Pour renforcer la protection des acheteurs lors de paiements à distance, la DSP2 rend obligatoire l'authentification SCA (Strong Customer Authentication), aussi appelée authentification à deux facteurs.
Une authentification forte de l'acheteur nécessite la vérification d’au moins deux facteurs parmi les 3 suivants :
- Connaissance : ce que l'acheteur sait (PIN, mot de passe) ;
- Possession : ce que l'acheteur possède (carte, mobile, token) ;
- Inhérence : ce que l'acheteur est (empreinte digitale, reconnaissance faciale, iris).
Ces facteurs sont indépendants l’un de l’autre en ce sens que la compromission de l’un n’entraîne pas la compromission de l’autre.
Bien que non reconnue comme une méthode d'authentification forte par l'autorité bancaire européenne, le SMS-OTP sera encore utilisé le temps que de nouvelles méthodes (biométrie par exemple) prennent le relais.
Cette méthode adoptée massivement par les acheteurs, a contribué à faire baisser significativement les taux de fraude pour les paiements carte en e-commerce. Elle est actuellement la plus répandue chez les banques (86%).
Pour plus d'information, veuillez consulter la documentation sur La mise en conformité avec la DSP2.