Lutter plus efficacement contre les fraudes bancaires, tel est le nouvel objectif de l’Autorité Bancaire Européenne pour 2022. Pour l’atteindre, l’ABE se concentre principalement sur la sécurité des transactions effectuées par carte bancaire ainsi que sur les paiements en ligne. En effet, les Européens ont réalisé plus de 70 milliards de transactions en ligne l’année dernière. Ce chiffre, en constante augmentation, pourrait dépasser les 80 milliards en 2022.
1200 sites infectés
34 sites très populaires sont concernés en France. Au total, ce sont plus de 1200 sites de vente en ligne qui ont été la cible de logiciels malveillants depuis 2018. Ces logiciels dérobent les données des cartes bancaires utilisées dans le cadre d’un paiement en ligne. Silencieux et difficiles à détecter, ils agissent sans que le site marchand infecté puisse s’en rendre compte. La revente de données bancaires sur le Dark Web ne cesse pas de croître. Les hackers ont revendu plus de 150 millions de données en 2020, contre 99 millions en 2020. Ce sont ces chiffres alarmants qui ont poussé l’ABE à renforcer les règles de sécurité des cartes bancaires. La « directive révisée sur les services de paiement », ou DSP2, est le texte européen qui regroupe ces règles.
L’authentification forte obligatoire
À partir du 1er janvier 2021, l’authentification forte est obligatoire pour tous les sites de e-commerce européens. Cette méthode d’authentification était jusqu’à présent seulement recommandée. En 2019, un petit nombre de banques et de sites marchands la proposaient. Pour la plupart des sites marchands, il suffisait en 2020, d’entrer ses coordonnées bancaires et de valider l’achat. Désormais, le client devra systématiquement confirmer le paiement auprès de sa banque.
En 2022, un utilisateur qui effectue des achats en ligne sera à la fois identifié au moyen des données bancaires qu’il possède et d’un code ou d’une information biométrique qu’il est le seul à pouvoir fournir. Au moment du paiement, les sites de commerce en ligne et les applications mobiles d’achat devront déclencher une procédure d’authentification forte.
Les acteurs concernés par cette mesure doivent adopter l’authentification forte avant mars 2021. En vue de s’adapter à ces nouvelles mesures, les banques qui n’avaient pas encore franchi le pas devront s’adapter et proposer l’authentification forte :
- par SMS grâce à la combinaison d’un code temporaire et d’un identifiant statique
- au moyen d’une application mobile avec réception d’une notification au moyen du paiement et saisie d’un code statique personnel
- par biométrie sur les smartphones équipés d’un système de reconnaissance faciale, d’empreinte digitale ou d’iris.
- à l’aide d’un générateur de code ou d’une clé USB sécurisée pour ceux qui ne possèdent pas de mobile
Dans quel cas l’authentification forte ne s’applique-t-elle pas ?
Très redoutées par les sites d’e-commerce, car elle prolonge fortement le parcours d’achat, ces nouvelles mesures ne s’appliquent pas pour tous les paiements en ligne. Cette procédure est facultative dans certains cas. Les exceptions notables concernent :
- les paiements en ligne de moins de 30 €
- les paiements récurrents par carte bancaire (abonnements mensuels)
- les achats réalisés sur les sites indiqués comme bénéficiaires de confiance auprès de la banque de l’utilisateur
Les nouvelles cartes bancaires
La carte bancaire virtuelle est un service dématérialisé de sécurisation fournit par la plupart des banques à leurs clients qui souhaitent effectuer des achats en ligne. Les banques en ligne ont été les premières à offrir ce type de service. Certaines le font même gratuitement. Dans la même lignée, les fabricants de cartes bancaires annoncent une démocratisation rapide des nouvelles technologies de sécurisation. Selon Idemia, les coûts de production des cartes intégrant des technologies innovantes pour sécuriser les paiements seront significativement réduits au cours de l’année 2020. Cette annonce répond à la demande de l’ABE et devrait participer efficacement à la lutte contre les fraudes bancaires.
La carte à lecture d’empreintes digitales
Conçue pour sécuriser les paiements effectués sur un terminal, cette carte intègre un lecteur d’empreintes digitales. Ce moyen de paiement possède de nombreux atouts qui répondent à la fois aux normes anti-fraudes et aux normes sanitaires en vigueur. Il permet d’identifier le propriétaire de la carte sans que celui-ci n’ait à toucher le terminal de paiement pour taper un code. Le paiement est plus rapide et beaucoup plus sûr.
La carte à cryptogramme électronique
Cet autre type de carte, déjà commercialisé par certaines banques, devrait se répandre plus intensément au cours de l’année 2020. Chaque carte dispose d’un cryptogramme électronique au verso. Toutes les heures, ce dispositif renouvelle les trois chiffres servant à la validation d’un paiement en ligne. Grâce à cela, les données bancaires récupérées par les logiciels malveillants sur un site infecté ont une durée de vie très limitée.