Le 22 septembre dernier, l’Observatoire de la sécurité des moyens de paiement (OSMP), en charge du plan de migration français pour l’authentification forte des paiements à distance, a publié son rapport annuel.

Il a confirmé le décalage[1] de trois mois, annoncé en juillet, sur les deux volets du plan :

  • Le 1er volet implique les actions d’enrôlement d’ici la fin du 1er trimestre 2021 des clients (payeurs) dans les nouveaux dispositifs d’authentification forte (application mobile sécurisée, token, code personnel, etc.), en remplacement de l’authentification exclusivement fondée sur un mot de passe reçu par SMS (SMS OTP) dont l’Autorité bancaire européenne (EBA) a considéré en 2018 qu’il ne traduisait pas une authentification « forte » ;
  • Le 2nd volet invite l’e-commerce à se raccorder au protocole 3D-Secure v2 s’il souhaite proposer des parcours de paiement sans authentification forte ; ce protocole permet de justifier le recours aux exemptions à l’authentification forte prévues par les règles européennes (RTS) ; en cas de non raccordement, le plan de migration s’appuie notamment sur un mécanisme progressif de rejet des transactions exécutées sans authentification forte (soft decline), allant de >2 000€ sur le dernier trimestre 2020 à <500€ à compter d’avril 2021.

L’évolution de ce plan de migration est évidemment importante puisque l’OSMP, qui émane de la Banque de France, légitime des situations qui ne devraient plus exister et dont la transposition de la DSP2 dicte aujourd’hui les principes de la responsabilité des acteurs de la chaîne du paiement.

Or si l’OSMP est libre d’accorder une « marge de flexibilité » aux acteurs du paiement, il ne peut pour autant éclipser que les gestionnaires de comptes de paiement (ASPSP) doivent par principe rembourser les paiements non autorisés (et contestés) lorsque :

  • un payeur a pu initier le paiement sans passer par l’authentification forte lorsqu’elle est requise ; et
  • un paiement a été accepté par un bénéficiaire (e-commerçant) sans exiger l’authentification forte.

Dans les deux cas, le payeur soutenant qu’il n’a pas autorisé la transaction[2] s’adresse à son ASPSP afin d’être remboursé, même si celui-ci ne supporte in fine la charge financière d’un tel remboursement que dans le premier cas.

Comme le relève le rapport, une des nouveautés de la DSP2 tient au fait que cette responsabilité concerne non seulement les transactions à deux jambes (les 2 PSP de la chaîne de paiement sont situés dans l’UE), mais aussi les transactions à une jambe non autorisées, pour la partie du paiement réalisée dans l’UE.

Si le 2nd volet du plan de migration pousse le commerce en ligne européen à se mobiliser pour se raccorder au protocole 3D-Secure v2 et ainsi bénéficier des exemptions des RTS, non sans difficultés sur les ventes dites « indirectes », nul doute que la période covid19 actuelle ne permet pas encore de percevoir pleinement les frictions des paiements en ligne sur des sites marchands hors UE, pas forcément équipés d’interfaces satisfaisant aux exigences de l’authentification forte européenne.

Cette situation pourrait favoriser les schémas de cartes à trois coins en tant que leur proximité inhérente au payeur et au bénéficiaire rend plus aisée l’ajout d’un bénéficiaire à la liste des bénéficiaires « de confiance » du payeur au sens des RTS.

Lorsque les paiements sont initiés par des prestataires tiers (PISP), l’OSMP leur recommande d’appliquer autant que possible une procédure d’authentification forte de leurs utilisateurs. Celle-ci viendra s’ajouter à l’authentification forte exigée des ASPSP dans les interfaces de connexion (API) qu’ils mettent en place pour l’accès des PISP aux comptes de paiement. C’est justement à la lumière de leur rôle de guichet unique du traitement des demandes de remboursement d’opérations non autorisées que les ASPSP revendiquent plus que jamais de conserver la main sur l’authentification forte voire la déléguer sous conditions.

C’est ce débat qui a notamment motivé la position exprimée par l’Autorité Bancaire Européenne (ABE) le 4 juin dernier – d’ailleurs non évoquée dans le rapport de l’OSMP – sur la question de savoir si les procédures d’authentification des API bancaires (redirection, approche intégrée ou découplée) pouvaient constituer des entraves illicites à l’accès aux agrégateurs et initiateurs.

En substance, l’ABE a considéré qu’aucune des procédures susvisées ou leur cumul ne pouvait en soi être traitée comme un obstacle illicite à l’entrée des prestataires tiers (AISP/PISP), dès lors que :

  • les choix opérés étaient dictés par des raisons de sécurité ou des contraintes techniques (ex : l’authentification par la biométrie est exclue dans le modèle « intégré ») ; et
  • le parcours d’authentification appliqué à l’API n’était pas plus contraignant que celui réservé à l’utilisateur sur l’interface de l’ASPSP (principe de non-discrimination).

Par cet avis, l’ABE vient justifier une délimitation du périmètre des entraves éventuelles à l’activité des prestataires tiers par le fait que l’authentification forte est à la main des ASPSP en raison de leurs responsabilités sous-jacentes dans le cadre de la lutte contre la fraude.

Lire le rapport 2019 de l’OSMP

https://www.banque-france.fr/liste-chronologique/rapports-dactivite?year=2019

Lire l’opinion ABE du 4 juin 2020 https://eba.europa.eu/sites/default/documents/files/document_library/Publications/Opinions/2020/884569/EBA%20Opinion%20on%20obstacles%20under%20Art.%2032%283%29%20RTS%20on%20SCA%26CSC.pdf

[1] Qu’il désigne comme une « marge de flexibilité » offerte aux acteurs du paiement.

[2] Sous réserve de la vérification qu’il n’a pas été gravement négligent (ex : Cour de cassation : Arrêt du 1er juillet 2020, pourvoi n°18-21.487).