La nouvelle directive DSP2 exige un système d’authentification plus fort que celui à base d’envoi de SMS pour les achats par cartes bancaires sur Internet.
Les utilisateurs de cartes bancaires qui font leurs achats sur Internet doivent, pour certaines transactions, passer par un processus d’authentification qui consiste à recevoir un code par SMS sur son smartphone (3-D Secure). Mais pour l’Union européenne, ce système SMS-OTP (One Time Password) n’est pas suffisant, car l’utilisateur pourrait se faire voler son smartphone… ou se faire pirater ses SMS. Bruxelles a donc mis à jour sa directive sur les services de paiement (DSP2) avec une règle qui exige une authentification forte pour les achats en ligne de plus de 30 euros.
Une nouvelle règle pour authentifier les utilisateurs
Cette règle nécessite d’avoir au moins deux éléments parmi trois catégories : quelque chose que l’on sait (mot de passe, code PIN), quelque chose que l’on possède (ordinateur, téléphone mobile) et quelque chose qui nous est propre (empreinte digitale ou autre élément biométrique). Le problème du SMS, c’est qu’il n’est pas lié au téléphone mobile, mais à la carte SIM que l’on met dedans. De plus, les achats actuels sur Internet font intervenir le code à trois chiffres situé au dos de la carte et non un code secret.
La règle de Bruxelles doit normalement entrer en vigueur en septembre 2019, mais les banques estiment que ce délai est trop court et demandent trois ans de plus pour mettre en place un nouveau procédé. Pour l’instant, aucun choix n’a été effectué et les banques devront être prudentes pour proposer une solution efficace qui ne pénalise pas les utilisateurs. En effet, un procédé trop contraignant pourrait entraîner une baisse importante des achats sur Internet.
Source : Les Echos