Siège de la BCE

Les enjeux de sécurité à venir

Dossier : Les moyens de paiementMagazine N°724 Avril 2017
Par Alexandre STERVINOU

L’Europe s’est dotée de cadres de régle­men­ta­tion et de gou­ver­nance pour assur­er la sécu­rité des nou­veaux moyens de paiement, pro­téger le con­som­ma­teur et accroître la con­cur­rence. La pri­or­ité est de généralis­er l’au­then­tifi­ca­tion forte et de sécuris­er l’ac­cès aux comptes de paiement (pro­tec­tion des don­nées tran­si­tant entre teneurs de comptes). 

Au niveau européen, un nou­veau cadre de gou­ver­nance des moyens de paiement a été mis en place en décem­bre 2013, avec la créa­tion de l’ERPB (Euro Retail Pay­ments Board), dont l’objectif est de créer un marché inté­gré et com­péti­tif pour les paiements scrip­turaux de détail en euros. 

L’ERPB, placé sous l’égide de la BCE avec la par­tic­i­pa­tion des ban­ques cen­trales nationales dont la Banque de France, réu­nit des représen­tants de l’offre (ban­ques, nou­veaux acteurs) et de la demande (entre­pris­es, admin­is­tra­tions, con­som­ma­teurs) afin de favoris­er l’innovation et l’émergence de solu­tions paneu­ropéennes interopérables dans le domaine des paiements de détail. 

REPÈRES

Le marché des paiements s’inscrit aujourd’hui dans un contexte de très forte innovation marqué par l’émergence de nouveaux modes d’initiation et d’acceptation des paiements (en particulier sur smartphone) ; par l’apparition de nouveaux services afin de faciliter les paiements comme les portefeuilles électroniques ; et enfin par l’entrée de nouveaux acteurs sur le marché des paiements, aidés en cela par l’ouverture réglementaire souhaitée par le législateur européen.

DE NOUVEAUX ESPACES DE DIALOGUE EN EUROPE ET EN FRANCE

La sécu­rité est un enjeu majeur du développe­ment de moyens de paiement inno­vants et effi­caces, car elle per­met de garan­tir la con­fi­ance tant dans leur util­i­sa­tion que dans leur accep­ta­tion comme mode de règlement. 

La BCE et l’ABE (Autorité ban­caire européenne) ont donc décidé dès 2011 de créer et coprésider un espace de dia­logue réu­nis­sant sur ce sujet ban­quiers cen­traux et super­viseurs ban­caires : le forum européen SecuRe Pay (Secu­ri­ty of REtail Payments). 

“ Créer un marché intégré et compétitif pour les paiements scripturaux de détail en euros ”

Ce forum a pour objec­tif d’émettre des recom­man­da­tions dans le domaine de la sécu­rité des paiements de détail et d’être force de propo­si­tion dans le cadre des travaux régle­men­taires européens menés en la matière. 

Au niveau français, une con­cer­ta­tion a été ini­tiée en 2014 par le gou­verne­ment pour éla­bor­er une stratégie per­me­t­tant de mieux répon­dre aux besoins des util­isa­teurs, de dévelop­per à la fois inno­va­tion et com­péti­tiv­ité dans l’industrie française des paiements, de ren­forcer la sécu­rité et d’améliorer la gou­ver­nance des paiements de détail. Cette con­cer­ta­tion a abouti en avril 2016 à la créa­tion du Comité nation­al des paiements scrip­turaux (CNPS), présidé par la Banque de France. 

Tout comme l’ERPB avec lequel il assure le lien, le CNPS garan­tit une représen­ta­tion équili­brée de l’offre et de la demande et a pour mis­sion prin­ci­pale de met­tre en œuvre la stratégie nationale des paiements. 

D’autre part, l’Observatoire de la sécu­rité des cartes de paiement (OSCP) créé par la loi en 2001 a été élar­gi aux autres moyens de paiement scrip­turaux fin décem­bre 2016. Il devient l’Observatoire de la sécu­rité des moyens de paiement (OSMP) et a pour mis­sion d’assurer un suivi de la fraude et d’émettre des recom­man­da­tions de sécu­rité aux acteurs du domaine des paiements. 

En con­clu­sion, tant aux niveaux européen que français, la gou­ver­nance est désor­mais à même de déter­min­er les ori­en­ta­tions poli­tiques majeures pour l’émergence de moyens de paiement inno­vants et effi­caces, et d’assurer leur sécu­rité, con­di­tion indis­pens­able à leur développement. 

DES TEXTES POUR PROTÉGER LE CONSOMMATEUR ET ACCROÎTRE LA CONCURRENCE

L’Europe dis­pose depuis 2007 avec la Direc­tive sur les ser­vices de paiement, com­plétée en 2009 avec la deux­ième Direc­tive sur la mon­naie élec­tron­ique, d’un cadre juridique har­mon­isé con­cer­nant la presta­tion de ser­vices de paiement autour des moyens de paiement que sont la carte, le vire­ment et le prélèvement. 


La BCE et l’ABE (Autorité ban­caire européenne) ont décidé dès 2011 de créer et coprésider le forum européen SecuRe Pay (Secu­ri­ty of REtail Pay­ments). © GOODSTOCK / FOTOLIA.COM

En par­al­lèle de la volon­té d’accroître la con­cur­rence dans le secteur en favorisant de nou­veaux entrants, ces direc­tives ont intro­duit des dis­po­si­tions par­ti­c­ulière­ment pro­tec­tri­ces pour le con­som­ma­teur, avec notam­ment, lors d’une con­tes­ta­tion d’un client, le rem­bourse­ment immé­di­at des opéra­tions non autorisées (jusqu’à treize mois après l’événement) et la respon­s­abil­ité de la preuve con­fiée au prestataire de ser­vices de paiement. 

La deux­ième Direc­tive sur les ser­vices de paiement (DSP2), pub­liée en jan­vi­er 2016 et qui sera trans­posée en droit nation­al en jan­vi­er 2018, a con­fir­mé cette approche, en intro­duisant tout d’abord une nou­velle caté­gorie d’entrants, les ini­ti­a­teurs de paiement et les agré­ga­teurs d’information.

Les pre­miers sont des inter­mé­di­aires qui ont la capac­ité d’initier des paiements, le plus sou­vent des vire­ments, depuis le compte de banque en ligne du client, et pro­posent ces offres de paiement aux com­merçants en ligne comme une alter­na­tive pos­si­ble au paiement par carte ou par porte­feuille électronique. 

Les sec­onds pro­posent un ser­vice de con­sol­i­da­tion des infor­ma­tions des dif­férents comptes de paiement qu’un client peut détenir auprès d’autres prestataires de ser­vices de paiement. En par­al­lèle de cette ouver­ture de l’accès aux comptes de paiement par un tiers, la Direc­tive défend un objec­tif d’amélioration de la sécu­rité des paiements, artic­ulé autour de deux axes : la général­i­sa­tion des dis­posi­tifs d’authentification forte du payeur, et la sécuri­sa­tion de l’accès aux comptes de paiement par les nou­veaux acteurs. 

GÉNÉRALISER L’AUTHENTIFICATION FORTE

La DSP2 vise en effet à sys­té­ma­tis­er le recours à un dis­posi­tif d’authentification forte du client lors de l’accès à un compte ou d’une opéra­tion de paiement élec­tron­ique, qu’elle soit réal­isée à dis­tance (sur Inter­net) ou en prox­im­ité. Cette authen­tifi­ca­tion con­siste par exem­ple à deman­der un code non rejouable par SMS à un client lorsqu’un vire­ment en ligne est effec­tué depuis son compte ou lors d’un achat par carte sur Internet. 

“ Les initiateurs de paiement et les agrégateurs d’information forment une nouvelle catégorie d’entrants ”

Cette approche de sécuri­sa­tion des accès et paiements sur Inter­net n’est en réal­ité pas nou­velle : grâce aux travaux de l’OSCP, un état des lieux pré­cis de la fraude a pu très tôt être établi pour la carte, en con­statant que les paiements à dis­tance représen­tent la majorité de la fraude totale pour cet instrument. 

La France a ain­si pu être force de propo­si­tion au niveau européen pour pro­mou­voir le recours à l’authentification forte du por­teur pour les paiements en ligne, stratégie prônée par l’OSCP dès 2009, reprise au niveau européen par le forum SecuRe Pay en 2013 puis l’ABE en 2014 et au cœur des dis­po­si­tions de la DSP2. 

SÉCURISER L’ACCÈS AUX COMPTES DE PAIEMENT

Con­cer­nant la sécuri­sa­tion des nou­veaux ser­vices d’agrégation d’information et d’initiation des paiements, la DSP2 définit des exi­gences tech­niques quant aux com­mu­ni­ca­tions et aux don­nées tran­si­tant entre les teneurs de comptes, les nou­veaux entrants et leurs clients. 

Ces exi­gences con­stituent le cahi­er des charges de ce qui est com­muné­ment appelé une inter­face de com­mu­ni­ca­tion sécurisée entre les acteurs tiers et les étab­lisse­ments teneurs de comptes. 

METTRE EN ŒUVRE DE NOUVELLES RÈGLES

Les travaux de déf­i­ni­tion régle­men­taire de ces deux dis­po­si­tions de sécu­rité, authen­tifi­ca­tion forte et inter­face de com­mu­ni­ca­tion sécurisée, ne sont toute­fois pas achevés. 

“ Mettre en œuvre des mesures de sécurité réglementaires – dans un contexte où celles-ci ne sont pas encore stabilisées ”

La Direc­tive prévoit l’élaboration d’un texte de deux­ième niveau con­fiée à l’ABE et venant pré­cis­er les principes avancés au sein de la DSP2. En ce qui con­cerne l’authentification forte, un cer­tain nom­bre de déro­ga­tions devraient ain­si être pos­si­bles, notam­ment en prenant appui sur une analyse de risque de la trans­ac­tion et sur des seuils en dessous desquels cette sécuri­sa­tion ne sera pas obligatoire. 

Pub­lié par l’ABE en févri­er 2017, ce texte doit toute­fois encore être validé par la Com­mis­sion mais aus­si le Par­lement et le Con­seil européens courant 2017. Une fois approu­vées, ces dis­po­si­tions seront applic­a­bles aux prestataires de ser­vices de paiement au terme de dix-huit mois, ce qui à ce stade sig­ni­fie vraisem­blable­ment fin 2018, début 2019. 

De ce fait, la mise en œuvre com­plète des dis­po­si­tions de sécu­rité prévues par la DSP2 soulève deux prob­lé­ma­tiques majeures : d’une part, la capac­ité du marché à se pré­par­er à la mise en œuvre des mesures de sécu­rité règle­men­taires – dans un con­texte où celles-ci ne sont pas encore sta­bil­isées ; d’autre part, le régime tran­si­toire applic­a­ble entre les entrées en appli­ca­tion de la DSP2 en jan­vi­er 2018 et des exi­gences de sécu­rité définies par des textes régle­men­taires de sec­ond niveau, ce sec­ond point étant par­ti­c­ulière­ment sen­si­ble en ce qui con­cerne les con­di­tions d’exercice des acteurs tiers durant cette période. 

UN DÉFI POUR LES INSTANCES EUROPÉENNES ET NATIONALES

Face aux enjeux induits par la DSP2, les instances de gou­ver­nance européennes et français­es auront un rôle cen­tral à jouer tout au long des deux années à venir pour éviter une frag­men­ta­tion du marché et assur­er la mise en œuvre de l’authentification forte par les acteurs de marché. 

Parlement européen à Bruxelles
Face aux enjeux induits par la DSP2, les instances de gou­ver­nance européennes et français­es auront un rôle cen­tral à jouer.
© ARTJAZZ / FOTOLIA.COM

L’émergence des ini­ti­a­teurs et agré­ga­teurs de paiement, cou­plée à l’obligation de mise en œuvre d’interfaces sécurisées par les étab­lisse­ments teneurs de comptes pour sup­port­er les échanges avec ces nou­veaux acteurs, soulève un risque de frag­men­ta­tion : dans l’hypothèse où un grand nom­bre d’interfaces dif­férentes, respec­tant toutes les principes de sécu­rité étab­lis, venaient à être déployées, la capac­ité pour les acteurs tiers d’opérer au niveau paneu­ropéen pour­rait être obérée. 

L’ERPB se doit par con­séquent de coor­don­ner l’action des par­ties prenantes et de dévelop­per une approche paneu­ropéenne sur le sujet. Des travaux en ce sens ont d’ailleurs été engagés depuis début 2017 et le CNPS s’inscrira dans leur pro­longe­ment au niveau français. 

Con­cer­nant les règles applic­a­bles à l’authentification, SecuRe Pay, via les échanges entre ses mem­bres, a la capac­ité d’accompagner les acteurs de marché afin qu’ils puis­sent offrir des solu­tions de sécuri­sa­tion con­formes au niveau atten­du par la Direc­tive. Au niveau français, l’OSMP dis­pose d’un atout sup­plé­men­taire puisqu’il réu­nit juste­ment les prin­ci­paux acteurs de marché autour de ces enjeux. 

Ce sera donc l’opportunité d’apporter un éclairage aux travaux européens en la matière. La Banque de France, de par sa par­tic­i­pa­tion aux instances européennes d’une part, en tant que prési­dente du CNPS et assur­ant le secré­tari­at de l’OSMP d’autre part, est résol­u­ment engagée à con­tribuer effi­cace­ment à l’ensemble de ces travaux à venir en lien avec la mise en œuvre de la DSP2 en Europe, en étroite con­cer­ta­tion avec l’ensemble des par­ties concernées.

Poster un commentaire