L’Autorité bancaire européenne a fixé une date butoir unique à tous les plans nationaux de migration aux nouvelles règles d’authentification forte des paiements en ligne. Au 31 décembre 2020, tous les e-commerçants européens devront respecter les normes techniques de réglementation (RTS), ce qui laisse peu de temps à l’industrie des paiements pour déployer son standard 3DSecure V2.2 intégrant les possibilités de déroger aux règles d’authentification.
Dans une opinion publiée le 16 octobre, l’Autorité bancaire européenne (ABE) a repris la main sur le calendrier de migration aux nouvelles règles d’authentification forte (Strong Customer Athentication ou SCA). Face à l’impréparation des différentes communautés bancaires en Europe à basculer au 14 septembre dernier, l’Autorité avait finalement autorisé un déploiement étalé dans le temps. La Banque de France, en concertation avec la Fédération bancaire française et les principaux schemes avait établi un plan de migration sur trois ans. Il était notamment prévu que les e-commerçants pourraient jusqu’en mars 2020 continuer à opérer sans authentification et que le dispositif 3D-Secure « ancienne génération », fondé sur l’envoi d’un SMS (OTP-one time password), serait toléré jusqu’en mars 2021.
Cette dernière date ne tient plus. L’ABE fixe une date limite commune à l’ensemble des plans nationaux de migration aux nouveaux standards d’authentification forte pour les paiements en ligne : 31 décembre 2020, soit dans un peu plus de quatorze mois. L’objectif est d’éviter des litiges liés à un environnement juridique non-harmonisé en cas de fraude sur des paiements transfrontaliers.
Surtout, l’Autorité n’entend pas se laisser dicter le calendrier de migration aux SCA par l’industrie des paiements. Dans son opinion, l’ABE indique avoir mené l’enquête auprès des prestataires de services de paiements (PSP), des établissements acquéreurs, des représentant du commerce et des associations de consommateurs pour mieux comprendre l’état de préparation de l’industrie à l’adoption des nouvelles règles d’authentification.
Cette enquête de l’ABE souligne que la plupart des prestataires des émetteurs et acquéreurs se conformeront dans la moitié des Etats membres aux nouvelles règles SCA à fin 2019 et au premier semestre 2020 dans la majorité des autres pays. Les inquiétudes concernent les commerçants qui, à l’exception des voyagistes et des hôteliers, auront besoin de 3 à 9 mois pour adapter leurs systèmes.
« Dans ce contexte, une majorité des répondants aux questionnaires ont indiqué qu’ils préfèreraient une période de 18 mois pour assurer la migration en douceur et ordonné de l’ecosystème de paiement par carte du commerce en ligne », explique l’ABE. De son point de vue, cette demande serait « pilotée » (guided) par le calendrier de développement du protocole de communication 3DS V2.2, utilisé par plusieurs grands réseaux de cartes (schemes), et prévu pour intégrer les exemptions aux règles d’authentification fortes introduites par les normes techniques réglementaires (transactions de faible montant, cas des bénéficiaires de confiance, transactions récurrentes ou jugées à faible risque).
Par respect du principe de neutralité, l’EBA ne veut pas caler son calendrier sur une solution en cours de développement alors que d’autres sont déjà disponibles. Elle ne souhaite pas non plus courir le risque de devoir reporter à nouveau la date butoir si le projet 3DS V2.2 décale. Surtout, l’autorité bancaire estime que le développement d’un protocole proposant un parcours de paiement plus convivial (user-friendly) ne justifie pas de reporter significativement l’application de règles de sécurité publiées en février 2017. Traduction : l’industrie des paiements est priée de délivrer plus vite !