L'authentification forte, un obstacle majeur pour les services d’agrégation de comptes

Depuis plusieurs mois, un climat g&eacute;n&eacute;ral de satisfaction r&egrave;gne &agrave; propos de la 2e directive sur les services de paiement (DSP 2), mais certains points d&eacute;cisifs sont parfois oubli&eacute;s. Le plus crucial &eacute;tant clairement l&rsquo;authentification forte du client (en anglais, Strong Customer Authentication &ndash; SCA), qui met &agrave; mal la fluidit&eacute; des parcours clients. L&rsquo;objectif avanc&eacute; de renforcer la s&eacute;curit&eacute; des transactions et la protection des donn&eacute;es sensibles est tout &agrave; fait l&eacute;gitime, mais ne doit pas se faire au d&eacute;triment complet des parcours utilisateurs. Les modalit&eacute;s de l&rsquo;authentification forte du client sont d&eacute;finies par les normes techniques de r&eacute;glementation (RTS), r&eacute;dig&eacute;es par l&rsquo;Autorit&eacute; bancaire europ&eacute;enne et adopt&eacute;es par la Commission europ&eacute;enne. Elles composent le R&egrave;glement d&eacute;l&eacute;gu&eacute; 2018/389 de la Commission, qui compl&egrave;te donc la DSP 2, sur les sujets d&rsquo;authentification forte et de communications s&eacute;curis&eacute;es entre acteurs. Connaissance, possession, inh&eacute;rence Revenons tr&egrave;s rapidement sur les grands principes de la SCA. Pour effectuer une authentification forte du client, la DSP 2 requiert l&rsquo;utilisation d&rsquo;au moins deux &eacute;l&eacute;ments ind&eacute;pendants relevant de la connaissance (mot de passe, pin, etc.), de la possession (mobile, carte, token, etc.) et de l&rsquo;inh&eacute;rence (empreinte digitale, reconnaissance faciale ou vocale, etc.). La DSP 2 insiste &eacute;galement sur l&rsquo;utilisation d&rsquo;un m&eacute;canisme pour lier dynamiquement la transaction &agrave; un montant sp&eacute;cifique et un b&eacute;n&eacute;ficiaire sp&eacute;cifique. Cette authentification doit &ecirc;tre appliqu&eacute;e par tous les acteurs y compris par les prestataires tiers ( Third Party Providers &ndash; TPP), initiateurs de paiement et agr&eacute;gateurs de comptes. Quelques exemptions existent mais restent tr&egrave;s limit&eacute;es. Voici les principaux cas pour lesquels l&rsquo;authentification forte n&rsquo;est pas obligatoire : une s&eacute;rie de paiements r&eacute;currents pour le m&ecirc;me montant au m&ecirc;me b&eacute;n&eacute;ficiaire ; un paiement vers un b&eacute;n&eacute;ficiaire figurant sur une liste de &laquo; b&eacute;n&eacute;ficiaires de confiance &raquo; ; l'initiation d&rsquo;un paiement d&rsquo;un montant inf&eacute;rieur &agrave; 30 euros et si le total des paiements du client ne d&eacute;passe pas 100 euros depuis la derni&egrave;re application de l&rsquo;authentification forte ; une transaction consid&eacute;r&eacute;e &agrave; faible risque, c'est-&agrave;-dire si le taux de fraude du prestataire de services de paiement ne d&eacute;passe pas les seuils &ndash; tr&egrave;s bas &ndash; fix&eacute;s par le R&egrave;glement europ&eacute;en. La simplicit&eacute; du parcours, cl&eacute; du succ&egrave;s pour les jeunes acteurs Il existe donc tr&egrave;s peu de marge, et cela remet en question certains usages d&eacute;j&agrave; &eacute;tablis. En tant que TPP, nous nous rendons bien compte, chez Budget Insight, que la SCA constitue un frein au taux de conversion, ainsi qu'un obstacle majeur pour les diff&eacute;rents usages que nous avons pu d&eacute;velopper avec certains de nos clients. Sur le fond, nous sommes d&rsquo;accord sur le fait que l&rsquo;authentification forte est une bonne chose et qu'elle permettra de r&eacute;duire le risque de fraude. Mais elle engendrera &eacute;galement des &eacute;tapes suppl&eacute;mentaires dans le parcours client, et donc des frictions pouvant devenir tr&egrave;s probl&eacute;matiques pour des acteurs innovants comme les FinTechs , qui pr&ocirc;nent la fluidit&eacute; et la simplicit&eacute; de leur service. En effet, la simplicit&eacute; du parcours est LE facteur cl&eacute; de succ&egrave;s des acteurs innovants. C&rsquo;est ce qui drive une croissance forte dans les usages et les innovations qu&rsquo;ils portent. Chaque &eacute;tape suppl&eacute;mentaire dans le parcours, impos&eacute;e par le r&eacute;gulateur, les banques ou les autres &laquo; services de paiement gestionnaires du compte &raquo; ( Account Servicing Payment Service Providers &ndash; ASPSP) met en danger le mod&egrave;le &eacute;conomique d&rsquo;acteurs encore jeunes. Il s&rsquo;agit donc d&rsquo;&ecirc;tre extraordinairement vigilant. Un service d&rsquo;agr&eacute;gation de comptes quasiment inutilisable ! Introduire la notion de risque dans les exemptions d'authentification forte &eacute;tait une excellente chose : effectivement, il y a des situations &agrave; risques et d&rsquo;autres qui n&rsquo;en pr&eacute;sentent absolument pas. Mettre en place des syst&egrave;mes de monitoring de la fraude reste relativement compliqu&eacute; pour des acteurs FinTechs tels que nous. Dans le cas pr&eacute;cis des prestataires de services d&rsquo;informations sur les comptes ( Account Information Services &ndash; AIS) comme Budget Insight, l&rsquo;authentification forte r&eacute;currente est un v&eacute;ritable obstacle et n&rsquo;a pas de sens, car ce service pr&eacute;sente un risque faible. Soyons concrets : effectuer une authentification forte pour initier des paiements nous para&icirc;t l&eacute;gitime mais effectuer une authentification forte tous les 90 jours, pour chaque prestataire de services de paiement gestionnaire de comptes (ASPSP), pour autoriser le prestataire tiers &agrave; acc&eacute;der aux comptes de paiement n&rsquo;a pas de justification cr&eacute;dible. L&rsquo;utilisateur du service d&rsquo;agr&eacute;gations de comptes devra effectuer, tous les 90 jours, autant d&rsquo;authentifications fortes que de banques dont il est client, alors que cette op&eacute;ration pourrait facilement &ecirc;tre mutualisable. Et s&rsquo;il d&eacute;cide de pr&eacute;senter plus de 90 jours d&rsquo;historique, il devra effectuer syst&eacute;matiquement une SCA. Cela rend le service d&rsquo;agr&eacute;gation de comptes quasiment inutilisable ! Le risque sous-jacent &eacute;tant tr&egrave;s faible, car seule la consultation en lecture des comptes est rendue possible, une solution plus adapt&eacute;e serait que l&rsquo;authentification, dans le cas pr&eacute;cis de l&rsquo;agr&eacute;gation de comptes, soit g&eacute;r&eacute;e par les prestataires et qu&rsquo;elle soit g&eacute;n&eacute;ralisable &agrave; toutes les banques de l&rsquo;utilisateur. L&rsquo;utilisateur final effectuerait alors une SCA tous les 90 jours &ndash; 180 jours serait d&rsquo;ailleurs une &eacute;ch&eacute;ance plus adapt&eacute;e &ndash; qui vaudrait pour toutes les banques qu&rsquo;il a choisi d&rsquo;agr&eacute;ger. D'ailleurs, d&rsquo;autres protocoles comme EBICS ( Electronic Banking Internet Communication Standard ) donnent mandat sans limitation de temps. &Agrave; quand une solution d'authentification d&eacute;l&eacute;gu&eacute;e aux TPP ? C&rsquo;est pourquoi nous militons fortement pour trouver une solution d'authentification d&eacute;l&eacute;gu&eacute;e aux TPP. Nous sommes d&rsquo;accord pour &ecirc;tre redirig&eacute;s sur les interfaces des ASPSP pour une premi&egrave;re synchronisation, mais souhaitons que le renouvellement des 90 jours soit totalement g&eacute;r&eacute; par nos soins. Des solutions telles que celles de FIDO Alliance nous int&eacute;ressent tout particuli&egrave;rement, car elles proposent des m&eacute;canismes d&rsquo;authentification d&eacute;l&eacute;gu&eacute;e. De plus, aucun texte r&eacute;glementaire ne s&rsquo;oppose &agrave; l&rsquo;authentification d&eacute;l&eacute;gu&eacute;e. L&rsquo;ASPSP peut tout &agrave; fait d&eacute;cider de confier l'authentification forte au prestataire tiers et se d&eacute;charger de sa responsabilit&eacute;. Porter le (faible) risque li&eacute; &agrave; ce renouvellement de consentement ne d&eacute;rangerait absolument pas les prestataires tiers que nous sommes. L&rsquo;authentification forte par redirection, telle qu&rsquo;elle est imagin&eacute;e par les ASPSP, est totalement incompatible avec le paiement en proximit&eacute;, puisqu&rsquo;elle engage dans un process beaucoup plus lourd qu&rsquo;un paiement par carte par exemple. Ce type de use case montre clairement l&rsquo;obstacle &agrave; l&rsquo;innovation pour le client que repr&eacute;sentent les choix techniques actuels. Notre message est relativement simple : l&rsquo;authentification forte est une bonne chose, mais elle doit &ecirc;tre rendue obligatoire intelligemment et prendre en compte l'importance du risque sous-jacent &agrave; chaque use case , notamment celui d&rsquo;agr&eacute;gation de comptes.

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Archive

Parcours client

L'authentification forte, un obstacle majeur pour les services d’agrégation de comptes

Chaque étape supplémentaire dans le parcours client, imposée par le régulateur ou les banques, met en danger le modèle économique des FinTechs, qui prônent la fluidité et la simplicité de leur service.

À retrouver dans la revue

Blockchain/Cryptoactifs

Métiers

Banques étrangères : des résultats trimestriels contrastés

Blockchain/Cryptoactifs

Monnaie digitale, l’exploration continue

Banque de détail

Silvergate : une leçon pour les banques tentées par l’aventure crypto ?

Archive

Panorama réglementaire des actifs numériques

Archive

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

Archive

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Suivez-nous