L’EBA a publié un avis sur les éléments de l’authentification forte du client dans le cadre de la directive révisée sur les services de paiement (PSD2). L’avis est une réponse aux interrogations incessantes des acteurs du marché sur les méthodes d’authentification considérées par l’EBA comme conformes à SCA. L’avis répond également aux préoccupations concernant la préparation et la conformité de certains acteurs de la chaîne de paiement avec les exigences du SCA applicables à compter du 14 septembre 2019.
L’avis fournit une liste non exhaustive des méthodes d’authentification actuellement observées sur le marché et indique si elles sont considérées comme conformes à la norme SCA. L’avis le fait séparément pour chacun des trois éléments de connaissance, de possession et d’inhérence inhérents au SCA, et fournit également des éclaircissements concernant les combinaisons de ces éléments.
L’avis répond également aux préoccupations relatives à la préparation du marché, en précisant que l’EBA n’est juridiquement pas en mesure de reporter une date de candidature fixée dans le droit de l’Union. L’avis explique également que le secteur dispose de suffisamment de temps pour se préparer à la date d’application de SCA, étant donné que la définition de SCA avait été définie dans PSD2 lors de sa publication en 2015, ce qui indiquait clairement que les méthodes d’authentification existantes doivent être supprimés et que PSD2 a déjà accordé un délai supplémentaire de 18 mois à l’industrie pour la mise en œuvre de SCA.
Cependant, l’avis reconnaît la complexité des marchés des paiements dans l’Union européenne et les défis découlant des changements nécessaires, en particulier de la part d’acteurs autres que des prestataires de services de paiement (PSP) et, par conséquent, non directement soumis à PSD2 et aux normes techniques de l’EBA, telles que les e-commerçants, qui pourraient avoir pour conséquence que certains acteurs de la chaîne de paiement ne soient pas prêts au 14 septembre 2019.
Par conséquent, l’ABE accepte qu’à titre exceptionnel et afin d’éviter des conséquences négatives imprévues pour certains utilisateurs de services de paiement après le 14 septembre 2019, les ANC puissent décider de collaborer avec les prestataires de services de paiement et les parties prenantes concernées, y compris les consommateurs et les commerçants, afin de fournir un nombre limité de services supplémentaires. temps. Cela permettra aux émetteurs de migrer vers des approches d’authentification conformes à SCA, telles que celles décrites dans le présent avis, et aux acquéreurs de migrer leurs marchands vers des solutions prenant en charge SCA.
Cette flexibilité de supervision est disponible à condition que les PSP aient mis en place un plan de migration, approuvé le plan avec leur autorité de contrôle des marchés, et qu’ils exécutent le plan de manière accélérée.
Afin de réaliser les objectifs de PSD2 et de l’EBA visant à assurer la cohérence dans l’ensemble de l’UE, l’EBA communiquera plus tard cette année aux délais dans lesquels les acteurs susmentionnés devront avoir achevé leurs plans de migration.
Contexte
La directive révisée sur l es services de paiement a été publiée en novembre 2015, elle est entrée en vigueur le 13 janvier 2016 et est applicable depuis le 13 janvier 2018. La directive apporte des modifications fondamentales au marché des paiements de l’UE, notamment en exigeant que les prestataires de services de paiement appliquent la SCA. (PSP) lors de la réalisation de transactions électroniques à distance.
La directive SCA est définie dans la directive comme une “authentification basée sur l’utilisation de deux éléments ou plus classés dans les connaissances (quelque chose que seul l’utilisateur connaît), la possession (quelque chose que seul l’utilisateur possède) et le contenu inhérent (quelque chose que l’utilisateur est indépendant), en ce que la violation de l’un ne compromet pas la fiabilité des autres et est conçue de manière à protéger la confidentialité des données d’authentification. ” La directive prévoit également que le SCA doit être appliqué à tous les paiements électroniques, sauf si l’une des exemptions s’applique.
L’EBA avait été mandatée pour soutenir la directive en élaborant des normes techniques de réglementation (RTS) définissant les détails de l’authentification forte du client et de la communication commune et sécurisée (RTS sur SCA et CSC), y compris ses exemptions, et en réglementant l’accès au paiement des clients. les données de compte conservées chez des prestataires de services de paiement gérant des comptes.
Les RTS ont été élaborés en 2015/16, consultés au cours de l’exercice 2016/17, adoptés le 27 novembre 2017 par le règlement délégué (UE) 2018/389 de la Commission, publiés au Journal officiel du 13 mars 2018 et s’appliqueront juridiquement à partir du 14 septembre 2019. Le RTS s’abstient délibérément de faire référence à des approches d’authentification particulières dans l’industrie, afin de s’assurer que le RTS reste neutre sur le plan technologique et à l’avenir.
Base légale
L’ABE a émis l’avis conformément à l’article 29, paragraphe 1, point a), de son règlement fondateur, qui charge l’Autorité de jouer un rôle actif dans l’instauration d’une culture de surveillance commune et de pratiques de contrôle cohérentes dans l’Union, ainsi qu’en veillant à l’uniformité des procédures et au respect des procédures. approches cohérentes dans l’ensemble de l’Union.