La DSP2, vous en avez sûrement entendu parler ces derniers mois. Entrée en pratique le 14 Septembre 2019, la nouvelle version de la Directive Européenne sur les Services de Paiement (DSP2) est au cœur de l'actualité bancaire et commerciale. Pourtant, elle ne date pas d'hier. Adoptée en novembre 2015, sa « grande sœur » (ou la DSP1) date de 2007.

En quoi consiste la DSP ?

Cette mesure vise à renforcer la protection des consommateurs lors de leurs achats au sein des Etats membres. La dématérialisation des transactions s’accompagne en effet d’une augmentation des fraudes qu’il devient primordial de contrer.

La DSP2 met l'accent sur "l'authentification forte" avec au programme, des changements qui vont s'imposer au niveau européen :

  • Renforcement de l'authentification lors de la connexion aux services de banques en ligne : dorénavant, le client ne pourra plus se connecter avec son mot de passe et son identifiant uniquement mais devra passer par une authentification forte au moins une fois tous les 90 jours via un code à usage unique envoyé par l'établissement bancaire. Plusieurs canaux seront disponibles : SMS, via l'application mobile ou même par message vocal.

  • Amélioration de la sécurité lors des paiements en ligne par carte bancaire : ici, c’est la généralisation du 3D secure qui est la mesure phare. En plus de renseigner les données de sa carte bancaire le client devra renseigner un code à usage unique sur la page de paiement ou sur son application mobile. Cependant, pour les achats inférieurs à 30 euros, ce code pourrait ne pas être demandé mais la responsabilité du commerçant sera engagée avec un remboursement obligatoire en cas de fraude.

  • Renforcement de l'authentification lors des paiements sans contact : pour les achats ne dépassant pas 30 euros, le client peut payer sans contact (c’est-à-dire sans insérer sa carte bancaire dans le terminal) et taper son code secret à 4 chiffres. Avec la DSP2, les paiements sans contact devront dorénavant passer par l'authentification forte lors de deux cas :
  1. Lorsque le client aura effectué 150 euros d'achats cumulés
  2. Lorsque le client aura effectué 5 opérations consécutives depuis la date de sa dernière authentification forte

Dans ces deux cas-là, le client devra donc payer de façon "classique" en insérant sa carte dans le terminal et taper son code secret.

Ces nouvelles mesures vont impacter les professionnels du secteur, notamment les banques et les organismes de paiement qui devront mettre à jour leurs services de paiements et devront développer de nouvelles API (Interface Applicative de Programmation). Les commerçants eux aussi seront dans l'obligation d'intégrer des mesures de sécurité lors des achats en ligne, même si ces mesures étaient non obligatoires avant la DSP2, la plupart des commerçants ont commencé cette transition avec notamment l'instauration du 3D-Secure.

Bien qu'adoptée en novembre 2015, la DSP2 a été mise en vigueur en Janvier 2018 avec la publication des normes techniques en Mars 2018 ; s'en est suivie une période de transition de 18 mois qui ont permis aux organismes de paiement et aux commerçants de mettre en place ces normes techniques de réglementation (RTS) relatives à l'authentification forte. Le 14 Septembre 2019 marque donc l'application progressive par tous ces acteurs de ces normes de sécurité (RTS) sur l'authentification forte. Cependant, son instauration complète prendra plus de temps que prévu, la plupart des banques ayant des systèmes informatiques assez anciens et peu compatibles avec la DSP2. A l'heure actuelle, 75% des API des banques Européennes sont disponibles mais seulement 18% sont utilisables. L'Italie et les Pays-Bas sont en tête avec 33% des API opérationnelles contre 10% en France, et 0% en Allemagne… C'est pourquoi les professionnels disposent d'un délai supplémentaire à l'intégration de ces nouvelles mesures. L'authentification forte devrait être étendue aux alentours de fin 2020 en Europe.

L'équipe E-Pay Space,

Next Post Previous Post