Créer sa propre activité avec CADIF

F QUELLE EST L’AMPLEUR DES PAIEMENTS FRAUDULEUX SUR INTERNET ? En France, sur un total de 704,4 milliards d’euros de transactions par carte de paiement en 2018, les fraudes ont représenté 439 millions d’euros. Plus des deux tiers de ce montant ont été détournés sur internet par usurpation des numéros de carte. Ce qui frappe surtout à la lecture du dernier rapport de l’Observatoire de sécurité des moyens de paiement (OSMP), c’est le nombre grandissant de cartes touchées : plus de 1,35 million en 2018 au total pour un montant moyen de fraude de 70,50 euros qui, lui, a tendance à baisser. F QU’EST-CE QUE L’AUTHENTIFICATION FORTE ? Aujourd’hui, la sécurisation des paiements en ligne repose sur la saisie des données de la carte elle-même : numéro, date d’expiration, cryptogramme, voire nom et prénom du porteur. Les sites d’e-commerce sont déjà libres de demander une authentification forte du client avec le protocole « 3D-Secure » : pour valider l’opération, le consommateur saisit un code à usage unique envoyé par SMS sur son téléphone portable. Mais cette méthode d’authentification est optionnelle. Et pour l’Autorité bancaire européenne, elle doit évoluer vers des procédés plus sophistiqués. C’est pourquoi la deuxième directive européenne Sécurité des paiements dite « DSP2 », transposée en droit français à l’été 2018, impose de nouveaux principes d’authentification forte qui doivent entrer en vigueur à partir du 14 septembre 2019. Au moment de la transaction, il faudrait que le protocole de sécurisation combine au moins deux des trois facteurs suivants: la possession d’un objet par l’acheteur information détenue par l’utilisateur de la carte bancaire (unmot de passe ou un code secret); l’inhérence (la vérification de l’identité de l’acheteur par un élément biométrique comme son empreinte digitale, sa voix, son iris ou la reconnaissance faciale par selfie). (carte bancaire, smartphone, tablette ou ordinateur) ; la connaissance d’une

L’AVIS D’EXPERT Bertrand PINEAU Responsable veille, innovation et développement à la Fédération du e-commerce et de la vente à distance “ Les sites marchands comptent sur la dispense d’authentification forte “ Au moment de déclarer un «bénéficiaire de

F QU’EST-CE QUI CHANGE VRAIMENT AU 14 SEPTEMBRE ? À cette date, la réglementation de l’authentification forte change : ce ne sont plus les sites marchands qui la déclencheront, mais les banques et les prestataires de services de paiement (comme Paypal, Paylib ou Linxo), en fonction des taux de fraude et de leurs montants. « Pour les consommateurs, le changement ne sera pas brutal. Le recours à l’authentification forte sans remettre en cause les flux d’achats. Cela permettra de dresser un profil de risques pour chaque paiement, avant de déclencher une demande d’authentification forte. Il s’agit de garantir la continuité de service et la fluidité du parcours client tout en étant conforme à la DSP2. confiance», par exemple un site marchand sur lequel on fait souvent des achats, on passera d’abord par un protocole d’authentification forte. Puis ce ne sera plus nécessaire pour valider les transactions suivantes. Malheureusement, le 14 septembre, aucune banque ne sera en mesure d’enregistrer une liste de bénéficiaires de confiance ! Il faudra plus de temps. Or, les sites marchands comptent beaucoup sur cette dispense d’authentification forte pour faciliter les achats. En attendant, même s’il faut combattre la fraude, il faut aussi éviter que les paiements soient trop compliqués, voire bloqués. Pour cela, les protocoles type 3D-Secure vont perdurer et évoluer, le temps d’une transition en douceur. Parallèlement, un gros travail, invisible pour les consommateurs, vise à enrichir les données du paiement et à les partager entre marchands, banques du marchand et du client, réseaux (CB, Visa, Mastercard…) afin de sécuriser les transactions

MICROSTOCKHUB / ISTOCK

DOSSIER FAMILIAL 63