Dès le 14 septembre prochain, une réglementation européenne instaure des nouvelles normes de sécurité pour les paiements en ligne (DSP2) entrera en vigueur. L’objectif : protéger davantage les consommateurs lors de leurs achats sur Internet. Arrêt du SMS et authentification renforcée (mot de passe, biométrie…) seront désormais monnaie courante pour les achats en ligne. Selon un sondage réalisé par Gemalto, 44 % des personnes interrogées ont déclaré qu’elles changeraient de banque en cas de violation de la sécurité. L’obligation de protéger les données personnelles des clients est clairement du ressort de la banque.
Cette nouvelle réglementation européenne impose des procédures d’authentification forte du client pour les services de paiement en ligne ainsi que pour l’initiation et le traitement des paiements électroniques en ligne.Conformément à la définition de la nouvelle directive, l’authentification forte du client signifie que les transactions sont vérifiées à l’aide d’au moins deux des éléments suivants :
– Connaissance : quelque chose que seul l’utilisateur connaît (par ex. un mot de passe, un code PIN, un numéro d’identification)
– Possession : quelque chose que seul l’utilisateur possède (par ex. un appareil mobile, un token, une carte à puce)
– Caractéristique personnelle : quelque chose qui caractérise l’utilisateur de manière unique (par ex. une empreinte digitale, la reconnaissance faciale ou vocale)
L’authentification forte sera dorénavant nécessaire pour accéder aux comptes de paiement et les partager avec des tiers ; ainsi que pour réaliser des opérations dites « engageantes » tels que les virements par exemple, hors exemptions. Le client devra renouveler tous les 3 mois son authentification forte pour accéder à ses comptes. Pour les fintech comme les agrégateurs de comptes et initiateurs de paiement, l’expérience client se complexifie et perd en fluidité ! Pour les banques aussi la mise en conformité DSP2 représente un chantier de plusieurs dizaines de millions d’euros. Source
Au-delà des aspect techniques, l’interface visible du client devra être irréprochable ! L’authentification biométrique est peut être l’une des réponses à cette problématique. Cette solution simplifiera le quotidien des utilisateurs qui n’auront plus besoin de retenir leurs différents mots de passe. Les entreprises devraient intégrer la biométrie dans leur expérience client afin de les rassurer, mais également pour être en conformité avec la Directive. D’autant que les constructeurs et OS de smartphone propose des API sur le sujet !
Par exemple, Nuance fait remarquer que les lancements de smartphone phare comme l’iPhone 11 sont des périodes de fraude accrue pour les opérateurs téléphoniques. En raison de l’augmentation légitime de la demande/vente des smartphones, il est très difficile pour les opérateurs de télécommunications de distinguer efficacement les ventes réelles de la fraude. Les algorithmes traditionnels ont des problèmes de délimitation entre les deux catégories, ce qui peut être coûteux car souvent la seule autre solution est de faire examiner chaque transaction individuellement par les analystes. La meilleure option est d’utiliser la biométrie pour identifier les voix, les visages et les comportements des fraudeurs qui tentent de commander ces dispositifs, ce qui empêche la vente, au lieu de détecter la fraude après coup. Avec une perte quotidienne moyenne de 1,5* appareil et des prix des nouveaux appareils Apple d’environ 1 500 $, les opérateurs enregistrent une perte quotidienne moyenne de 2 250 $. Le temps devient crucial pour prévenir ces pertes, et la biométrie peut y remédier.
*1% de ces activations de compte en moyenne sont frauduleuses. Si un opérateur a 120 000 nouveaux comptes créés par mois, cela représente une perte de 2,7M$ chaque mois à cause du vol d’identitié.
Pour en savoir plus sur la perception et l’état d’esprit des cyberacheteurs face à l’arrivée de ces évolutions, Dalenys, fintech spécialisée dans l’optimisation des encaissements en e-commerce, mobile et magasins, dévoile les résultats d’une étude, réalisée auprès de 1005 acheteurs en ligne.
Globalement, les personnes interrogées se déclarent confiantes à 92% lors de leurs achats en ligne, tout en se montrant vigilantes pour 67% d’entre elles). A noter, la proportion qui se déclare totalement en confiance (25%) lors de leurs achats en ligne baisse lorsque l’âge des personnes sondées augmente, passant ainsi de 32% pour les 18-34 ans à seulement 16% pour les 55 ans et plus. Pour près de la moitié des cyberacheteurs (48%), tous âges et sexes confondus, les achats en ligne sont de plus en plus sécurisés. Un résultat qui reste à nuancer puisque 45% des répondants déclarent que cela dépend des sites Internet et pour 31% cela dépend également du pays. En effet, 54% des acheteurs en ligne se sentent plus exposés aux risques lors d’achats en ligne sur des sites étrangers.
Près d’1 acheteur en ligne sur 5 a déjà été victime d’une fraude en ligne (18%). Et, alors qu’ils sont les plus confiants dans la sécurisation de leurs transactions en ligne, ce sont davantage les jeunes qui se voient touchés par ce phénomène (22%).
70% des victimes de fraudes estiment que les banques ont une gestion parfaite de ces incidents. Toutefois, pour 21%, la gestion est bonne mais les démarches restent lourdes et 9% estiment que la fraude n’a pas été bien gérée par la banque. 1 acheteur sur 2 (51%) estime qu’en cas de fraude, la responsabilité incombe uniquement au site Internet (51%), tandis qu’un 1/3 pense que la responsabilité est partagée entre le site et la banque. Enfin, ils sont 16% à désigner la banque comme unique responsable.
78 % des consommateurs perçoivent les étapes d’authentification lors d’achats en ligne comme un gage de sécurité et de sûreté, alors que pour 18 % c’est un véritable frein qui peut les dissuader d’acheter. Seulement 45 % des sondés affirment avoir entendu parler de la fin du SMS comme solution d’authentification (alors que cette méthode d’authentification est celle qui obtient le plus d’adhésion aujourd’hui, à savoir 86% des usages). Une notoriété qui est encore plus faible chez les 55 ans et plus : seuls 35% d’entre eux en ont entendu parler.
Les internautes sont assez mitigés quand il s’agit de sécurisation des achats en ligne. Ainsi pour plus de la moitié (57%), celle-ci devrait être proportionnelle au montant dépensé : plus le montant de la transaction est important et plus la transaction doit être sécurisée (dont 8% uniquement à la condition que les achats soient réguliers sur ce site).
Parmi les solutions envisagées pour éviter les étapes de sécurisation supplémentaires lors des achats en ligne, les cyberacheteurs auront la possibilité d’indiquer leurs sites préférés à leur banque qui seront donc exemptées de double authentification. Si 31 % des sondés sont favorables à cette option, ils sont 43 % à se montrer réfractaires ; 26 % des interrogés seraient quant à eux d’accord sur le principe, à condition que ces informations ne soient pas utilisées à des fins commerciales.
41 % des personnes interrogées ont déjà entendu parler de la double authentification qui sera désormais nécessaire pour acheter des produits sur Internet. Parmi leurs sources d’informations, ils citent notamment : les médias (16 %), leur banque (15 %) et les sites de e-commerce (9 %).
16 % des acheteurs en ligne affirment connaitre certains des critères sur lesquels pourraient reposer cette double authentification : empreinte digitale (9 %), combinaison d’un mot de passe et d’une reconnaissance biométrique (8 %) et la reconnaissance faciale (7 %).
Ainsi lorsque l’on interroge les acheteurs sur la solution qu’il juge la plus simple parmi les 5 testées dans cette étude (reconnaissance faciale / rythme cardiaque / empreinte digitale / empreinte rétinienne / mot de passe + reconnaissance biométrique), l’empreinte digitale arrive en tête (46 %), devant la combinaison mot de passe + reconnaissance biométrique (31%) et la reconnaissance faciale (15 %).
Enfin dans le cadre de cette nouvelle réglementation, un certain nombre de données sont rendus obligatoires pour l’authentification des transactions et l’amélioration de la lutte contre la fraude. Près de la moitié des sondés (48 %) ne sont pas à l’aise à l’idée que des données les concernant et concernant leurs achats puissent être transmises à la banque via un site e-commerce alors que 33 % n’y voit pas d’inconvénient si cela garanti leur sécurité.
Cependant si ces différentes solutions de reconnaissance biométriques peuvent être jugées comme simples pour certains, près de la moitié des sondés (48 %) ne sont pas à l’aise à l’idée que ce type d’information soit utilisée pour leurs transactions en ligne (alors que 33 % n’y voit pas d’inconvénient si cela garantit leur sécurité).