Qu’est-ce que l’authentification forte du client ?
L'authentification forte du client (SCA) est une nouvelle exigence réglementaire qui fait partie de la réglementation européenne PSD2 sur l'Open Banking. Avec son introduction, les clients européens devront fournir davantage d'informations lors de l'achat de biens ou de services en ligne. Actuellement, tout ce qui est requis est le numéro de carte du client, les chiffres CVC et parfois un code 3D Secure ou similaire. La SCA nécessitera des niveaux d'authentification supplémentaires au moment du paiement.
L'un des concepts clés de la SCA est l'authentification à deux facteurs, qui nécessite un deuxième niveau d'authentification avant qu'une transaction ne soit approuvée. Bien que de nombreux émetteurs de cartes aient mis en œuvre une forme d'authentification à deux facteurs (par exemple 3D Secure, qui nécessite la saisie d'un mot de passe sur une page Web distincte après la saisie des informations de la carte), la SCA obligera les banques à remplacer les méthodes actuelles d'authentification à deux facteurs et à garantir des niveaux de sécurité plus élevés.
Le flux d'authentification actuel proposé par la plupart des banques implique une redirection Web qui offre une expérience utilisateur médiocre et est sujette aux attaques de phishing. Selon les exigences de la SCA, le flux d'authentification mis à jour doit inclure le moins d'étapes supplémentaires possible et des flux alternatifs ont été suggérés qui impliquent une redirection intégrée, découplée ou d'application à application au lieu de la redirection Web traditionnelle. La SCA nécessitera également que deux des éléments suivants soient fournis pour qu'une transaction soit authentifiée :
- Quelque chose que vous connaissez, par exemple un mot de passe, un code PIN ou un fait personnel
- Quelque chose que vous possédez, par exemple un téléphone portable, un objet portable ou un jeton
- Quelque chose que vous êtes, par exemple une empreinte digitale, des traits du visage ou des schémas vocaux
Exemptions à la SCA
Toutes les transactions ne seront pas soumises à la réglementation SCA. Les transactions de faible valeur et à faible risque seront exemptées de l'introduction des processus SCA. Par exemple, toute transaction inférieure à 30 € ne nécessitera pas de SCA, pas plus que les transactions pour lesquelles le nombre moyen de cas frauduleux est particulièrement faible. Les paiements récurrents ou les abonnements seront également exemptés après le premier paiement.
Les clients auront également la possibilité de mettre sur liste blanche certains fournisseurs, ce qui signifie qu'ils n'auront pas à fournir de SCA pour chaque transaction qu'ils effectuent avec un fournisseur sur liste blanche.
Le bon et le mauvais côté de SCA
Pour les commerçants, les principaux avantages de l’introduction de la SCA sont la réduction de la fraude, une confiance accrue entre les clients, des processus plus fluides pour les clients et davantage d’options de paiement disponibles. De manière générale, elle devrait favoriser des paiements en ligne plus sûrs et conduire à la réalisation d’un plus grand nombre de transactions de commerce électronique.
Cependant, certains craignent que la SCA conduise initialement à un taux élevé d'abandon de panier et de perte de paiement. Les commerçants doivent mettre en place des systèmes efficaces pour répondre aux nouvelles exigences et gérer les attentes des clients en matière de processus de paiement afin de réduire les pertes de paiement.
Quand le SCA entre-t-il en vigueur ?
La SCA devait entrer en vigueur dans toute l'Europe le 14 septembre 2019. Cependant, en raison du manque de préparation des prestataires de services de paiement et des détaillants, l'Autorité bancaire européenne (ABE) a autorisé les régulateurs nationaux à accorder une prolongation. Le 17 octobre 2019, l'ABE a annoncé que la nouvelle date limite de mise en œuvre de la SCA était le 31 décembre 2020.
Article de blog mis à jour en août 2020
