Dans ce contexte, une étude interne menée par Microsoft depuis septembre 2019 à partir d'un échantillon de transactions enregistrées sur ses propres plates-formes (à la fois via sa boutique web et les achats réalisés dans les applications de sa console XBox) apporte un intéressant éclairage sur les problèmes rencontrés avec les solutions existantes et leur impact réel sur les ventes. La conclusion est sans appel : en comparaison des opérations sans validation, les taux d'abandon explosent avec l'authentification forte.
Une partie du phénomène est facilement explicable et ne constitue pas une surprise : l'introduction d'une friction dans le parcours d'achat, aussi minime soit-elle, induit automatiquement un rejet par une partie des consommateurs, irrités ou impatientés par l'exigence de confirmer leur identité en ouvrant une application sur leur téléphone ou en saisissant un code secret reçu par SMS. En revanche, l'expérience conduite par Microsoft révèle également plusieurs faiblesses intrinsèques, absolument inacceptables.
Il apparaît ainsi, notamment, que les méthodes de contrôle mises en œuvre ne fonctionnent pas correctement : les échecs de vérification sont anormalement élevés. Autre critique, plus insidieuse, beaucoup d'émetteurs, n'ayant pas déployé leur propre système, se rabattent sur celui fourni par le réseau (Visa ou Mastercard) et ils exposent alors leurs porteurs à des refus d'autorisation plus fréquents. Enfin, même quand aucune erreur ne survient, les procédures de sécurité prennent beaucoup trop de temps.
Il faut encore parler de l'information des consommateurs. L'absence d'explications claires et transparentes sur les raisons pour lesquelles il devient maintenant nécessaire d'ajouter une étape (rébarbative) aux règlements en ligne, tout comme les démarches d'installation lourdes et plus ou moins incompréhensibles – on croirait parfois qu'elles proviennent d'escrocs professionnels –, contribue aussi aux réactions des clients, qui perdent confiance au fil des messages anxiogènes et préfèrent renoncer.
En synthèse, Microsoft incrimine directement la qualité des dispositifs d'authentification proposés par les institutions financières. Et nous revenons toujours au même constat : obligation réglementaire ou pas, ces dernières traînent des pieds quand il s'agit de protéger les moyens de paiement de leurs clients face à la montée de la cybercriminalité. Que les commerçants – qui risquent de perdre des revenus sans recours possible – soient frileux paraît légitime, mais que les banques soutiennent leurs récriminations – sans faire le moindre effort pour l'expérience utilisateur – est un véritable scandale !