Acclamée pour son innovation et sa capacité à susciter la concurrence, la DSP2 a apporté de nombreux changements dans le paysage des paiements en ligne. Misant sur l’authentification forte du client, ce système met la protection des clients au cœur de ses préoccupations en rendant les transactions en ligne aussi fluides que pratiques. Très attendue, la DSP3 est sur le point de voir le jour. Mais au vu de certaines anomalies au sein de l’ancienne version (en particulier au niveau de l’authentification forte), cette nouvelle directive éveille les esprits critiques.
DSP3 : pour protéger les clients
Avec l’immersion des nouvelles technologies, l’Union européenne a sauté le pas en se servant de la high-tech pour renforcer la sécurité des transactions électroniques afin de protéger au mieux les citoyens. Le monde du paiement en ligne ouvrant la porte aux fraudes et aux arnaques, le but est d’uniformiser les processus d’inscription (ou d’achat) en passant par une étape bien définie.
Pour ce faire, l’authentification forte, un concept clé dans le domaine de la sécurité des transactions électroniques, est mise en place. Également connu sous le nom d’authentification à deux facteurs, ce processus permet aux utilisateurs d’accéder à leur argent en prouvant qu’ils en sont les vrais détenteurs.
Authentification forte, un processus obligatoire
Depuis sa mise en place dans la DSP2 en 2015, l’authentification forte suscite les discussions.
Pour qu’une transaction soit considérée comme authentifiée de manière « forte », l’utilisateur doit fournir au moins deux facteurs provenant de catégories différentes.
- Cela peut, par exemple, impliquer l’utilisation d’un mot de passe (connaissance)
- et d’un code envoyé par SMS sur le téléphone mobile (possession) de l’utilisateur.
- ou une reconnaissance faciale ou digitale.
Authentification forte : cela freine un acheteur sur deux
À ce propos, le secteur commercial est celui qui paie le plus les pots cassés. Depuis la mise en place de cette directive, un acheteur en ligne sur deux abandonne son panier. Même chose pour les plateformes qui voient leurs prospects renoncer à l’ouverture de compte, car le procédé est un travail de longue haleine. Pour 61% d’entre eux, l’obstacle provient du niveau de sécurité trop accablant.
Le parcours client en devint trop long et complexe. Les utilisateurs sont lassés, perdent patience et abandonnent le panier ou l’inscription à un nouveau service.
D’autre part, ce n’est pas encore le bon moment pour dire que les menaces ont diminué. En plus de l’authentification forte, la DSP3 devra mettre en point d’orgue le risque accru des menaces dont l’Union Européenne ne s’est pas encore entièrement débarrassée. Selon Juniper Research, une société d’étude de marché, les pertes mondiales liées aux paiements en ligne en 2021 ont augmenté de 18% par rapport à l’année 2020. La Banque Centrale Européenne, quant à elle, a souligné que les fraudes liées à la carte bancaire en 2019 atteignaient les 80%, soit une perte de 1,5 milliard.
Authentification biométrique : pour limiter la friction sur le parcours client
Pour contourner la complexité du parcours, l’utilisation des caractéristiques biométriques comme la reconnaissance faciale, vocale ou digitale serait sûrement une bonne solution. Ce qui reviendra à une authentification rapide, pratique, sans nécessiter de mots de passe complexes ni de codes PIN.
D’autre part, les avancées dans les fonctionnalités biométriques nuancées, telles que la dynamique de frappe au clavier, l’angle de tenue du dispositif ou l’utilisation de la souris, permettent d’obtenir des données comportementales uniques pour l’authentification. Des facteurs spécifiques à chaque individu qui sont plus difficiles à reproduire ou à falsifier. Dans le cadre de la DSP3, il est possible d’envisager l’expansion des facteurs d’authentification biométriques et comportementaux autorisés. Les données biométriques et comportementales, combinées à des facteurs contextuels tels que l’adresse IP et la géolocalisation, peuvent être utilisées pour une authentification plus précise et fiable des véritables consommateurs.
Espérons que cet élan de processus dont le but affiché est de protéger le consommateur ne s’oriente pas vers le modèle du Zéro Trust qui est très lourd et pénalisant.