Les enjeux de sécurité à venir
L’Europe s’est dotée de cadres de réglementation et de gouvernance pour assurer la sécurité des nouveaux moyens de paiement, protéger le consommateur et accroître la concurrence. La priorité est de généraliser l’authentification forte et de sécuriser l’accès aux comptes de paiement (protection des données transitant entre teneurs de comptes).
Au niveau européen, un nouveau cadre de gouvernance des moyens de paiement a été mis en place en décembre 2013, avec la création de l’ERPB (Euro Retail Payments Board), dont l’objectif est de créer un marché intégré et compétitif pour les paiements scripturaux de détail en euros.
L’ERPB, placé sous l’égide de la BCE avec la participation des banques centrales nationales dont la Banque de France, réunit des représentants de l’offre (banques, nouveaux acteurs) et de la demande (entreprises, administrations, consommateurs) afin de favoriser l’innovation et l’émergence de solutions paneuropéennes interopérables dans le domaine des paiements de détail.
REPÈRES
Le marché des paiements s’inscrit aujourd’hui dans un contexte de très forte innovation marqué par l’émergence de nouveaux modes d’initiation et d’acceptation des paiements (en particulier sur smartphone) ; par l’apparition de nouveaux services afin de faciliter les paiements comme les portefeuilles électroniques ; et enfin par l’entrée de nouveaux acteurs sur le marché des paiements, aidés en cela par l’ouverture réglementaire souhaitée par le législateur européen.
DE NOUVEAUX ESPACES DE DIALOGUE EN EUROPE ET EN FRANCE
La sécurité est un enjeu majeur du développement de moyens de paiement innovants et efficaces, car elle permet de garantir la confiance tant dans leur utilisation que dans leur acceptation comme mode de règlement.
La BCE et l’ABE (Autorité bancaire européenne) ont donc décidé dès 2011 de créer et coprésider un espace de dialogue réunissant sur ce sujet banquiers centraux et superviseurs bancaires : le forum européen SecuRe Pay (Security of REtail Payments).
“ Créer un marché intégré et compétitif pour les paiements scripturaux de détail en euros ”
Ce forum a pour objectif d’émettre des recommandations dans le domaine de la sécurité des paiements de détail et d’être force de proposition dans le cadre des travaux réglementaires européens menés en la matière.
Au niveau français, une concertation a été initiée en 2014 par le gouvernement pour élaborer une stratégie permettant de mieux répondre aux besoins des utilisateurs, de développer à la fois innovation et compétitivité dans l’industrie française des paiements, de renforcer la sécurité et d’améliorer la gouvernance des paiements de détail. Cette concertation a abouti en avril 2016 à la création du Comité national des paiements scripturaux (CNPS), présidé par la Banque de France.
Tout comme l’ERPB avec lequel il assure le lien, le CNPS garantit une représentation équilibrée de l’offre et de la demande et a pour mission principale de mettre en œuvre la stratégie nationale des paiements.
D’autre part, l’Observatoire de la sécurité des cartes de paiement (OSCP) créé par la loi en 2001 a été élargi aux autres moyens de paiement scripturaux fin décembre 2016. Il devient l’Observatoire de la sécurité des moyens de paiement (OSMP) et a pour mission d’assurer un suivi de la fraude et d’émettre des recommandations de sécurité aux acteurs du domaine des paiements.
En conclusion, tant aux niveaux européen que français, la gouvernance est désormais à même de déterminer les orientations politiques majeures pour l’émergence de moyens de paiement innovants et efficaces, et d’assurer leur sécurité, condition indispensable à leur développement.
DES TEXTES POUR PROTÉGER LE CONSOMMATEUR ET ACCROÎTRE LA CONCURRENCE
L’Europe dispose depuis 2007 avec la Directive sur les services de paiement, complétée en 2009 avec la deuxième Directive sur la monnaie électronique, d’un cadre juridique harmonisé concernant la prestation de services de paiement autour des moyens de paiement que sont la carte, le virement et le prélèvement.
La BCE et l’ABE (Autorité bancaire européenne) ont décidé dès 2011 de créer et coprésider le forum européen SecuRe Pay (Security of REtail Payments). © GOODSTOCK / FOTOLIA.COM
En parallèle de la volonté d’accroître la concurrence dans le secteur en favorisant de nouveaux entrants, ces directives ont introduit des dispositions particulièrement protectrices pour le consommateur, avec notamment, lors d’une contestation d’un client, le remboursement immédiat des opérations non autorisées (jusqu’à treize mois après l’événement) et la responsabilité de la preuve confiée au prestataire de services de paiement.
La deuxième Directive sur les services de paiement (DSP2), publiée en janvier 2016 et qui sera transposée en droit national en janvier 2018, a confirmé cette approche, en introduisant tout d’abord une nouvelle catégorie d’entrants, les initiateurs de paiement et les agrégateurs d’information.
Les premiers sont des intermédiaires qui ont la capacité d’initier des paiements, le plus souvent des virements, depuis le compte de banque en ligne du client, et proposent ces offres de paiement aux commerçants en ligne comme une alternative possible au paiement par carte ou par portefeuille électronique.
Les seconds proposent un service de consolidation des informations des différents comptes de paiement qu’un client peut détenir auprès d’autres prestataires de services de paiement. En parallèle de cette ouverture de l’accès aux comptes de paiement par un tiers, la Directive défend un objectif d’amélioration de la sécurité des paiements, articulé autour de deux axes : la généralisation des dispositifs d’authentification forte du payeur, et la sécurisation de l’accès aux comptes de paiement par les nouveaux acteurs.
GÉNÉRALISER L’AUTHENTIFICATION FORTE
La DSP2 vise en effet à systématiser le recours à un dispositif d’authentification forte du client lors de l’accès à un compte ou d’une opération de paiement électronique, qu’elle soit réalisée à distance (sur Internet) ou en proximité. Cette authentification consiste par exemple à demander un code non rejouable par SMS à un client lorsqu’un virement en ligne est effectué depuis son compte ou lors d’un achat par carte sur Internet.
“ Les initiateurs de paiement et les agrégateurs d’information forment une nouvelle catégorie d’entrants ”
Cette approche de sécurisation des accès et paiements sur Internet n’est en réalité pas nouvelle : grâce aux travaux de l’OSCP, un état des lieux précis de la fraude a pu très tôt être établi pour la carte, en constatant que les paiements à distance représentent la majorité de la fraude totale pour cet instrument.
La France a ainsi pu être force de proposition au niveau européen pour promouvoir le recours à l’authentification forte du porteur pour les paiements en ligne, stratégie prônée par l’OSCP dès 2009, reprise au niveau européen par le forum SecuRe Pay en 2013 puis l’ABE en 2014 et au cœur des dispositions de la DSP2.
SÉCURISER L’ACCÈS AUX COMPTES DE PAIEMENT
Concernant la sécurisation des nouveaux services d’agrégation d’information et d’initiation des paiements, la DSP2 définit des exigences techniques quant aux communications et aux données transitant entre les teneurs de comptes, les nouveaux entrants et leurs clients.
Ces exigences constituent le cahier des charges de ce qui est communément appelé une interface de communication sécurisée entre les acteurs tiers et les établissements teneurs de comptes.
METTRE EN ŒUVRE DE NOUVELLES RÈGLES
Les travaux de définition réglementaire de ces deux dispositions de sécurité, authentification forte et interface de communication sécurisée, ne sont toutefois pas achevés.
“ Mettre en œuvre des mesures de sécurité réglementaires – dans un contexte où celles-ci ne sont pas encore stabilisées ”
La Directive prévoit l’élaboration d’un texte de deuxième niveau confiée à l’ABE et venant préciser les principes avancés au sein de la DSP2. En ce qui concerne l’authentification forte, un certain nombre de dérogations devraient ainsi être possibles, notamment en prenant appui sur une analyse de risque de la transaction et sur des seuils en dessous desquels cette sécurisation ne sera pas obligatoire.
Publié par l’ABE en février 2017, ce texte doit toutefois encore être validé par la Commission mais aussi le Parlement et le Conseil européens courant 2017. Une fois approuvées, ces dispositions seront applicables aux prestataires de services de paiement au terme de dix-huit mois, ce qui à ce stade signifie vraisemblablement fin 2018, début 2019.
De ce fait, la mise en œuvre complète des dispositions de sécurité prévues par la DSP2 soulève deux problématiques majeures : d’une part, la capacité du marché à se préparer à la mise en œuvre des mesures de sécurité règlementaires – dans un contexte où celles-ci ne sont pas encore stabilisées ; d’autre part, le régime transitoire applicable entre les entrées en application de la DSP2 en janvier 2018 et des exigences de sécurité définies par des textes réglementaires de second niveau, ce second point étant particulièrement sensible en ce qui concerne les conditions d’exercice des acteurs tiers durant cette période.
UN DÉFI POUR LES INSTANCES EUROPÉENNES ET NATIONALES
Face aux enjeux induits par la DSP2, les instances de gouvernance européennes et françaises auront un rôle central à jouer tout au long des deux années à venir pour éviter une fragmentation du marché et assurer la mise en œuvre de l’authentification forte par les acteurs de marché.
Face aux enjeux induits par la DSP2, les instances de gouvernance européennes et françaises auront un rôle central à jouer.
© ARTJAZZ / FOTOLIA.COM
L’émergence des initiateurs et agrégateurs de paiement, couplée à l’obligation de mise en œuvre d’interfaces sécurisées par les établissements teneurs de comptes pour supporter les échanges avec ces nouveaux acteurs, soulève un risque de fragmentation : dans l’hypothèse où un grand nombre d’interfaces différentes, respectant toutes les principes de sécurité établis, venaient à être déployées, la capacité pour les acteurs tiers d’opérer au niveau paneuropéen pourrait être obérée.
L’ERPB se doit par conséquent de coordonner l’action des parties prenantes et de développer une approche paneuropéenne sur le sujet. Des travaux en ce sens ont d’ailleurs été engagés depuis début 2017 et le CNPS s’inscrira dans leur prolongement au niveau français.
Concernant les règles applicables à l’authentification, SecuRe Pay, via les échanges entre ses membres, a la capacité d’accompagner les acteurs de marché afin qu’ils puissent offrir des solutions de sécurisation conformes au niveau attendu par la Directive. Au niveau français, l’OSMP dispose d’un atout supplémentaire puisqu’il réunit justement les principaux acteurs de marché autour de ces enjeux.
Ce sera donc l’opportunité d’apporter un éclairage aux travaux européens en la matière. La Banque de France, de par sa participation aux instances européennes d’une part, en tant que présidente du CNPS et assurant le secrétariat de l’OSMP d’autre part, est résolument engagée à contribuer efficacement à l’ensemble de ces travaux à venir en lien avec la mise en œuvre de la DSP2 en Europe, en étroite concertation avec l’ensemble des parties concernées.