Les paiements à distance constituent le terrain de jeu favori des malfaiteurs, avec un taux de fraude dix‑sept fois supérieur à celui sur les paiements de proximité et sur automate, selon le rapport 2019 de l’Observatoire de la sécurité des moyens de paiement (OSMP) de la Banque de France. Prévue par la deuxième directive européenne sur les services de paiement (DSP2), l’authentification renforcée doit permettre de diminuer le nombre de ces fraudes en ligne, en renouvelant des moyens de protection jugés obsolètes.
Mais le confinement lié à la crise sanitaire, de mi‑mars à mi‑mai 2020, a fait prendre du retard au déploiement des équipements du nouveau dispositif, que ce soit du côté des consommateurs ou des commerçants. Les banques émettrices ne voulaient pas « prendre le risque d’affecter la capacité de leur clientèle à payer sur Internet durant le confinement, alors que ce mode d’achat était devenu essentiel », ni ne disposaient « d’un support client adéquat pour une telle migration », précise le rapport de l’OSMP. Bien qu’en forte progression entre janvier et mai 2020, la migration des e‑commerçants vers la nouvelle plateforme 3D‑Secure v2 a elle aussi été ralentie, « devant le besoin de sécuriser les activités opérationnelles et logistiques dans un contexte de confinement particulièrement défavorable ».
Les indicateurs au point mort
Tous les indicateurs de suivi du plan de migration mis en place par l’Observatoire de la sécurité des moyens de paiement ont ainsi stagné à partir du début de la crise sanitaire. Quelques actions de test et de fiabilisation ont cependant pu se poursuivre : chargement des numéros de carte dans les nouvelles infrastructures d’authentification bancaires (directory servers), remontée et traitement des incidents rencontrés par les e-commerçants pilotes, introduction au 1er avril 2020, comme prévu, du mécanisme de soft decline (rejet par l’émetteur de la carte d’une transaction non conforme DSP 2 avec possibilité pour le e‑commerçant de soumettre une nouvelle fois la transaction via 3D‑Secure). Toutefois, sur ce dernier dispositif, le taux de réponse des commerçants est resté quasi nul.
Les différents acteurs ont été invités à reprendre activement, dès juin 2020, les actions de migration dans les meilleures conditions. Les échéances prévues dans le plan ont été assouplies, et des actions complémentaires visant à sécuriser la migration, ajoutées.
Il ne s’agit pas des premiers ralentissements subis dans la mise en œuvre des exigences de sécurité relatives à « l’authentification forte ». En vigueur depuis le 6 janvier 2018, la DSP2 a été complétée par les normes techniques de réglementation relatives à l’authentification forte du client édictées par l’Autorité bancaire européenne (RTS SCA 2), qui devaient entrer en application le 14 septembre 2019. Dans un avis publié le 16 octobre 2019, l’Autorité bancaire européenne (ABE) a décidé de laisser jusqu’au 31 décembre 2020 aux acteurs de marché, sous la responsabilité des autorités nationales, pour se conformer aux dispositions du RTS.