La cybercriminalité est le centre de préoccupations des établissements bancaires, du fait que, chaque jour, de nouvelles méthodes d’attaques et de fraudes sont créées, ce qui inquiète les clients désireux d’effectuer leurs transactions en ligne ou via leur téléphone mobile, craignant de plus les fraudes à la carte bancaire notant qu’ils ne peuvent pas s’en passer.
D’ailleurs, dès l’année prochaine, des millions de personnes en Europe vont soudainement avoir du mal à se connecter à leur compte bancaire mobile, à cause des précautions prises par les banques pour la protection de leur clientèle. En fait, l'UE a adopté une nouvelle directive sur les services de paiement (DSP2).
Cette dernière, qui est entrée en vigueur en janvier 2018, a établi des règles concernant les virements, les débits directs, paiements par carte, paiements mobiles et en ligne tels que des exigences de sécurité strictes pour les paiements électroniques et la protection des données financières des consommateurs. Ces règles visent à rendre plus facile et plus sûre l’utilisation des services de paiement par Internet, en mieux protégeant les consommateurs de la fraude, des abus et problèmes de paiement, tout en garantissant une authentification sûre et une transparence des conditions et informations requises pour les services de paiement, promouvant des services innovants de paiement mobile et Internet, renforçant les droits des consommateurs, ainsi que le rôle de l'Autorité bancaire européenne (ABE) dans la coordination des autorités de surveillance et des projets de normes techniques, etc.
La sécurité biométrique, telles les empreintes digitales et l’identité faciale, est depuis longtemps un élément essentiel des services bancaires mobiles, mais les nouvelles règlementations en matière de paiements de l’Union européenne jugent la biométrie seule trop précaire pour les services bancaires mobiles.
Sur ce, les banques, à travers le continent, prévoient un retour aux méthodes traditionnelles ou moins avancées à l’exemple des mots de passe, phrases mémorables, questions de sécurité et lecteurs de cartes.
Le changement fait part de la phase finale de la mise en œuvre de la DSP2, qui oblige les établissements bancaires à utiliser une sécurité à deux facteurs : Authentification forte du client (en anglais « Strong Customer Authentication » ou SCA) pour renforcer la sécurité des transactions et la protection des données sensibles, même pour des opérations de base telles que la connexion à un compte.
D’après cette directive, en plus des données biométriques, l’utilisateur doit compléter son accès par l’utilisation d’au moins deux éléments indépendants tels ceux que l’utilisateur connaît (par exemple, un mot de passe ou un code PIN), quelque chose qu’il possède (par exemple, un périphérique distinct tel que le lecteur de carte, token…), ou ce que l’utilisateur est (une empreinte digitale, reconnaissance faciale…).
Selon la directive, que l'opération ou la transaction soit initiée au travers un initiateur de paiement (Payment Initiation Service Provider, PISP), un agrégateur de comptes (Account Information Service Provider, AISP) ou un teneur de comptes (Account Servicing Payment Service Providers, ASPSP), une Authentification forte du client doit être obligatoirement appliquée dans certaines situations :
- Lors de l'accès en ligne au solde d'un compte
- Pour les transactions de paiement électronique sans contact
- Pour les transactions de paiement électronique en ligne
- Lors de la modification de la liste des bénéficiaires de confiance
- Lors de la mise en place d’une transaction récurrente (même bénéficiaire, même montant)
- Pour effectuer un virement, sauf pour soi-même et dans le cadre d’un même ASPSP
Le secteur bancaire est inquiet qu’avec ces changements, les banques ne fassent un retour en arrière dans les fastidieux processus de connexion à plusieurs étapes avant que les mesures biométriques telles que les empreintes digitales et l’identité faciale simplifient le processus.
La façon dont chaque banque se conformera à ces nouvelles règles reste encore une chose inconnue. Mais, dès les mois en cours, les normes techniques de réglementation sur l’authentification forte du client (RTS SCA) sous PSD2, 18 mois après leur publication, sont obligatoires.
Une solution possible proposée par les experts du secteur consiste pour les banques à revoir la conception de leurs applications de manière à contourner la législation. Par exemple, la vérification d’un compte ne nécessite pas d’authentification à deux facteurs, selon la DSP2. Une application peut donc utiliser la biométrie pour en déverrouiller une partie, tout en conservant les paiements et l’historique de compte derrière une connexion à deux facteurs.
Le plus gros défi consistera à expliquer, à des millions d'Européens, pourquoi leur banque est devenue plus difficile à utiliser.
Les banques partout encouragent l’innovation et elles sont en train de travailler fort pour pouvoir créer des solutions bancaires sécuritaires dans une ère digitale complexe. Mais nous devons tous agir pour assurer que nos systèmes sont également sécurisés.
Utiliser le téléphone mobile pour faire des transactions bancaires est évidemment une façon pratique de gérer nos finances à partir de n'importe quel endroit. La plupart des banques fournissent une application permettant d'accéder facilement aux informations sollicitées et de procéder à des transactions. Mais, avant d'ouvrir une session, nous devons nous attarder à répondre à quelques questions :
- Le réseau sans fil est-il sécurisé? Par exemple, si vous recevez un signal sans fil à l'hôtel, vous pourriez ne pas vouloir transmettre des renseignements sensibles.
- L'application mobile de services bancaires provient-elle vraiment de ma banque? Assurez-vous qu'elle est authentique et qu'il ne s'agit pas d'une imitation.
- Ai-je installé une technologie antivol sur mon appareil mobile et sauvegardé mes données?
- Mon appareil se verrouille-t-il automatiquement après un certain temps? Dans la négative, il serait pertinent d'installer une telle fonction et d'utiliser un mot de passe fort pour votre appareil mobile.
- Ai-je stocké mes mots de passe et mes renseignements bancaires (numéro et adresse de la succursale, etc.) sur mon appareil mobile? Si vous perdez votre téléphone, ces renseignements y demeureront.
- Est-ce que toutes mes applications et tous mes logiciels sont à jour? Songez à vérifier l'authenticité d'une application auprès de votre banque en personne ou par téléphone.
- Ayant été conscient de ce que nous, de notre part, fournissons comme informations en ligne, nous pouvons être confiants que la banque fera de son mieux pour protéger notre data (données) comme l’UE est en train de faire, en mettant à jour toute politique et stratégie bénéfique à cet égard, en utilisant un processus de sécurité multicouches, avec une combinaison de différentes méthodes d'authentification solides adaptées au niveau de risque et à la sensibilité de la transaction.