Depuis la publication en juin dernier d'une opinion par l'Autorité Bancaire Européenne – qui rappelait pourtant son illégitimité à changer la date d'application d'une législation européenne – entrouvrant la porte à un assouplissement des exigences « à titre exceptionnel », les régulateurs allemand, britannique, italien, espagnol et, finalement, français ont commencé à formaliser des extensions des délais de mise en œuvre des obligations d'authentification forte sur les opérations de paiement.
La réaction à ces annonces est unanime. Les acteurs du commerce en ligne sont universellement soulagés de pouvoir temporiser le déploiement de mesures de protection qu'ils considèrent comme un risque majeur pour leurs taux de conversion. En effet, l'ajout d'une étape de validation de l'identité du payeur lors du règlement de son panier tend à constituer une friction supplémentaire dans le parcours d'achat, qui entraîne une augmentation des abandons et, en fin de chaîne, une perte nette de chiffre d'affaires.
Il est certes admirable de se préoccuper ainsi de l'expérience utilisateur (ou, plus précisément, de l'impact potentiel de sa dégradation sur l'économie) mais il est tout de même étrange que nul ne s'inquiète de ce qui justifiait initialement la nouvelle contrainte ! Comment peut-on oublier aussi rapidement l'enjeu véritable de cette portion de la DSP2 ? La sécurité des paiements ne serait-elle plus d'actualité ? Les dispositifs existants seraient-ils redevenus suffisants ? La cybercriminalité aurait-elle disparu ?
Contrairement à ce qui est évoqué (rarement) dans la presse, le renforcement de l'authentification dont il est question n'a pas pour objectif de réduire toujours plus la fraude sur les paiements à distance (qui semble aujourd'hui sous contrôle). Il s'agit avant tout de prendre conscience de l'obsolescence prochaine des mécanismes de protection actuels, dont la validation par SMS des implémentations de 3D-Secure, et d'anticiper le moment où ils seront totalement dépassés par les capacités technologiques des fraudeurs.
En décalant la mise en place de systèmes de sécurité plus robustes (jusqu'à 3 ans, en France), les régulateurs font le pari, extrêmement dangereux, que les défauts des pratiques en vigueur aujourd'hui resteront peu exploitées et ne feront pas exploser le nombre de préjudices subis durant l'intervalle. Tout cela pour, encore une fois, satisfaire les demandes d'entreprises qui, oublieuses de la sophistication en hausse constante des malfaiteurs, ont traîné des pieds pendant 4 ans et se trouvent soudain confrontées à une situation d'urgence menaçant leurs performances commerciales…