mobile, carte à puce, etc.) Avec l’authentification forte, un client doit prouver son identité, en réunissant deux facteurs parmi les suivants : Les opérations sensibles de la Banque à Distance sont déjà protégées par une authentification forte, avec la DSP2 elle devient obligatoire pour l’accès à la banque à distance comme le précise l’article 10 du règlement de la DSP2. Selon la Commission européenne, son objectif est de « favoriser l’innovation, la concurrence et l’efficience » du marché et … 2. La norme technique de 2017 relative à l’authentification forte qui s’appliquera à partir du 14 septembre 2019 prévoit que l’initiative de l’utilisation de l’authentification forte est entre les mains du prestataire de service de paiement du payeur. Soulagement au cœur de l’été : alors que les commerçants et les banques voyaient approcher la date du 14 septembre 2019, où l'obligation d'authentification forte devait s’imposer dans les paiements en ligne, un avis de l'Autorité bancaire européenne paru le 21 juin reconnaissait les difficultés de mise en œuvre du dispositif. La problématique de l’œuf et la poule est donc posée : comment enrôler nos clients à Sécur’pass en assurant un haut niveau de sécurité ? L’authentification forte c’est quoi ? Authentification forte du client : Quelles sont les règles dictées par la DSP2? ; Cette réglementation a pour objectif de renforcer la sécurité des opérations de paiement et d'accès aux comptes grâce à l'authentification forte. Et bien sûr, les mots de passe sont facilement oubliés. Votre conseiller est à vos côtés pour vous accompagner, Sécurité renforcée pour vos opérations bancaires en ligne (DSP2), Accéder aux questions les plus fréquentes, un élément que vous seul connaissez (mot de passe, code, etc. Le PSP du bénéficiaire doit lui en revanche être en mesure d’accepter l’authentification forte. Pour activer la Clé Digitale : 1. Cette réglementation a pour objectif de renforcer la sécurité des opérations de paiement et d'accès aux comptes grâce à l'authentification forte. ), un élément que vous seul possédez (téléphone mobile, carte à puce, etc.). Le principe de l’authentification forte concerne des opérations qui vont au-delà des paiements. Un mot de passe dont les clients devaient se souvenir. 7.1 Présentation. Les normes techniques de la DSP2 visent notamment à harmoniser la réglementation européenne sur les paiements. La DSP1 a créé le marché unique des paiements en 2007. Plus l’authentification est forte, plus la sécurité est élevée. Mise en œuvre de l’authentification forte dans la DSP 2. Si l’exigence « authentification forte pour l’accès au compte de paiement » peut paraître simple, sa mise en œuvre pour un volume important de clients, dès l’accès du service et en ayant l’assurance de la conformité aux textes, tout en maintenant un haut niveau de service, est un véritable challenge. Rapidement, de nouveaux acteurs (initiateurs et agrégateurs), et de nouvelles technologies sont apparus, nécessitant une mise à jour : la DSP2 a ainsi été adoptée en 2015. Dans le cadre de la sécurisation de leur compte, les clients s’intéressent surtout sur l’authentification forte. Un nouveau règlement européen relatif à l’authentification forte du client et normes ouvertes communes et sécurisées de communication sera mis en application, à compter du 14 septembre 2019, dans le cadre de la Directive sur les services de paiement 2 (DSP2). depuis un équipement non maîtrisable (Smartphone, tablette, PC, OS obsolète, …). L’accès est réservé aux collaborateurs du Groupe BPCE, Identifiez vous avec votre email et votre mot de passe de messagerie professionnelle, Besoin d’aide ? L'authentification forte est une procédure de vérification de votre identité. Votre identité est confirmée, vous pouvez accéder à votre Espace client en ligne. Pour le réseau des établissements Banque Populaire et des établissements Caisse d’Epargne, les solutions d’authentification retenues pour les services d’accès à la banque à distance sont : Pour les paiements carte, la solution Sécur’pass répond à la mise en conformité DSP2 des paiements carte ; une solution alternative sera proposée pour équiper les clients non détenteurs de smartphone. Pour rappel, le 3DS mettait en œuvre une authentification non rejouable. La protection des consommateurs est assurée par une amélioration de la sécurité des paiements électroniques. Cet avis de l’Autorité bancaire européenne a entraîné de la confusion sur les solutions possibles d’authentification forte. Pour l’ensemble de vos transactions en ligne, l’authentification forte va peu à peu se généraliser. Cette nouvelle obligation vise à renforcer la protection des consommateurs, en renforçant la sécurité des moyens de paiement en ligne. De nombreuses autres questions sur la conformité ou l’usage de certains facteurs d’authentification ont été soulevées: doit-on ressaisir le mot de passe en complément de l’OTP SMS pour chaque opération de Banque à distance ? En 2019, cette fraude représentait un total de 173,3 millions d’euros. L’accès à une boîte aux lettres est-elle un facteur de possession ? Elle demande que l'accès à vos comptes et vos opérations de paiement en ligne soit vérifié avec au moins 2 des 3 éléments suivants : Lors de vos connexions à votre Espace client ou lors de vos opérations de paiements, en plus de votre identifiant et de votre mot de passe, vous devrez confirmer votre opération à l'aide d'une solution d'authentification forte. C’est la raison pour laquelle les normes techniques de réglementation instaurent des exigences de sécurité que les prestataires de services de paiement doivent respecter lorsqu’ils traitent des opérations de paiement ou fournissent des services connexes. Contactez nous, Accueil > Actualités > DSP2 et Authentification forte. Le choix des solutions d’authentification forte tient donc compte des paramètres suivants : Le choix des solutions d’authentification forte a soulevé de nombreuses questions : notamment l’usage ou non de l’OTP SMS (envoi d’un SMS incluant un code à usage unique) comme facteur d’authentification. Les réponses sont venues au fur et à mesure via différentes publications de l’EBA : opinion, Q/A …. Chez BNP Paribas, nous vous proposons la Clé Digitale. Ce n’était pas la fin de l’OTP SMS qu’il fallait comprendre mais bien la fin de l’usage unique de l’authentification non rejouable pour le 3DS, car il met en œuvre uniquement un facteur de possession (le mobile servant à recevoir l’OTP). Tout un écosystème impacté par cette mise en conformité 6 janvier 2021 Généralisation de l’authentification forte pour l’accès à un service à forte audience Avec l’authentification forte, un client doit prouver son identité, en réunissant deux facteurs parmi les suivants : un facteur de connaissance (mot de … La DSP 2 impose dorénavant le procédé SCA, Strong Consumer Authentification, à savoir l’identification du client impliquant au moins deux facteurs indépendants tels que : Un élément connu du … Trois autres obligations de rapports découlent des normes techniques de réglementation sur l'authentification forte du client et la communication sécurisée (RTS SCA & CSC). La définition du parcours de l’enrôlement Sécur’pass a fait l’objet de mesures de sécurité afin de pouvoir protéger cette opération et de lutter contre les tentatives d’enrôlement frauduleux et des évolutions permanentes sont nécessaires afin de s’adapter à la menace permanente des fraudeurs. Parlez-en avec votre conseiller. Pour éviter toute difficulté, il est nécessaire d'utiliser vos identifiants personnels de Banque à Distance pour effectuer vos opérations de paiement en ligne. L'authentification forte des paiements sera obligatoire sur votre site e-commerce. depuis l'application en renseignant votre identifiant, votre mot de passe et votre code de. L'authentification forte implique deux authentifications donc deux opérations manuelles. En 2018, l’EBA publie un avis précisant que le paiement 3DS se reposant uniquement sur la génération d’un OTP transmis par SMS n’est pas une authentification forte. Une authentification est considérée comme forte lorsqu’elle réunit deux des trois éléments suivants : • un élément que vous seul connaissez (un mot de passe, un code secret, etc.) L’entrée en application de DSP 2 rend désormais obligatoire l’authentification forte alors qu’elle était seulement recommandée jusqu’ici. La DSP2 s’applique depuis le 13 janvier 2018. En effet si les services des géants de l’Internet (Google, Apple, Facebook, Amazon, Microsoft, Twitter …) recourent déjà à l’authentification dite à double facteur (ou forte), pour protéger des opérations sensibles ou en cas de suspicion de fraude ou d’utilisation illégitime ; les banques la mettent en œuvre dès l’accès à leur service. Sans quoi vous ne serez pas en mesure de confirmer votre identité lors de l'authentification forte. L’obligation d’authentification forte, exposée dans l'article 97 de la DSP 2, est précisée dans les RTS SCA & CSC. Pourquoi l’authentification forte ? Or, actuellement, cette décision revient au e-commerçant. Comme on peut le voir, le choix d’une authentification forte utilisant le facteur possession en complément du « bon vieux » login/mot de passe semble la solution la plus simple à mettre en œuvre.. Il dépend du nombre d’utilisateurs à authentifier : plus le nombre augmente, plus la logistique d’un parc d’identificateurs physiques sera lourde. Sécurisez la consultation de vos comptes et vos paiements par carte sur internet, L'authentification forte pour renforcer la sécurité de vos opérations. Mais un gros changement reste encore à venir à la fin de l’année. L’authentification forte, au sens de la DSP2, est définie comme une authentification reposant sur l’utilisation d’au moins deux éléments appartenant aux catégories suivantes : Connaissance : quelque chose que seul l’utilisateur connaît (mot de passe, question secrète, code secret, code PIN, numéro d’authentification etc.) Vérifiez ou mettez à jour votre numéro de téléphone dans le menu Profil > Informations Personnelles de votre Espace client. Les articles de presse stipulant la fin du SMS pour le 3DS dans le cadre de la DSP2, une question se posait : est-ce que l’utilisation de l’OTP transmis par SMS était possible comme facteur de possession dans le cadre de la DSP2 ? Les dispositions de sécurité de cette directive, notamment l’Authentification Forte, sont entrées en vigueur le 14 septembre 2019. La localisation du payeur ou du bénéficiaire (un commerçant par exemple) n’importe donc pas. Cette procédure qui devra être opérationnelle sur l’ensemble des sites e-commerce avant le 1er janvier 2021. Authentification forte pour la consultation des comptes et opérations engageantes (entre en vigueur au 14 septembre 2019) : > L’authentification forte est la combinaison de deux éléments d’authentification indépendants l’un de l’autre parmi les trois catégories suivantes : Nous vous conseillons de télécharger notre application (disponible sur iOS 11 et supérieur et Android 6.0 et supérieur). • un élément que vous seul possédez (votre téléphone mobile via l’application de votre banque, une carte bancaire, etc.) Sécurisation de la…, Podcast Data Managers : le métier de Chief Data Officer, Mes premiers pas au sein de la 89C3 Factory…, La Caisse d’Epargne Bourgogne Franche-Comté, première banque du Groupe BPCE à lancer le crédit immobilier digitalisé de A à Z, une innovation majeure pour ses clients, La direction du digital du Groupe BPCE devient la direction du digital et de la data, Le Groupe BPCE lance son nouveau site institutionnel groupebpce.com, Natixis Factor, premier spécialiste français de l’affacturage à proposer l’Instant Payment aux clients Banque Populaire et Caisse d’Epargne pour financer leurs créances. En clair, pour tout paiement en ligne supérieur à 30 euros, une double authentification – ou 3DSecure 2 – sera obligatoire et la responsabilité de l’authentification forte appartiendra aux émetteurs des moyens de paiement et aux banques acquéreurs. La DSP 2 a été adoptée le 25 novembre 2015, pour entrer en vigueur le 13 janvier 2018. À compter de septembre 2019, elle devient une obligation. « une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories : 1.1. connaissance (quelque chose que seul l’utilisateur con… utilisable par le plus grand nombre (la cible concernée se compte en millions de clients). Comme mentionné précédemment, le 3D Secure 2, avec l’authentification forte, ont pour objectif de protéger le consommateur et les e-commerçants contre la fraude. Cette obligation se résume à : Ce que le client sait : son code PIN et son mot de passe. La DSP 2 impose dorénavant la mise en place d’un système d’authentification forte. Ce contenu a été mis à jour le 18 septembre 2019. Ces informations sont indispensables afin de : Assurez-vous régulièrement que vos coordonnées personnelles restent toujours bien à jour. Avant la mise en place de l'authentification forte et du protocole 3DSecure 2, les banques émettrices vérifiaient l'identité des acheteurs avec un mot de passe.