Les impacts de la DSP2 sur les dons en ligne

Les dispositions de sécurité de la DSP2 (Directive européenne sur les Services de Paiement numéro 2) entrainent une modification dans les validations d’opérations bancaires (appelée « Authentifications fortes ») notamment lors d’un don en ligne. Jusqu’à présent, et jusqu’au 1^er avril 2020, il revient à l’association ou à la fondation de décider si elle souhaite mettre en place une Authentification forte. A partir du 1^er avril 2020, cette décision reviendra à la banque du donateur.

Pour mieux comprendre la DSP2 et l’impact sur les dons en ligne, nous avons posé 6 questions à Gildas Pontoizeau, Directeur du Programme DSP2 à La Banque Postale.

 

Pouvez-vous nous expliquer les objectifs poursuivis par la DSP2 ?

La DSP2 fait suite à la DSP1 et actualise le cadre réglementaire des paiements en Europe. La DSP2 poursuit trois objectifs principaux :

1. Ouvrir le marché bancaire à de nouveaux acteurs non bancaires, agréés en tant qu’agrégateurs de comptes et / ou initiateurs de paiement.
2. Lutter contre la fraude.
3. Garantir un niveau de sécurité élevé des consommateurs, grâce à la généralisation de « l’Authentification Forte ».

La DSP2 s’applique depuis le 13 janvier 2018. Les dispositions de sécurité de cette directive, notamment l’Authentification Forte, sont entrées en vigueur le 14 septembre 2019.

 

Qu’est-ce que l’Authentification Forte :

L’Authentification Forte résulte de la combinaison de deux éléments d’authentification indépendants, parmi les suivants :

De façon générale, les opérations ci-dessous sont soumises à l’Authentification Forte :

• Consultation des comptes de paiement.
• Ajout d’un nouveau bénéficiaire.
• Initiation d’une opération de paiement : virements ou paiements monétique.

Un exemple d’authentification forte pour réaliser un don en ligne via un paiement par carte bancaire :

• Le donateur recevra une notification dans son application mobile bancaire lui indiquant les détails de l’opération. Ce dernier aura préalablement « enrôlé » son smartphone ce qui permettra à sa banque de s’assurer que la notification n’a pas été envoyée vers un téléphone détourné (critère de possession)
• La notification demandera ensuite au donateur de saisir son code secret, qu’il aura préalablement défini, pour valider l’opération (critère de connaissance)

 

Quelles évolutions sur les paiements monétiques ?

Avec la DSP2, la décision de faire ou non l’Authentification Forte revient systématiquement à la banque émettrice (banque du donateur). Ce changement de paradigme est applicable pour les associations et les fondations :

Aujourd’hui la sécurité d’un don réalisé en ligne est assurée par une authentification des donateurs. Celle-ci est effectuée par l’envoi d’un SMS contenant un code à usage unique (3DSv1). Cet envoi est émis sur décision de l’Association ou de la Fondation, celles-ci pouvant s’exonérer de cette vérification en acceptant d’assumer le coût de la fraude.

 

Demain la sécurité d’un don réalisé en ligne sera assurée par une Authentification Forte sur décision de la banque du donateur et non plus du récepteur du don (l’association ou la fondation). Le code SMS à usage unique visant à protéger les paiements en ligne sera progressivement remplacé par des solutions plus avancées, reposant par exemple sur la saisie dans l’application mobile de la banque en ligne du donateur d’un code confidentiel ou d’une reconnaissance biométrique (empreinte digitale, reconnaissance faciale…).

D’ici décembre 2020, la grande majorité des consommateurs bénéficiera de ces nouvelles solutions d’Authentification Forte telles que définies par la DSP2.

A noter que des études sont en cours pour développer des solutions d’Authentification Forte conformes DSP2, dans des parcours client hors mobile.

 

Quelles exemptions à l’authentification forte ?

La DSP2 prévoit un certain nombre d’exemptions à l’Authentification Forte pour les paiements monétique à distance. La banque du donateur pourra décider d’exonérer la transaction d’Authentification Forte dans les cas suivants :

• Opérations de faible valeur : sous réserve que le montant de la transaction soit inférieur à 30€ ; et que le cumul des paiements réalisés depuis la dernière Authentification Forte soit inférieur à 100€ ou inférieur à 5 opérations.
• Opérations comprises entre 0€ et 500€ : sous réserve que la transaction présente un faible risque de fraude (via une analyse en temps réel) et que le taux de fraude de la banque du donateur soit conforme aux seuils imposés par la DSP2.
• Opérations récurrentes : sous réserve qu’une Authentification Forte ait été faite lorsque le donateur a créé, initié ou modifié pour la première fois une série d’opérations récurrentes ayant le même montant et le même bénéficiaire.

 

Quelles échéances ?

La mise en place de dispositifs d’Authentification Forte conformes à la DSP2 et la migration de l’ensemble des acteurs de la chaine des paiements vers les infrastructures 3DSv2 sont des projets qui nécessitent un délai de mise en œuvre significatif.

Dans cette perspective, un plan de migration a deux volets a été élaboré par la Place française, en concertation avec la Banque de France, portant sur :

1. Le remplacement progressif du SMS contenant un code à usage unique par des techniques d’Authentification Forte plus avancées.
   • A horizon décembre 2020, 70% des détenteurs de cartes bancaires devront être équipés d’une solution d’Authentification Forte conforme DSP2.

2. La migration vers le socle technique 3DSv2 en vue de permettre une gestion des responsabilités et des exemptions à l’Authentification Forte conforme à la DSP2 :
   • Jusqu’au 1^er avril 2020 : montée en charge progressive de l’ensemble des acteurs de la chaine des paiements vers le socle technique 3DSv2 et rodage des infrastructures techniques. L’Association ou la Fondation garde le choix d’impulser ou non l’authentification du donateur.
   • A partir d’avril 2020 : la banque du donateur pourra exiger une Authentification Forte du donateur et rejeter les transactions qui ne se plieront pas à cette exigence.
   • A partir du 1er janvier 2021 : les transactions sans Authentification Forte et ne pouvant bénéficier des règles d’exemption seront systématiquement refusées par la banque du donateur.

 

Quels travaux sont à mener par les Associations et les Fondations ?

Les associations et les fondations doivent se rapprocher de leurs banques acquéreurs et/ou de leurs prestataires d’acception technique (PAT) pour s’assurer que chacun respecte bien le plan de migration tel que défini précédemment et notamment le raccordement au socle technique 3DSv2.