escalier de couleur

Modalités de mise en place et impacts de la DSP2 sur les donateurs

Publié le 16.07.2020

Quels travaux ont été entrepris ? Quels sont les impacts de la DSP2 sur les donateurs ? Quelles actions doivent-ils mener ? Explications avec Philippe Porcedo, Responsable Marché des Institutionnels & Associations à la Banque Postale.

Dans notre premier article portant sur « Les impacts de la DSP2 sur les dons en ligne », nous avions expliqué les nouvelles exigences d’authentification forte pour les donateurs lors de la réalisation de dons en ligne par carte bancaire. Les nouvelles solutions et les règles de déclenchement de l’authentification forte y avaient été détaillées.

Dans cet article, nous nous intéresserons aux modalités de mise en place de ces nouveaux dispositifs d’authentification par les banques : quels travaux ont été entrepris ? Quels sont les impacts sur les donateurs ? Quelles actions doivent-ils mener ? Explications avec Philippe Porcedo, Responsable Marché des Institutionnels & Associations à la Banque Postale.

 

Comment les banques appliquent-elles les exigences d’authentification forte DSP2 ?

Les banques doivent mener deux chantiers en parallèle :

  1. La mise en place d’une solution d’authentification forte conforme DSP2 ;
  2. La migration vers les nouvelles infrastructures de paiement monétique (appelées 3D-Secure v2) qui permettront d’appliquer les nouvelles règles de déclenchement de l’authentification forte prévues par la DSP2[1].

Notre enjeu est d’assurer au mieux ces migrations, dans le respect des échéances réglementaires, en collaboration avec l’ensemble des acteurs de l’écosystème monétique, et tout en assurant à nos clients une expérience de paiement fluide et sans couture. En effet, ces migrations techniques ne doivent en aucun cas générer des dysfonctionnements qui impacteraient nos clients et leur capacité à réaliser leurs paiements sur internet.

Au-delà des enjeux d’expérience client, ces migrations nécessitent une forte coordination entre les acteurs de l’écosystème monétique. Lorsqu’un donateur réalise un don en ligne sur le site internet d’une association, plusieurs acteurs entrent en jeu pour assurer l’exécution de son paiement. Tout d’abord le commerçant qui, via son prestataire de paiement, envoie la transaction à la banque du donateur pour qu’elle soit authentifiée. Selon le risque de fraude de la transaction, la banque du donateur décidera de vérifier ou non l’identité de ce dernier en lui envoyant une authentification forte. Une fois l’identité du donateur validée, sa banque renvoie la transaction à la banque du commerçant qui va alors procéder à la demande d’autorisation pour réaliser le paiement. A cette étape la banque du donateur est encore une fois sollicitée. A l’issue de contrôles, elle acceptera ou refusera le paiement. L’ensemble de ces échanges transitent via les infrastructures de paiement fournies par le Groupement Carte Bancaire, VISA ou MasterCard. Les migrations des infrastructures monétiques impactent donc l’ensemble de ces acteurs. Ils doivent tous avoir finalisé leurs migrations pour être en capacité de traiter une opération de bout en bout sur la nouvelle infrastructure 3D-Secure V2. Cela représente un défi de taille.

 

Quelles solutions d’authentification forte seront mises en place ?

Nous devons équiper en solutions d’authentification forte l’ensemble de nos clients qui réalisent des dons en ligne. Pour rappel, la solution d’authentification qui était actuellement majoritairement utilisée sur le marché n’est pas conforme DSP2 : le donateur devait saisir, sur l’interface de paiement du don en ligne, un code à usage unique que sa banque lui avait envoyé par SMS. Cette solution ne dispose que d’un seul facteur de sécurité (connaissance) et non de deux facteurs comme exigé par la DSP2[2].

Pour nos clients équipés d’un smartphone, nous mettons en place une solution d’authentification forte reposant sur les critères de sécurité de possession et de connaissance :

  • Pour pouvoir réaliser un don en ligne, le donateur recevra une notification dans son application mobile bancaire, lui indiquant les détails de l’opération. Il aura préalablement « enrôlé » son smartphone, ce qui nous permettra de nous assurer que la notification n’a pas été envoyée vers un téléphone détourné (critère de possession) ;
  • Le donateur devra ensuite saisir dans l’application son code secret, qu’il aura préalablement défini, pour valider l’opération (critère de connaissance).

Nous mettrons également en place des solutions d’authentification forte alternatives pour nos clients ne possédant pas de smartphone. Plusieurs solutions sont possibles, par exemple :

  • Lorsque le donateur réalisera un don en ligne, il pourra recevoir un code à usage unique, par SMS sur son téléphone, ou généré par un token physique (boitier fourni par sa banque, qui permet de générer des codes aléatoires à usage unique). Il devra alors saisir ce code sur la page de paiement du don en ligne (critère de possession), ainsi qu’un autre code statique qu’il aura préalablement défini auprès de sa banque (critère de connaissance).

Illustration des solutions d’authentification fortes :

impacts dsp2 donateurs - infographie

 

Quelles prochaines étapes pour les donateurs et sur les impacts de la DSP2 ?

L’ensemble de ces dispositifs d’authentification forte permettrons de sécuriser davantage les paiements réalisés sur internet.  Les donateurs seront informés par leurs banques des nouvelles solutions d’authentification forte mises en place.

Afin de se prémunir au mieux des risques de fraude en cette période de transition (phishing[3], usurpation d’identité…), nous conseillons aux donateurs de :

  • S’assurer de l’origine des messages reçus de leur banque, pour détecter toute contrefaçon : vraisemblance de l’adresse email, fautes d’orthographe… ;
  • Ne pas se connecter à leur banque en cliquant sur les liens insérés dans des mails, mais uniquement selon les canaux habituels (site internet de la banque accessible depuis le moteur de recherche, application mobile de la banque) ;
  • Ne jamais communiquer d’informations sensibles (code secret, code sms d’une transaction) par mail, courrier, fax ou téléphone.

 

Pour aller plus loin sur l’impacts de la DSP2 sur les donateurs ?

Un calendrier de déploiement sera disponible en septembre. Pour le recevoir, inscrivez-vous à notre newsletter par ce lien : Newsletter.

Vous pouvez également retrouver l’ensemble des études et baromètres du secteur dans notre Centre de Ressources.

 


[1] Plus de détails dans l’article Les impacts de la DSP2 sur les dons en ligne

[2] Plus de détails dans l’article Les impacts de la DSP2 sur les dons en ligne

[3] Le phishing est une technique de fraude qui consiste à récupérer des données personnelles d’un client au moyen d’un site internet ou d’un email contrefait qui demande au client de saisir ses identifiants de connexion à sa banque en ligne. Le fraudeur dispose alors des informations nécessaires pour usurper son identité

escalier de couleur inversé