La banque d'un monde qui change

Sécurité des paiements : ce qu’améliore la nouvelle directive européenne DSP2

  • 07.10.2019

Le monde financier est désormais numérique, omnicanal, mobile et sans frontières, ce qui ouvre la voie à de nouveaux modes de paiement répondant aux besoins de consommateurs en attente de transactions toujours plus rapides et plus fluides. Autant d’enjeux de taille pour la sécurité des paiements ! Depuis le 14 septembre 2019, une nouvelle directive européenne s’applique : la DSP2. Objectif : permettre d’innover sur le marché européen des paiements tout en sécurisant le volume croissant des transactions financières.

Moyens de paiement & sécurité : un point de bascule

Accompagnant le boom du commerce en ligne et notamment sur mobile, le volume des paiements va toujours croissant à l’échelle mondiale, de nouveaux types de services de paiement voient le jour et la complexité technique des flux s’accroît. Selon un rapport de recherche pour Visa publié en 2017, 77 % des Européens utilisent désormais leur téléphone pour effectuer leurs opérations bancaires et leurs paiements quotidiens. L'industrie mondiale des paiements connaît donc des changements sans précédent. La technologie redéfinit le paysage des banques et des services financiers. Mais si les achats en ligne s’envolent, les possibilités de fraude aussi !

69,2 milliards, c’est le nombre de paiements par carte en Europe 

Source : BCE, Payment Statistics, 2017

Le commerce électronique - et maintenant mobile - est en effet une cible de choix pour les fraudeurs. Une étude mondiale réalisée par PwC en 2018 a révélé que 49 % des entreprises concernées admettaient être victimes de fraude, un chiffre en hausse de 36 % par rapport à 2016. Au Royaume-Uni, en 2012, 140 millions de livres sterling ont été perdus à cause de la fraude liée au commerce électronique. En 2017, ce chiffre avait plus que doublé. Les prestataires de services de paiement, les commerçants et les régulateurs doivent donc tout faire pour renforcer la sécurité du commerce électronique, sans porter atteinte à la fluidité et la simplicité des parcours clients. 

©Wayhome Studio

DSP2 : une directive européenne pour assurer la sécurité des paiements de demain

Dans ce contexte, la directive (UE) 2015/2366 relative aux services de paiement dans le marché intérieur, dite DSP2, fait évoluer le cadre réglementaire des paiements en Europe. Objectifs : tenir compte des progrès technologiques et permettre l’apparition de « services de paiement numérique novateurs, surs et conviviaux ». 

Outre un système de contrôle des paiements plus fort – grâce à la double authentification –, la directive met en place un nouveau mode d’accès aux données plus ouvert, standardisé et plus sécurisé pour deux catégories d’acteurs financiers : 

  1. les initiateurs de paiement, qui peuvent effectuer des paiements ou des retraits pour le compte d'un consommateur, avec le consentement de ce dernier,
  2. les agrégateurs, qui ont accès aux informations de compte des clients et proposent des services tels que l’analyse des dépenses ou la consolidation de comptes. 

Les établissements  bancaires doivent dorénavant mettre à disposition de ces acteurs une interface standardisée et sécurisée donnant accès aux données de paiement de leurs clients. Cette mesure a pour but d’encourager l’innovation en matière de services financiers en facilitant l’accès à ces données indispensables en toute sécurité. Elle doit aussi permettre de mettre fin aux techniques actuelles de « web scraping », basées sur l’utilisation des identifiants et des mots de passe des clients, jugées dangereuses. Ces interfaces prendront la forme d’API (Application Programming Interfaces).

Calendrier : la directive DSP2 s’applique depuis le 13 janvier 2018 et les normes de sécurité depuis le 14 septembre 2019.

Les API de BNP Paribas sont en test depuis mars 2019 et disponibles depuis juillet. Elles sont conformes à la réglementation DSP2 et utilisables par les agrégateurs de comptes et initiateurs de paiement. Ces derniers peuvent désormais disposer des données de comptes des clients du Groupe pour proposer des services financiers. Et ce, de manière totalement sécurisée.

Ces API sont accessibles depuis le Portail API Store BNP Paribas.

Qu’est-ce que ça change au quotidien pour le consommateur ?

Lors de paiements, vous pouvez rencontrer des contrôles de sécurité parfois un peu plus longs. En effet, un système d’authentification fort comprend toujours deux étapes permettant de vérifier deux éléments (et non plus un) parmi les trois catégories suivantes : 
  1. quelque chose que vous possédez : téléphone portable, carte à puce, jeton, badge, montre connectée…,
  2. quelque chose que vous connaissez : mot de passe, phrase secrète, question secrète, code PIN…,
  3. quelque chose que vous êtes : empreinte digitale, reconnaissance faciale et vocale, scan de l'iris, analyse de frappe…

Depuis 4 ans, BNP Paribas a mis en place un système d’authentification forte pour garantir les achats de ses clients : la clé digitale, un service gratuit permettant de renforcer la sécurité de toutes les opérations en ligne.

Des exceptions à ces nouvelles règles de sécurité ? Oui, quelques-unes, comme les transactions de faible valeur (50 € pour le sans contact), les paiements récurrents (abonnements) ou fractionnés, péages et parkings… pour lesquelles l’authentification forte n’est pas requise.

Crédit photo header ©pikselstock