Dans six mois, de nouvelles règles de sécurisation des paiements sur internet entreront en vigueur, rendant notamment le code SMS obsolète. Par quoi sera-t-il remplacé ? Pour MasterCard, la réponse tient en un mot : biométrie.
Olivier Gabrielli est responsable innovation et paiement digitaux chez Mastercard France
Olivier Gabrielli, de nouvelles règles issues de la directive européenne révisée sur les services de paiement (DSP2) doivent entrer en vigueur le 14 septembre prochain. Elles concernent notamment la sécurisation des paiements en ligne par carte bancaire. Que fait Mastercard pour aider les banques à s’adapter à cette nouvelle donne ?
Olivier Gabrielli : « Effectivement, à partir de septembre 2019, les transactions par carte bancaire à distance devront être mieux sécurisées, notamment en améliorant l’authentification du consommateur hors quelques cas d’exemption [Lire encadré ci-dessous]. L’enjeu est bien sûr de réduire la fraude (1). Mais il est impératif de le faire sans dégrader l'expérience de paiement du consommateur. Dans ce contexte, notre premier souci est d'aider les banques à réduire leur taux de fraude, afin qu'elles bénéficient des exemptions prévues par la nouvelle réglementation. Nous leur fournissons pour cela un système de scoring, baptisé Decision Intelligence, qui les aide à décider, ou non, d'autoriser une transaction, grâce à l'analyse de données. Notre second souci est de leur proposer les modalités d'authentification forte qui soient les moins perturbantes possibles pour leurs clients. »
Authentification forte, mode d’emploi
A compter du 14 septembre prochain, les paiements en ligne devront être sécurisés par le recours à une authentification forte du consommateur. De quoi s’agit-il ? D’un mode d’authentification reposant sur l'utilisation de deux facteurs ou plus, indépendants les uns des autres et appartenant aux catégories suivantes :
- Quelque chose que seul l'utilisateur connaît. Par exemple, un code PIN à quatre chiffres, une question secrète, un mot de passe, etc.
- Quelque chose que seul l'utilisateur possède. Par exemple, une clé, un mobile, etc.
- Quelque chose que l'utilisateur est. Un facteur biométrique donc, comme par exemple l’empreinte digitale, ou un système de reconnaissance du visage, de l’iris, de la voix, etc.
Certaines exemptions à l’usage de l’authentification forte sont toutefois prévues :
- en fonction du montant de l’achat : les paniers de moins de 30 euros, notamment, ne seront pas concernés.
- en fonction de la banque du client : les enseignes affichant un faible niveau de fraude pourront choisir de se passer d’authentification forte.
Lire aussi : Paiements en ligne : pourquoi le mobile devient incontournable
Aujourd’hui, c’est le code unique par SMS qui sert à sécuriser ces paiements à distance. Mais la DSP2 rend cette solution obsolète. Quelles sont les alternatives possibles ?
O.G. : « MasterCard privilégie l’authentification biométrique. Pourquoi ? Parce qu’elle a fait la preuve de sa fiabilité et qu’elle est déjà connue des consommateurs, qui l’utilisent de plus en plus fréquemment pour déverrouiller leurs smartphones. »
Comment le paiement en ligne avec authentification biométrique se passera-t-il concrètement ?
O.G. : « C’est assez simple. Au moment de la finalisation de son achat sur internet, après avoir entré ses coordonnées de carte, le consommateur recevra une notification sur son smartphone. Cette notification lui permettra immédiatement d’ouvrir l’application de sa banque, qui affichera les informations de la transaction et lui proposera de l’authentifier grâce à son empreinte digitale ou à la reconnaissance faciale, selon le type de mobile et le choix du consommateur. »
Quid de ceux dont le mobile n’est pas équipé d’un capteur biométrique ?
O.G. : « Dans ce cas, le code SMS, qui fonctionne bien et a l’avantage d’être déjà adopté par les consommateurs, devrait pouvoir continuer à être utilisé durant une période transitoire. C’est en tout cas la volonté des banques, qui ne veulent pas avoir à mettre en place une autre solution provisoire en attendant la généralisation de la biométrie. Elles demandent donc aux régulateurs de prolonger l’usage du code SMS au-delà du 14 septembre. »
Cette évolution est-elle une opportunité pour MasterCard de gagner des parts de marché ?
O.G. : « Cela dépasse les enjeux de concurrence : tout le monde a intérêt à ce que la transition se passe le mieux possible, que le consommateur puisse continuer à acheter facilement. Dans ce contexte, MasterCard communique auprès des banques, des marchands et des prestataires de services de paiement (PSP) pour leur présenter sa vision, s’assurer que tout le monde avance à la même vitesse et leur proposer des solutions clé en main. Nous avons ainsi déployé Identity Check, notre nouveau programme d’authentification en remplacement de SecureCode, qui prend en compte ces évolutions ».
Des commerçants encore mal informés
Selon une enquête européenne (2) effectuée par MasterCard auprès de commerçants en ligne, seuls 14% d’entre eux ont déjà mis en place l’authentification forte. Et pour cause : 75% n’étaient pas, au moment de l’étude à l’automne dernier, au courant d’une nouvelle norme de sécurité entrant en vigueur en 2019. Conséquence : un e-commerçant sur deux sait d’ores et déjà qu’il ne sera pas prêt dans les temps.
(1) En 2017, la fraude sur les paiements par carte bancaire a été d’un euro pour 1 850 euros payés, et d’un euro pour 620 euros payés si on se limite aux paiements en ligne. (2) Enquête menée de septembre à novembre 2018 dans 17 pays européens auprès de 327 commerçants en ligne.
