Paiement: comment la DSP2 risque de passer à côté de ses objectifs
Un rapport montre que les modalités d’application de la directive ne ciblent pas assez les transactions à risque et gênent les autres paiements.
Publié le
Ajouter à vos sources préférées
Ajouter en favori
Alexandra Oubrier
Le rapport illustre le risque pour les marchands à trop s’en remettre à 3DSecure pour lutter contre la fraude.
-
C’est un pavé dans la mare. Le rapport de Riskified, spécialiste de la lutte antifraude, intitulé « La réaction des fraudeurs à la réglementation européenne » montre que la deuxième directive sur les services de paiement (DSP2) pourrait manquer ses objectifs de maîtrise de la fraude en ligne. La DSP2 mise tout sur l’authentification forte et sur 3DSecure pour sécuriser les transactions, mais selon ce rapport il existe au moins douze moyens de les contourner : à l’aide de malwares, d’opérations d’ingénierie sociale permettant de voler des données personnelles de consommateurs, par l’usurpation de la carte SIM d’une personne pour intercepter les codes uniques envoyés par SMS...
Les failles de 3DSecure
Le rapport illustre le risque pour les marchands à trop s’en remettre à 3DSecure pour lutter contre la fraude avec des exemples de transactions frauduleuses pourtant validées par la banque du porteur. En parallèle, certaines transactions exemptées d’authentification forte par la DSP2 devraient être davantage surveillées car les fraudeurs recherchent le maillon faible. Ce sont celles réalisées avec un acheteur ou un vendeur hors Union européenne, les commandes par téléphone ou par e-mail plus sujettes à l’ingénierie sociale, les paiements initiés par le marchand et les paiements réalisés avec des cartes prépayées anonymes ce qui empêche l’authentification du porteur.
Enfin, Riskified met en exergue «le paradoxe de la friction excessive» : les transactions considérées comme les plus risquées par l’Autorité bancaire européenne (EBA) et soumises à des protocoles plus stricts de vérification, ne sont pas forcément celles qu’on croit. Ainsi, certains paiements échappent à 3DS car leur risque est jugé faible selon l’EBA, comme les transactions de moins de 30 euros. Or ce sont justement celles ayant le risque de fraude le plus élevé. Le décalage entre les préconisations de l’EBA et la réalité des transactions risquées crée un paradoxe : la friction (l’authentification) est appliquée aux transactions sur lesquelles elle pourrait être évitée. Durant le dernier trimestre 2020, en pleine transition vers l’application des règles de la DSP2, douze milliards d’euros de transactions auraient ainsi été soumis à une friction excessive en raison des seuils d’exemption mal choisis. Un problème pour les marchands et les consommateurs, car plus de friction signifie plus d’erreurs dans le processus et parfois l’impossibilité de réaliser un achat.
Stripe et Advent ont déposé une offre conjointe plus tôt en juillet pour mettre la main sur PayPal, selon Reuters. L'opération valoriserait l'entreprise de paiement, dont l'étoile a pâli, à plus de 53 milliards de dollars.
La banque américaine, qui a codirigé avec Goldman Sachs l’introduction en bourse de SpaceX et engrangé 100 millions de dollars sur ce seul dossier, affiche aussi un résultat de trading actions record.
Le taux du Livret A augmente un peu moins qu’anticipé et celui du Livret d’épargne populaire reste stable. De mauvaises nouvelles pour les épargnants qui font les affaires des banques.
La filiale de gestion d’actifs du groupe BPCE veut combler son retard en lançant ses premiers ETF actifs sur le marché européen d’ici la fin de l’année tout en développant son offre sur le non-coté.
Alors que les incendies ravagent la France et que le pays souffre d'une grave sécheresse, les débats sur la gestion des ressources en eau enflamment le débat public. Elus remontés, ONG furieuses, agriculteurs angoissés... la bataille de l'eau couve