Achats intégrés : nouvelles mesures d'authentification forte pour les paiements en Europe
Le processus de paiement d'un achat intégré dans une application va peut-être être un peu moins fluide à compter du début de l'année prochaine. En vertu de la seconde directive européenne sur les services de paiement (DSP 2), de nouvelles exigences pour l'authentification forte des consommateurs (Strong Customer Authentication, SCA) doivent être mises en place à compter du 31 décembre. Apple prévient les développeurs qu'ils doivent vérifier la mise en œuvre d'Apple Pay dans leurs apps et de StoreKit, le framework qui gère tout ce qui est paiement in-app.
La DSP 2 vise à protéger les consommateurs contre les risques de fraude. Avant d'autoriser un paiement avec une carte de débit ou de crédit sur un site web ou dans une application, la banque ou le fournisseur du service de paiement doit identifier l'utilisateur. Si cela arrive, l'utilisateur est dirigé vers le site web ou l'application de la banque ou du fournisseur sur lesquels il devra s'authentifier ; ensuite, si tout va bien, l'utilisateur sera redirigé vers l'App Store où un message lui indiquera que la transaction a été validée.
Pour aider les développeurs à s'y retrouver et à mettre en place le processus qui va bien, Apple fournit de la documentation et des outils de tests en sandbox. Il faut savoir qu'Apple Pay supporte d'ores et déjà le SCA, mais par acquit de conscience il faudra tout de même jeter un œil sur quelques réglages. La Pomme voit dans la DSP 2 une véritable opportunité pour Apple Pay, qui a obtenu sa certification de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information).
Jennifer Bailey, la responsable d'Apple Pay, avait expliqué en juillet 2019 que l’architecture du système de paiement avait été pensée « avec de très hautes attentes en termes de sécurité, ce qui porte maintenant ses fruits, au vu de la direction que souhaitent prendre les régulateurs européens » (lire : Apple Pay a une carte à jouer sur les paiements en ligne).
Il ne devrait pas y avoir de problème particulier pour les achats intégrés qui passent par le système de paiement d'Apple, ainsi que pour les règlements depuis un compte Apple abondé avec une carte cadeau, un compte opérateur et tout autre type de paiement autre qu'une carte de débit/crédit. Les abonnements renouvelables automatiquement ne nécessitent une identification qu'à la première transaction. Enfin, les achats de moins de 30 € peuvent ne pas exiger d'authentification forte.
Ça va encore être un beau bordel ça ! J’espère que les cartes virtuelles éphémères ne sont pas concernées.
Puisque tu en parles : est-ce qu’il existe une app permettant de générer gratuitement des cartes virtuelles éphémères à volonté ? C’est la seule chose qu’il manque à PayPal...
@TiTwo102
Je le fais avec Fortuneo ou Max. Révolut également. Mais un service qui ne fait que ça je ne connais pas.
@TiTwo102
On peut avec Lydia mais c’est limité en version gratuite
@TiTwo102
Hello, certaines banques le proposent comme part de leur service, par exemple le Crédit Mutuel. je ne me suis pas penché plus que ça sur la question mais j'ai l'impression que c'est illimité en terme de nombre de paiements et raccord avec les CGU de la carte concernée en terme de montant et plafond.
@darth leo
Toutes les banques le proposent en principe. Via l'app de la banque, on peut générer autant de carte virtuelle qu'on le souhaite. Selon les banques, la procédure est plus ou moins simple et rapide.
La deadline est toujours pour la fin d’année ? J’avais cru comprendre que le DSP2 signait la fin du SMS pour l’authentification forte, et malgré un peu de promo parfois insistante (Certicode+, Clé digitale, SecurPass ...) aucune grosse banque n’a forcé le passage.
La fin du SMS OTP est reportée ou carrément annulée du coup ? 🤔
@Rigby
La fin de l’OTP SMS est toujours d’actualité.
Elle a juste été reportée plusieurs fois pour permettre aux banques de se mettre en conformité, et éviter au maximum des frictions entre commerçants et clients. Mais la DSP2 est bien entrée en vigueur depuis le 14 septembre 2019.
L’authentification forte s’entend comme une identification à l’aide de deux des trois facteurs que sont la connaissance (identifiant+MDP), la possession (smartphone avec appli bancaire, ou boitier fourni par la banque) et l’inhérence (emprunte digitale, reconnaissance faciale,...)
Un numéro de téléphone pouvant être détourné, l’OTP SMS n’est plus considéré comme authentification forte.
Par ailleurs, à compter du 01/04/2021, l’authentification forte du porteur de la carte sera obligatoire dès le 1er euro (le plafond était à 2000 eur depuis octobre et va progressivement être réduit jusqu’au 01/04)
@prowls
Merci pour toutes ces infos 👌
@prowls
« emprunte » ? Hors de question que je prête ou qu’on me prenne un doigt... 🤣
@DG33
Ahah bien vu ! Désolé !