Comment la DSP2 risque de passer à côté de ses objectifs

Alexandra Oubrier
Un rapport montre que les modalités d’application de la directive ne ciblent pas assez les transactions à risque et gênent les autres paiements.

C’est un pavé dans la mare. Le rapport de Riskified, spécialiste de la lutte antifraude, intitulé « La réaction des fraudeurs à la réglementation européenne » montre que la deuxième directive sur les services de paiement (DSP2) pourrait manquer ses objectifs de maîtrise de la fraude en ligne. La DSP2 mise tout sur l’authentification forte et sur 3DSecure pour sécuriser les transactions, mais selon ce rapport il existe au moins douze moyens de les contourner : à l’aide de malwares, d’opérations d’ingénierie sociale permettant de voler des données personnelles de consommateurs, par l’usurpation de la carte SIM d’une personne pour intercepter les codes uniques envoyés par SMS...

Les failles de 3DSecure

Le rapport illustre le risque pour les marchands à trop s’en remettre à 3DSecure pour lutter contre la fraude avec des exemples de transactions frauduleuses pourtant validées par la banque du porteur. En parallèle, certaines transactions exemptées d’authentification forte par la DSP2 devraient être davantage surveillées car les fraudeurs recherchent le maillon faible. Ce sont celles réalisées avec un acheteur ou un vendeur hors Union européenne, les commandes par téléphone ou par e-mail plus sujettes à l’ingénierie sociale, les paiements initiés par le marchand et les paiements réalisés avec des cartes prépayées anonymes ce qui empêche l'authentification du porteur.

Enfin, Riskified met en exergue «le paradoxe de la friction excessive» : les transactions considérées comme les plus risquées par l’Autorité bancaire européenne (EBA) et soumises à des protocoles plus stricts de vérification, ne sont pas forcément celles qu’on croit. Ainsi, certains paiements échappent à 3DS car leur risque est jugé faible selon l’EBA, comme les transactions de moins de 30 euros. Or ce sont justement celles ayant le risque de fraude le plus élevé. Le décalage entre les préconisations de l’EBA et la réalité des transactions risquées crée un paradoxe : la friction (l’authentification) est appliquée aux transactions sur lesquelles elle pourrait être évitée. Durant le dernier trimestre 2020, en pleine transition vers l'application des règles de la DSP2, douze milliards d’euros de transactions auraient ainsi été soumis à une friction excessive en raison des seuils d’exemption mal choisis. Un problème pour les marchands et les consommateurs, car plus de friction signifie plus d’erreurs dans le processus et parfois l’impossibilité de réaliser un achat.