Authentification forte du client pour DSP2

Ce que doivent retenir les prestataires de paiement

La nouvelle Directive Européenne sur les Services de Paiement (DSP2) demande une Authentification Forte du Client (en anglais "Strong Customer Authentication" ou SCA) pour renforcer la sécurité des transactions et la protection des données sensibles.
La DSP2 a mandaté l'Autorité Bancaire Européenne pour élaborer un projet de norme technique réglementaire (Regulatory Technical Standard RTS) spécifiant les exigences de l'Authentification Forte du Client et les éventuelles exemptions.

Qu'est-ce que l'authentification forte du client selon de DSP2 ?

Pour effectuer une Authentification Forte du Client, la DSP2 requiert l'utilisation d'au moins deux éléments indépendants parmi:

Connaissance

Ce que l'utilisateur sait

Mot de passe, PIN ...

Possession

Ce que l'utilisateur possède

Token, mobile, carte ...

Inhérence

Ce que l'utilisateur est

Empreinte digitale, reconnaissance faciale ...

 

PSD2 souligne que la mise en oeuvre doit inclure un mécanisme pour lier dynamiquement la transaction à un montant spécifique et un bénéficiaire spécifique.

Quand l'authentification forte du client est-elle obligatoire ?

Que l'opération ou la transaction soit initiée au travers un initiateur de paiement (Payment Initiation Service Provider, PISP), un agrégateur de comptes (Account Information Service Provider, AISP) ou un teneur de comptes (Account Servicing Payment Service Providers ASPSP), une Authentification Forte du Client doit être appliquée, hormis pour les cas d'exemption définis. Par exemple :


  • Lors de l'accès en ligne au solde d'un compte, à moins que l'Authentification Forte du Client ait eu lieu il y a moins de 90 jours

  • Pour les transactions de paiement électronique sans contact, hormis pour des montants inférieurs à 50 EUR et 150 EUR en cumulé

  • Pour les transactions de paiement électronique en ligne, hormis pour des montants inférieurs à 30 EUR et 150 EUR en cumulé

  • Lors de la modification de la liste des bénéficiaires de confiance, pour lesquels les cas d'exemption pourront s'appliquer par la suite

  • Lors de la mise en place d'une transaction récurrente (même bénéficiaire, même montant)

  • Pour effectuer un virement, sauf pour soi-même et dans le cadre d'un même ASPSP

Lorsque l'analyse de risque de transaction en temps réel (TRA) est effectuée par le PSP, le seuil d'exemption peut être relevé à des montants plus élevés si le taux de fraude actuel mesuré par le Prestataire de Service de Paiement (PSP) ne dépasse pas le taux de fraude de référence défini par la Valeur seuil d'exemption RTS (ETV) du RTS pour la méthode de paiement envisagée. La modélisation du risque de fraude a priori, la surveillance permanente de la fraude et l'établissement de rapports trimestriels par le PSP sont obligatoires. Dans tous les cas, le PSP doit veiller à ce que le risque de la transaction soit effectivement bas avant de contourner l'Authentification Forte du Client. Il peut par exemple vérifier que des éléments tels que le type de dépense, le comportement, la position géographique sont conformes aux habitudes et que la localisation du bénéficiaire n'est pas identifiée comme étant à haut risque.

L'Authentification Forte du Client est applicable à la fois pour les paiements des Particuliers et Entreprises.

Quelles sont les dates clés ?

12 Janvier
2016

DSP2 entre en vigueur

 

23 Février
2017

Le projet de norme technique réglementaire (RTS SCA) est publié

 

13 Janvier
2018

Date limite pour la transposition par les Etats Membres

 

Autour de
Novembre 2018

18 mois après sa publication, le RTS SCA devient obligatoire.

Conformité à la DSP2 par Morpho
Mobilité, sécurité et facilité d'utilisation

Morpho offre plusieurs solutions conformes aux exigences DSP2 concernant l'Authentification Forte du Client. Elles assurent une authentification multi-facteurs, mettant à profit l'expérience reconnue de Morpho en matière de biométrie, garantissent la liaison dynamique par le biais de codes d'authentification ou de signatures électroniques et assurent la protection des données de sécurité personnelles.

CloudCard+ pour l'authentification

CloudCard + de Morpho est une solution de nouvelle génération pour une Authentification Forte des Clients.

Avec CloudCard +, l'application mobile de la banque assure une conformité à la DSP2 en toute transparence. Elle met en oeuvre l'Authentification Forte du Client nécessitant l'utilisation d'au moins deux facteurs indépendants :

  • Facteur de possession : le terminal mobile
  • Facteur de connaissance : code PIN de la banque mobile
  • Facteur biométrique : le visage de l'utilisateur ou l'empreinte digitale

CloudCard + est actuellement en cours de certification CSPN par l'ANSSI, l'Agence Nationale de la Sécurité des Systèmes d'Information.

AIRPASS Mobile CVV pour le paiement mobile

AIRPASS Mobile CVV est une solution mobile générant des jetons de paiement dynamiques à usage unique pour sécuriser le paiement en ligne. Elle permet d'améliorer à la fois l'expérience client et son niveau de confiance.

L'utilisateur entre son code PIN ou prend un selfie (reconnaissance faciale) pour s'authentifier et afficher un PAN et/ou un CVV à usage unique sur son mobile. Il peut être utilisé sur n'importe quel site marchand, et même remplacer 3D Secure sans impact pour le marchand.

AIRPASS a été la première solution de paiement mobile du marché à être certifiée par Visa et Mastercard, en termes de fonctionnalité et de sécurité. Ce haut niveau de sécurité est en particulier assuré par notre composant de White Box Cryptography. Celui-ci assure la diversification de l'algorithme par terminal et garantit le stockage sécurisé des crypto tokens sur le mobile.

Morpho DTP et Morpho CloudCard+ pour la signature électronique

La signature électronique est reconnue par le RTS comme un moyen d'assurer l'Authentification Forte du Client. Morpho propose plusieurs solutions de signature électronique avancée et de signature électronique qualifiée, qui répondent non seulement aux exigences de la DSP2 en termes d'Authentification Forte du Client, mais assurent également la non-répudiation, qui peut être une exigence pour les transactions de montants importants.

Morpho possède une longue expérience dans la sécurisation des transactions B2B multicanal (SWIFTNet / FileAct, EBICS ...). Ses solutions de signature électronique sont largement déployées:

  • Morpho DTP, certifié CSPN par ANSSI, utilise CloudCard + comme une solution d'authentification à deux facteurs, ou bien un token ou une carte à puce USB comme facteur d'authentification fort
  • Morpho CloudCard+ permet également de réaliser une signature électronique avancée et qualifiée pour les utilisateurs en possession de certificats numériques, et ne nécessite pas de tokens ou de cartes à puce USB

 

Appuyer sur Entrée pour valider ou Echap pour fermer