Sécurité des paiements sur internet : tout savoir sur la DSP2 et l’authentification forte

Cette nouvelle Directive Européenne pour les prestataires de paiement sur Internet (DSP2) souhaite protéger encore plus les consommateurs du risque de fraude sur le paiement électronique. Limiter les escroqueries à la carte bancaire, les détournements de comptes en banque et les virements frauduleux, c’est l’objectif de ce cadre réglementaire européen. Même si cela semble contraignant au moment de payer, ces étapes de sécurité sont vraiment un mal pour un bien ! Explications.

La DSP2 pour le consommateur européen

Cette directive européenne pour la gestion des comptes s’adresse à tous les prestataires qui organisent des flux de paiement à distance, essentiellement sur Internet. Cela peut être une banque, un établissement de crédit ou même des prestataires de paiement de l’ensemble de l’Union Européenne. Elle s’applique ainsi à la gestion d’un compte en ligne ou d’une application.

La directive européenne propose un cadre pour les services de paiements sur deux grands thèmes :

• La maîtrise des informations des consommateurs, des données entre prestataires de la finance et des paiements, l’organisation des acteurs du secteur dans l’Union européenne.
• La sécurité des paiements pour les consommateurs. C’est cette dimension « protection du client » qui est particulièrement développée ici.

Avant la DSP2, la DSP1

La première directive européenne pour les services de paiement date de 2007 puis est transposée en droit français en 2009. La relire, c’est constater le gigantesque bond en avant fait par le secteur bancaire en une quinzaine d’années. En 2007, la DSP1 donnait enfin l’autorisation à des prestataires et établissements de gérer des paiements en ligne. C’est la fin du monopole bancaire. Côté sécurité du consommateur, on y évoque la possibilité de se faire rembourser par le client d’une banque en cas d’escroquerie, avec une franchise jusqu’à 150 euros. Bref, c’est l’âge de pierre de la règlementation du paiement en ligne mais c’est un premier cadre.

La DSP2 intègre l’évolution du marché des paiements en ligne

Validée par l’Union européenne en 2015, la DSP deuxième version est applicable en France à partir de 2017 de façon partielle. La partie dédiée aux consommateurs sera rendue obligatoire un peu plus tard : c’est ce nouveau cadre qui impose la double authentification pour les transactions de plus de 30 euros, puis l’authentification renforcée.

Le développement des fintechs

Dès 2015, la DSP2 prévoit le développement des fintechs et l’arrivée de nouveaux tiers de confiance dans le secteur de la finance et du paiement. Alors, chaque intervenant sur la « chaîne de paiement » est identifié : on est loin du temps où seules les banques traditionnelles avaient le droit de gérer le marché des services de paiements en ligne, sur Internet.

Le développement des prestataires… et des fraudeurs

Quand vous multipliez les prestataires et les services de paiements, vous augmentez le nombre d’opérations. Autrement dit, vous ouvrez la porte à la fraude. La directive DSP2 prévoit de renforcer la sécurité des opérations, notamment sur son maillon le plus faible : le consommateur ! Et les voleurs l’ont bien compris puisqu’ils s’attaquent essentiellement à cette fragilité humaine plutôt qu’aux réseaux et aux systèmes des prestataires de paiement (tiers, agrégateurs, établissements, etc.). Pirater le code informatique d’un compte en banque ou d’une application d’une fintech, c’est plus difficile que de récupérer le code secret d’un client. La sécurité est un enjeu de tous les jours pour tous les prestataires du paiement : agrégateurs, banques, fintechs, conseils.

N.B. Un système de paiement subit en permanence des attaques de pirates mais les acteurs de la cybersécurité sont armés pour mener cette guerre électronique. Protéger « l’émotion » d’un consommateur en plein acte d’achat, c’est moins facile à contrôler.

L’authentification forte, qu’est-ce que c’est ?

La DSP2 prévoit des normes à mettre en place pour le paiement électronique par les commerçants mais aussi par les banques et les prestataires de paiement. Vous ne pouvez plus réaliser un paiement par carte, une transaction sur un compte en ligne (même l’ouverture d’un compte) sans une authentification forte, parfois appelée double authentification. Alors, oui, c’est parfois un peu contraignant, mais cela diminue considérablement le risque de fraude sur votre compte.

Quelles sont les méthodes possibles d’authentification sur un compte ?

Un grand principe à retenir : une authentification forte doit demander deux éléments sur les trois proposés par la DSP2 (c’est d’ici que vient la confusion sur la « double authentification ») :

• Un élément de connaissance : une information connue de vous seul, un mot de passe par exemple,
• Un élément de possession : un smartphone ou une ligne téléphonique,
• Un élément d’inhérence : empreinte digitale, reconnaissance faciale ou bien encore son de la voix (même si ce système n’est pas très développé pour le grand public). Comme dans les films d’espionnage, peut-être qu’un jour, on scannera l’iris de son œil pour faire un paiement ou se connecter sur son compte.

Quand on vous demande de mettre en place une vérification de sécurité depuis votre smartphone, l’authentification est au niveau le plus fort puisqu’elle reprend une solution de chaque élément possible.

Bon à savoir : l’authentification forte est obligatoire pour toute transaction de plus de 30 euros mais de plus en plus souvent, les e-commerçants et les prestataires de paiement la demandent dès le premier euro (voire le premier centime). Là aussi, c’est pour le bien du consommateur.

Bonnes pratiques individuelles pour sécuriser ses paiements

La plus grande faille de sécurité, c’est l’utilisateur ! Et ça, les escrocs l’ont bien compris. Le premier rempart contre le vol, c’est donc le client ! Pour cela, il y a quelques bonnes pratiques à suivre.

• Ne jamais transmettre d’information personnelle comme un mot de passe par téléphone ou messagerie. Un interlocuteur d’un service de paiement ne le demande pas.
• Éviter de valider une demande d’authentification si vous n’avez pas vous-même fait un achat.
• Autre conseil : ne pas valider une demande d’authentification après réception d’une demande de paiement par téléphone, même si l’interlocuteur a vraiment l’air de connaître vos informations personnelles, voire des éléments de votre vie privée. Les fraudeurs savent très bien trouver la bonne information sur les réseaux sociaux.
• Éviter de laisser des données personnelles sur des sites « grand public » (réseaux sociaux, forums, etc.)
• Accepter les services d’authentification renforcée des différents prestataires de paiement.
• Vérifier les adresses des sites sur lesquels vous donnez vos coordonnées bancaires. Assurez-vous de la présence du « petit cadenas » et vérifiez que l’URL (l’adresse Web) ne comporte pas d’éléments ajoutés. C’est le cas, par exemple, des arnaques aux amendes qui renvoient sur de faux sites du service ANTS de paiement des contraventions.
• Dernier conseil : si vous avez besoin de contacter un prestataire de paiement, prenez le numéro de téléphone de contact présent sur leur site Internet officiel.

Les choix DSP2 de VeraCash pour ses clients

VeraCash utilise un tiers de confiance prestataire de paiement qui respecte les normes de sécurité de la directive DSP2. C’est pour ça que nous l’avons choisi. C’est aussi pourquoi, à toutes les étapes de la vie d’un compte VeraCash, il y a une authentification forte.

Utilisation du compte VeraCash

Le compte en ligne

La première étape est de s’identifier sur son compte VeraCash. Pour cela il faut connaître son identifiant et son mot de passe.
Puis un troisième élément, un code PIN (ou équivalent).

Sur l’application VeraCash

L’identification par empreinte digitale est possible. Une alerte de sécurité systématique sera adressée par email. Vous êtes informé qu’une connexion est en cours sur votre compte. Si c’est vous, pas de souci : il n’y a rien à faire.

À noter que, de temps en temps, l’authentification par empreinte digitale ne fonctionne pas. Il faut dans ce cas indiquer son code PIN secret ou un code reçu par SMS.

En bref : une authentification sur l’application est vraiment renforcée ! Et grâce à elle, vous pouvez consulter tranquillement et en toute sécurité votre compte VeraCash.