Sécurité des paiements : ce qu’améliore la nouvelle directive européenne DSP2

07.10.2019

Le monde financier est désormais numérique, omnicanal, mobile et sans frontières, ce qui ouvre la voie à de nouveaux modes de paiement répondant aux besoins de consommateurs en attente de transactions toujours plus rapides et plus fluides. Autant d’enjeux de taille pour la sécurité des paiements ! Depuis le 14 septembre 2019, une nouvelle directive européenne s’applique : la DSP2. Objectif : permettre d’innover sur le marché européen des paiements tout en sécurisant le volume croissant des transactions financières.

Moyens de paiement & sécurité : un point de bascule

Accompagnant le boom du commerce en ligne et notamment sur mobile, le volume des paiements va toujours croissant à l’échelle mondiale, de nouveaux types de services de paiement voient le jour et la complexité technique des flux s’accroît. Selon un rapport de recherche pour Visa publié en 2017, 77 % des Européens utilisent désormais leur téléphone pour effectuer leurs opérations bancaires et leurs paiements quotidiens. L'industrie mondiale des paiements connaît donc des changements sans précédent. La technologie redéfinit le paysage des banques et des services financiers. Mais si les achats en ligne s’envolent, les possibilités de fraude aussi !

69,2 milliards, c’est le nombre de paiements par carte en Europe

Source : BCE, Payment Statistics, 2017

Le commerce électronique - et maintenant mobile - est en effet une cible de choix pour les fraudeurs. Une étude mondiale réalisée par PwC en 2018 a révélé que 49 % des entreprises concernées admettaient être victimes de fraude, un chiffre en hausse de 36 % par rapport à 2016. Au Royaume-Uni, en 2012, 140 millions de livres sterling ont été perdus à cause de la fraude liée au commerce électronique. En 2017, ce chiffre avait plus que doublé. Les prestataires de services de paiement, les commerçants et les régulateurs doivent donc tout faire pour renforcer la sécurité du commerce électronique, sans porter atteinte à la fluidité et la simplicité des parcours clients.

DSP2 : une directive européenne pour assurer la sécurité des paiements de demain

Dans ce contexte, la directive (UE) 2015/2366 relative aux services de paiement dans le marché intérieur, dite DSP2, fait évoluer le cadre réglementaire des paiements en Europe. Objectifs : tenir compte des progrès technologiques et permettre l’apparition de « services de paiement numérique novateurs, surs et conviviaux ».

Outre un système de contrôle des paiements plus fort – grâce à la double authentification –, la directive met en place un nouveau mode d’accès aux données plus ouvert, standardisé et plus sécurisé pour deux catégories d’acteurs financiers :

les initiateurs de paiement, qui peuvent effectuer des paiements ou des retraits pour le compte d'un consommateur, avec le consentement de ce dernier,
les agrégateurs, qui ont accès aux informations de compte des clients et proposent des services tels que l’analyse des dépenses ou la consolidation de comptes.

Les établissements bancaires doivent dorénavant mettre à disposition de ces acteurs une interface standardisée et sécurisée donnant accès aux données de paiement de leurs clients. Cette mesure a pour but d’encourager l’innovation en matière de services financiers en facilitant l’accès à ces données indispensables en toute sécurité. Elle doit aussi permettre de mettre fin aux techniques actuelles de « web scraping », basées sur l’utilisation des identifiants et des mots de passe des clients, jugées dangereuses. Ces interfaces prendront la forme d’API (Application Programming Interfaces).

Calendrier : la directive DSP2 s’applique depuis le 13 janvier 2018 et les normes de sécurité depuis le 14 septembre 2019.

Les API de BNP Paribas sont en test depuis mars 2019 et disponibles depuis juillet. Elles sont conformes à la réglementation DSP2 et utilisables par les agrégateurs de comptes et initiateurs de paiement. Ces derniers peuvent désormais disposer des données de comptes des clients du Groupe pour proposer des services financiers. Et ce, de manière totalement sécurisée.

Ces API sont accessibles depuis le Portail API Store BNP Paribas.

Qu’est-ce que ça change au quotidien pour le consommateur ?

Lors de paiements, vous pouvez rencontrer des contrôles de sécurité parfois un peu plus longs. En effet, un système d’authentification fort comprend toujours deux étapes permettant de vérifier deux éléments (et non plus un) parmi les trois catégories suivantes :

quelque chose que vous possédez : téléphone portable, carte à puce, jeton, badge, montre connectée…,
quelque chose que vous connaissez : mot de passe, phrase secrète, question secrète, code PIN…,
quelque chose que vous êtes : empreinte digitale, reconnaissance faciale et vocale, scan de l'iris, analyse de frappe…

Depuis 4 ans, BNP Paribas a mis en place un système d’authentification forte pour garantir les achats de ses clients : la clé digitale, un service gratuit permettant de renforcer la sécurité de toutes les opérations en ligne.

Des exceptions à ces nouvelles règles de sécurité ? Oui, quelques-unes, comme les transactions de faible valeur (50 € pour le sans contact), les paiements récurrents (abonnements) ou fractionnés, péages et parkings… pour lesquelles l’authentification forte n’est pas requise.

Crédit photo header ©pikselstock

Outils

A lire aussi

Toutes les actualités

Groupe

BNP Paribas met ses API DSP2 à la disposition des Prestataires de Services de Paiement agréés

20/05/2019

Groupe

BNP Paribas & Apple Pay : choisissez de payer rapidement et en toute sécurité

Pour répondre aux besoins de ses clients, BNP Paribas développe de nouveaux services de...

27/05/2019

Mécénat

One Planet Fellowship : 45 lauréats africains pour une nouvelle génération de chercheurs

Pour le tout premier appel à candidatures du programme One Planet Fellowship, 45 lauréats...

20/09/2019