Paiement, fraude et partage des données : la DSP3 va rebattre les cartes

Présenté par la Commission européenne fin juin 2023, le projet DSP3 s'inscrit dans une dynamique favorable aux industries financières. Quelques points importants doivent encore être améliorés

Dans la suite logique de la DSP2 (Directive des services de paiement), la DSP3 vise à s’appuyer sur les précédents efforts des industries financières européennes pour poursuivre leur modernisation. Le projet a été présenté par la Commission européenne fin juin 2023. Six grands domaines sont envisagés :

  1. Combattre et atténuer la fraude aux paiements ;
  2. Améliorer les droits des consommateurs ;
  3. Uniformiser davantage les conditions de concurrence entre les banques et les non-banques ;
  4. Améliorer le fonctionnement de la banque ouverte ;
  5. Améliorer la disponibilité des espèces dans les magasins et au moyen de distributeurs automatiques de billets ;
  6. Renforcer l'harmonisation et la mise en application.

Le calendrier retenu table sur une adoption vers février 2025 avec une période de mise en œuvre courant sur 18 mois. Force est de constater que certains domaines méritent d’être éclaircis, sinon complétés, pour sécuriser l’adoption de l’Open Banking et tendre vers l’Open Finance. C’est le souhait des nouveaux acteurs que sont les fintechs, mais aussi des particuliers et des acteurs de l’e-commerce et enfin, des banques traditionnelles.

Le premier point, « combattre et atténuer la fraude aux paiements », a été particulièrement pris en compte par les industries financières, notamment avec la mise en œuvre de l’authentification renforcée et d’autres dispositions de sécurité. Pour ce faire, il doit utiliser au moins 2 des 3 critères suivants : un paramètre de connaissance, que lui seul connaît (mot de passe, code secret, question secrète) ; un paramètre de possession, que lui seul possède (téléphone portable, montre connectée, clé USB) ; un paramètre de biométrie (reconnaissance faciale, vocale, empreinte digitale). Ce modus operandi est rentré dans notre vie en douceur. La DSP2 l’a favorisé, mais les établissements bancaires avaient déjà pris des initiatives novatrices pour l’époque (mot de passe envoyé par SMS par exemple).

Si certains paiements sont exemptés d’authentification forte en raison d’un faible niveau de risque, ils doivent être soumis à un outil de scoring. De plus, l’exemption est soumise à la validation de l’émetteur du moyen de paiement. L’ensemble de ces dispositions a eu un impact considérable sur la sécurité des paiements :  de 2020 à 2022, on constate une baisse de 33% du taux de fraude sur les cartes émises en France, et même de 42% pour les paiements domestiques.

Cependant, par essence, les escrocs ne s’arrêtent jamais. Alors qu’ils se heurtent à un mur technologique devenu souvent infranchissable, ils ont de plus en plus recours à l’ingénierie sociale pour endormir la confiance de leur cible. Ils améliorent malheureusement l’efficacité de leur fraude en usurpant l’identité de personnes, le fameux spoofing. Cette technique frauduleuse affecte non seulement la relation banque-client, mais l’ensemble de l’écosystème lié au commerce électronique : les marchands, mais aussi les prestataires de service de paiement et, surtout, les opérateurs télécoms.

Certes, la loi Naegelen oblige depuis le 26 juillet 2020 les opérateurs télécoms au renforcement de la lutte contre l'usurpation d'identité. Or, le projet DSP 3 n’évoque aucune incitation dans ce domaine. C’est là une faille qu’il convient de prendre le temps de combler. Un autre élément à prendre en compte est la responsabilisation des clients. Cela passe certainement par des campagnes d’apprentissage et de sensibilisation, mais la fraude doit pouvoir être pressentie au niveau des particuliers, sans doute avec l’aide de l’écosystème. Bref, le remboursement ne doit pas être automatique : qui laisserait aujourd’hui son porte-monnaie sur le siège de sa voiture, à la vue de tout le monde, personnes honnêtes et voleurs mélangés ?

À ce titre, l'Observatoire de la sécurité des moyens de paiement en France (OSMP) a émis des recommandations demandant aux établissements de faire une certaine introspection : savoir quelle est la part de responsabilité de la victime et quelle est la part de responsabilité de l'établissement, notamment dans les alertes qu’il a pu envoyer aux clients.

Un autre souci pour les acteurs bancaires est le partage de données : le nom et les coordonnées du client, mais aussi l’IBAN (International Bank Account Number, le numéro de compte international) entre les différents acteurs. Là aussi, il faut pouvoir déterminer les responsabilités de chaque acteur de l’écosystème. Une banque ne peut pas être tenue responsable d’une fraude si un maillon de la chaîne de paiement n’a pas fait son travail.

Un des derniers éléments à considérer est la relation avec les constructeurs de téléphone portable, élément clef de l’authentification forte, mais aussi du commerce électronique sur mobile. Précisons que certains téléphones proposent des « wallet », des systèmes de portefeuilles intégrés. Il semble que les relations et les partages d’information entre le régulateur et Apple ou Samsung soient bons. Il n’en est peut-être pas de même avec la multitude de constructeurs, souvent chinois, qui ont recours aux divers systèmes d’exploitation Android.