Essai gratuit

Se préparer à la DSP3 : changements proposés à l'ACS et à la prévention de la fraude à l'APP

Conformité
Frederik Mennes,
Preparing for PSD3: Proposed changes to SCA and APP fraud prevention

Les banques et les institutions de services financiers sont continuellement bombardées par de nouveaux types de fraudes bancaires et de paiement, allant des escroqueries par hameçonnage aux fraudes par virement bancaire, en passant par les fraudes par " push payment " (APP). Bien que la DSP2 ait créé un cadre solide, l'Union européenne est en train de revoir et d'adapter la directive pour lutter plus efficacement contre les fraudes bancaires croissantes. Le résultat est la proposition d'un nouveau règlement sur les services de paiement(PSR), également appelé PSD3.

Dans notre dernier livre blanc, PSD3 : Current status of SCA and authorised push payment fraud prevention requirements, nous examinons l'état actuel de cette révision réglementaire, en nous concentrant sur les changements législatifs proposés dans deux domaines clés : l'authentification forte du client (SCA) pour les services bancaires et les paiements numériques, et la prévention de la fraude APP.

Authentification forte du client (SCA)

Officiellement mises en œuvre avec la DSP2 en 2019, les méthodes d'ACS ont été créées pour protéger les utilisateurs de paiements en ligne contre les fraudeurs en exigeant des utilisateurs qu'ils fournissent au moins deux facteurs pour vérifier leur identité lors d'une transaction. Afin de simplifier et d'améliorer le processus SCA, la nouvelle réglementation PSR propose ce qui suit :

  • Une définition actualisée de l'ACS. Les deux facteurs utilisés pour vérifier l'identité lors de l'ACS ne doivent pas nécessairement appartenir à des catégories d'authentification différentes, pour autant qu'ils soient indépendants l'un de l'autre. Cela permet aux utilisateurs de créer un mécanisme d'ACS à partir de deux éléments d'inhérence (empreintes digitales, balayage de reconnaissance faciale), par exemple. Toutefois, le mécanisme SCA doit toujours générer des codes d'authentification dynamiques, de sorte qu'il est peu probable que les mécanismes SCA construits à partir de deux éléments de connaissance soient autorisés.
  • Nouvelles exigences en matière d'accessibilité pour les mécanismes SCA. Les prestataires de services de paiement (PSP) devront prendre en charge différentes formes de mécanismes SCA afin de répondre à la situation et aux besoins spécifiques de tous leurs utilisateurs. Il s'agit notamment de veiller à ce que tous les utilisateurs puissent effectuer une ACS, y compris "les personnes handicapées, les personnes âgées, les personnes ayant de faibles compétences numériques et celles qui n'ont pas accès à des canaux numériques ou à un smartphone" Par exemple, si un utilisateur n'a pas de téléphone capable de recevoir ou d'accéder à un code d'accès à usage unique, que ce soit par texte ou sur le web, les prestataires de services de paiement peuvent lui fournir un jeton matériel qui génère des codes d'accès à usage unique, ce qui permet à l'utilisateur de vérifier son identité.
  • Nouvelles exigences pour les prestataires de services de paiement concernant la prise en charge de diverses méthodes d'authentification. Les prestataires de services de paiement doivent prendre en charge diverses méthodes d'authentification, telles que les jetons matériels et les cartes à puce, et fournir gratuitement les mécanismes de l'ACS. Actuellement, il n'est pas rare que les fournisseurs de services de paiement adoptent une approche exclusivement mobile ou qu'ils fassent payer leurs mécanismes d'ACS ; ce changement garantit donc que les fournisseurs de services de paiement soutiennent l'ensemble de leur clientèle.

Prévention de la fraude par paiement push autorisé (APP)

Dans notre monde numérique, il est devenu facile pour des individus malveillants de se faire passer pour des personnes que nous connaissons ou en qui nous avons confiance, comme les banques ou les agences gouvernementales. Les fraudeurs utilisent cette confiance pour manipuler leurs victimes afin qu'elles autorisent des paiements sur un compte frauduleux, ce que l'on appelle la fraude APP. Ces dernières années, le volume de la fraude APP a augmenté d'environ 10 % par an, ce qui en fait l'un des types de fraude aux paiements numériques les plus préoccupants.

Pour aider les PSP à lutter contre la fraude APP, le PSR fournit une liste de contre-mesures.

Contre-mesures en cas de fraude APP

  • Service de correspondance IBAN/nom : Lorsqu'il transfère des fonds à une autre personne, le PSP du payeur peut demander au PSP du destinataire de vérifier si le nom et le numéro de compte bancaire international (IBAN) de cette personne correspondent afin de lutter contre la fraude basée sur l'ingénierie sociale. Un service similaire appelé "confirmation du bénéficiaire" existe dans des pays comme les Pays-Bas et le Royaume-Uni.
  • Responsabilité en cas de fraude : Lorsqu'une fraude est commise, l'entité responsable vis-à-vis de la victime dépend des conditions dans lesquelles la fraude s'est produite. Dans certaines circonstances, le prestataire de services de paiement est responsable de la fraude commise à l'encontre de son client, tandis que dans d'autres, le prestataire de services de paiement peut transférer la responsabilité aux fournisseurs de communications électroniques ou de services numériques. Ainsi, tous les prestataires impliqués dans la chaîne de fraude sont tenus de mettre en place des mesures organisationnelles et techniques pour prévenir et atténuer la fraude sur les paiements.
  • Contrôle des transactions : Selon la DSP2, les PSP doivent mettre en place des mécanismes de contrôle des transactions pour soutenir la mise en œuvre de l'ACS et de ses exemptions. Ils doivent également être en mesure de détecter et de prévenir les opérations de paiement potentiellement frauduleuses. Avec les mises à jour de la DSP3 (PSR), les PSP ont également le droit de bloquer les paiements s'ils ont des preuves solides qu'une transaction frauduleuse est en train de se produire.
  • Partage des données relatives à la fraude : Conformément au règlement général sur la protection des données (RGPD), les prestataires de services de paiement sont légalement autorisés à partager avec d'autres prestataires de services de paiement des informations relatives à la fraude concernant des personnes qui ont reçu un paiement considéré comme frauduleux. Il s'agit notamment de partager des identifiants personnels (noms, numéros d'identification personnels, numéros d'organisation), la méthode d'opération préférée du fraudeur et d'autres informations relatives à la transaction. En partageant ce type d'informations, les prestataires de services de paiement sont avertis des escroqueries potentielles et peuvent prendre des mesures proactives pour garantir la protection de leurs clients.
  • Formation des utilisateurs : Les PSP sont tenus de sensibiliser leurs clients et leur personnel à la fraude sur les paiements. Ils doivent notamment leur indiquer comment identifier clairement les tentatives de fraude, comment éviter d'en être victime et où signaler les actions frauduleuses et obtenir des informations supplémentaires sur la fraude.

Un processus de révision approfondi

Le Parlement européen a voté l'adoption de cette version du règlement PSR le 23 avril 2024. Ensuite, le Conseil européen examinera le règlement, puis des négociations en trilogue - des réunions informelles entre trois parties sur des propositions législatives - auront lieu entre les représentants de la Direction générale des services financiers (DG FISMA) de la Commission européenne, du Parlement et du Conseil. Ce processus devrait s'achever au cours du premier semestre 2025.

La législation PSD2 a aidé les institutions financières européennes à réduire la fraude par prise de contrôle des comptes (ATO) en introduisant une obligation paneuropéenne de déployer le SCA. À son tour, la législation PSD3/PSR à venir vise à s'attaquer à la fraude APP, qui est maintenant une préoccupation beaucoup plus importante que la fraude ATO. Nous verrons dans les années à venir si les contre-mesures proposées dans la PSD3 sont suffisantes.

PSD3 : Statut actuel des exigences en matière de prévention de la fraude dans le cadre de l'ACS et de la poussée autorisée des paiements
Livre blanc

PSD3 : Statut actuel des exigences en matière de prévention de la fraude dans le cadre de l'ACS et de la poussée autorisée des paiements

Pour un examen plus approfondi et une comparaison des changements apportés par le Parlement au projet initial de RSP de la Commission, téléchargez notre livre blanc.

Télécharger maintenant
Frederik Mennes
Frederik Mennes

Frederik dirige le Security Competence Center de OneSpan, où il est responsable des aspects de sécurité des produits et de l'infrastructure de OneSpan. Il possède une connaissance approfondie des technologies d'authentification, de gestion des identités, de réglementation et de sécurité pour les applications cloud et mobiles.

Contenu
Partager