Response to consultation on RTS specifying the requirements on strong customer authentication and common and secure communication under PSD2
Go back
Corporates (merchants) must be able to adjust the authentication level according to the risk associated to the transaction.
Before exposing our view on targeted authentication, we would like to point out the need for EBA to clarify the scope of the strong custome authentication.
Les processus de paiement concernent les entreprises (Business) et les particuliers (Customer) ce qui donne 4 combinaisons sur lequel l’authentification forte peut être appliquée : les paiements BTB (paiement entreprise vers fournisseur), BTC (remboursement client), CTB (encaissement client d’un particulier vers une entreprise) et CTC (transfert entre particuliers).
L’AFTE comprend que les procédures d’authentification forte devront être appliquées sur les paiements par cartes, par virement (SCT) et les paiements électroniques comme le paiement mobile. L’AFTE s’interroge si les canaux suivants seront soumis à l’authentification forte : le paiement par téléphone via des call centers, les applications mobiles, le mobile quand il est utilisé comme un explorateur Internet, la VAD : saisie du PAN sur le TPE sans présence du client.
De même, s’il est très clair que l’authentification forte s’applique aux paiements électroniques initiés par des consommateurs, l’AFTE s’interroge sur l’application de cette règlementation aux paiements initiés par les entreprises et souhaite rapidement une clarification du périmètre d’application du standard technique sur l’authentification forte. En effet, les procédures, les modalités de mise en œuvre et les délais pour la mise en conformité seront très différents selon qu’il s’agit de paiements initiés par des consommateurs ou de paiements initiés par les entreprises françaises équipées de logiciels spécialisés et utilisant des protocoles de communication et de signature sécurisés tels que SwiftNet, Ebics TS et la signature 3S Key. En effet, ces dernières émettent notamment des virements de masse à leurs salariés, parfois à leurs clients (geste commercial, remboursements…) ou à leurs fournisseurs. Si l’exemption nécessite la mise en œuvre de listes blanches l’industrie du paiement et en particulier les banques devront être en mesure de proposer aux entreprises la gestion de ces listes. Par ailleurs, il ne sera pas possible pour ces paiements dits de masse et transmis par protocole sécurisés, de mettre en œuvre une authentification par bénéficiaire sur chaque ligne des fichiers de paiement.
L’AFTE demande une clarification des canaux concernés et du périmètre géographique ainsi que des autres types de paiement exclus.
Si le standard technique devait s’appliquer à tous ces paiements émis par les entreprises, il nous semble indispensable de revoir avec l’ensemble des acteurs de la chaine des paiements de masse les modalités du RTS et proposer des solutions spécifiques et des délais de mise en œuvre réalistes.
Les responsabilités des différents acteurs et les modalités de charge de la preuve en cas de litige doivent être clairement définies.
Answer to Q1
La sécurité des paiements est un élément indispensable à la bonne réalisation d’un acte d’achat, et en particulier lorsque les achats sont effectués à distance sur des canaux comme Internet, les téléphones mobiles ou les tablettes. L’AFTE est donc en faveur de l’authentification forte mais considère que le standard proposé ne répond pas à l’attente principal des commerçants, à savoir l’approche par les risques : laisser aux commerçants la possibilité d’adapter le niveau de sécurité en fonction du risque estimé de la transaction client, de la connaissance qu’ils ont du client.
Les marchands doivent avoir la possibilité de lever tout ou partie du processus d’authentification forte en complément de l’émetteur, en fonction du niveau de risque qu’ils acceptent de prendre et la connaissance du client ou parce qu’une contrainte technique l’amène à faire ce choix (indisponibilité d’un des acteurs de la chaine d’authentification affectant directement le parcours client ou anomalie serveurs – 3Dsecure débrayable à la main du marchand). Les méthodes d’évaluation du risque client par scoring doivent être reconnues comme méthodes d’authentification forte, le marchand étant le plus à même de connaître ses clients existants et les critères à appliquer aux nouveaux clients.
L’AFTE comprend qu’il a été fait le choix de faire porter la responsabilité de la sécurité aux acteurs des paiements, comme les banques. Les méthodes d’authentification forte à l’initiative des émetteurs de cartes apparaissent peu développées à ce jour. L’approche par les risques ou targeted authentication devrait être possible à l’initiative du marchand.
Pour le cas particulier des paiements émis par les entreprises, l’AFTE s’interroge sur les solutions qui seront proposées par les banques en matière d’authentification forte pour les paiements via Swift ou Ebics TS. Les bénéficiaires des listes blanches seront-ils identifiés par leurs références IBAN qui figureront dans des listes, ou par les numéros de cartes bancaires ?
L’AFTE souhaite que l’EBA prenne en compte les sujets suivants :
- L’exemption sur les paiements récurrents reste imprécise dans sa rédaction actuelle. Par ailleurs, cette exemption concernerait uniquement les paiements récurrents d’un même montant. Pour des acteurs ayant des formules avec abonnement (téléphonie, presse media…) cela signifierait que si la facture d’un mois donné correspond exactement au montant du forfait, il y a exemption. En cas de montants supérieurs (ex : achats additionnels de contenus payants), l’exemption serait invalidée.
- Le seuil d’exemption : l’AFTE comprend la volonté du régulateur d’uniformiser le seuil d’application de l’authentification forte mais reste en faveur d’un seuil laissé à la main des commerçants. De même, il est nécessaire de clarifier la durée de la période sur laquelle court l’exemption relative à l’accumulation de petits montants.
- Les marchands doivent pouvoir décider eux-mêmes dans leur parcours clients les méthodes à utiliser pour authentifier la validité d’un paiement. Il est important de laisser aux marchands la main sur le processus d’authentification forte en complément de l’émetteur ;
- Il est indispensable de prévoir dans les exemptions des parcours d’achat choisis par les commerçants. Les parcours clients, comme le 1-Click, doivent pouvoir être maintenus à l’avenir. Les méthodes de scoring, les analyses sur l’historique client réalisées par le marchand lors de l’acte d’achat doivent être considérées comme des méthodes appropriées pour sécuriser les transactions.
See our comments regarding the scope of the RTS in Question 1 box.
Une question est posée : que se passera-t-il si l’ASPSP n’est pas en mesure de fournir au marchant la procédure d’authentification forte lors du parcours d’achats (serveurs HS par exemple) ? L’AFTE met en avant ce risque qui justifie à lui seul le fait de maintenir la possibilité de faire de l’authentification ciblée en fonction du risque (targeted authentication).
L’AFTE insiste sur l’importance de la confidentialité des données. Le degré de maturité sur l’accès à la donnée est différent selon les pays en Europe (Cnil en France par exemple). Cette diversité pourrait impacter la confiance des consommateurs à donner des accès sur leurs comptes si ces informations étaient monétisées.
Question 1: Do you agree with the EBA’s reasoning on the requirements of the strong customer authentication, and the resultant provisions proposed in Chapter 1 of the draft RTS?
AFTE is in favor of secure experience payment however security requirements must not deteriorate customer experience and e-commerce conversion rate sales.Corporates (merchants) must be able to adjust the authentication level according to the risk associated to the transaction.
Before exposing our view on targeted authentication, we would like to point out the need for EBA to clarify the scope of the strong custome authentication.
Les processus de paiement concernent les entreprises (Business) et les particuliers (Customer) ce qui donne 4 combinaisons sur lequel l’authentification forte peut être appliquée : les paiements BTB (paiement entreprise vers fournisseur), BTC (remboursement client), CTB (encaissement client d’un particulier vers une entreprise) et CTC (transfert entre particuliers).
L’AFTE comprend que les procédures d’authentification forte devront être appliquées sur les paiements par cartes, par virement (SCT) et les paiements électroniques comme le paiement mobile. L’AFTE s’interroge si les canaux suivants seront soumis à l’authentification forte : le paiement par téléphone via des call centers, les applications mobiles, le mobile quand il est utilisé comme un explorateur Internet, la VAD : saisie du PAN sur le TPE sans présence du client.
De même, s’il est très clair que l’authentification forte s’applique aux paiements électroniques initiés par des consommateurs, l’AFTE s’interroge sur l’application de cette règlementation aux paiements initiés par les entreprises et souhaite rapidement une clarification du périmètre d’application du standard technique sur l’authentification forte. En effet, les procédures, les modalités de mise en œuvre et les délais pour la mise en conformité seront très différents selon qu’il s’agit de paiements initiés par des consommateurs ou de paiements initiés par les entreprises françaises équipées de logiciels spécialisés et utilisant des protocoles de communication et de signature sécurisés tels que SwiftNet, Ebics TS et la signature 3S Key. En effet, ces dernières émettent notamment des virements de masse à leurs salariés, parfois à leurs clients (geste commercial, remboursements…) ou à leurs fournisseurs. Si l’exemption nécessite la mise en œuvre de listes blanches l’industrie du paiement et en particulier les banques devront être en mesure de proposer aux entreprises la gestion de ces listes. Par ailleurs, il ne sera pas possible pour ces paiements dits de masse et transmis par protocole sécurisés, de mettre en œuvre une authentification par bénéficiaire sur chaque ligne des fichiers de paiement.
L’AFTE demande une clarification des canaux concernés et du périmètre géographique ainsi que des autres types de paiement exclus.
Si le standard technique devait s’appliquer à tous ces paiements émis par les entreprises, il nous semble indispensable de revoir avec l’ensemble des acteurs de la chaine des paiements de masse les modalités du RTS et proposer des solutions spécifiques et des délais de mise en œuvre réalistes.
Les responsabilités des différents acteurs et les modalités de charge de la preuve en cas de litige doivent être clairement définies.
Answer to Q1
La sécurité des paiements est un élément indispensable à la bonne réalisation d’un acte d’achat, et en particulier lorsque les achats sont effectués à distance sur des canaux comme Internet, les téléphones mobiles ou les tablettes. L’AFTE est donc en faveur de l’authentification forte mais considère que le standard proposé ne répond pas à l’attente principal des commerçants, à savoir l’approche par les risques : laisser aux commerçants la possibilité d’adapter le niveau de sécurité en fonction du risque estimé de la transaction client, de la connaissance qu’ils ont du client.
Les marchands doivent avoir la possibilité de lever tout ou partie du processus d’authentification forte en complément de l’émetteur, en fonction du niveau de risque qu’ils acceptent de prendre et la connaissance du client ou parce qu’une contrainte technique l’amène à faire ce choix (indisponibilité d’un des acteurs de la chaine d’authentification affectant directement le parcours client ou anomalie serveurs – 3Dsecure débrayable à la main du marchand). Les méthodes d’évaluation du risque client par scoring doivent être reconnues comme méthodes d’authentification forte, le marchand étant le plus à même de connaître ses clients existants et les critères à appliquer aux nouveaux clients.
L’AFTE comprend qu’il a été fait le choix de faire porter la responsabilité de la sécurité aux acteurs des paiements, comme les banques. Les méthodes d’authentification forte à l’initiative des émetteurs de cartes apparaissent peu développées à ce jour. L’approche par les risques ou targeted authentication devrait être possible à l’initiative du marchand.
Pour le cas particulier des paiements émis par les entreprises, l’AFTE s’interroge sur les solutions qui seront proposées par les banques en matière d’authentification forte pour les paiements via Swift ou Ebics TS. Les bénéficiaires des listes blanches seront-ils identifiés par leurs références IBAN qui figureront dans des listes, ou par les numéros de cartes bancaires ?
Question 2: In particular, in relation to the “dynamic linking” procedure, do you agree with the EBA’s reasoning that the requirements should remain neutral as to when the “dynamic linking” should take place, under the conditions that the channel, mobile application, or device where the information about the amount and the payee of the transaction is displayed is independent or segregated from the channel, mobile application or device used for initiating the payment, as foreseen in Article 2.2 of the draft RTS.
NAQuestion 3: In particular, in relation to the protection of authentication elements, are you aware of other threats than the ones identified in articles 3, 4 and 5 of the draft RTS against which authentication elements should be resistant?
NAQuestion 4: Do you agree with the EBA’s reasoning on the exemptions from the application of Article 97 on strong customer authentication and on security measures, and the resultant provisions proposed in Chapter 2 of the draft RTS?
NAQuestion 5: Do you have any concern with the list of exemptions contained in Chapter 2 of the draft RTS for the scenario that PSPs are prevented from implementing SCA on transactions that meet the criteria for exemption?
The list of exemptions is far too restrictive and should be extended to specific cases listed below.L’AFTE souhaite que l’EBA prenne en compte les sujets suivants :
- L’exemption sur les paiements récurrents reste imprécise dans sa rédaction actuelle. Par ailleurs, cette exemption concernerait uniquement les paiements récurrents d’un même montant. Pour des acteurs ayant des formules avec abonnement (téléphonie, presse media…) cela signifierait que si la facture d’un mois donné correspond exactement au montant du forfait, il y a exemption. En cas de montants supérieurs (ex : achats additionnels de contenus payants), l’exemption serait invalidée.
- Le seuil d’exemption : l’AFTE comprend la volonté du régulateur d’uniformiser le seuil d’application de l’authentification forte mais reste en faveur d’un seuil laissé à la main des commerçants. De même, il est nécessaire de clarifier la durée de la période sur laquelle court l’exemption relative à l’accumulation de petits montants.
- Les marchands doivent pouvoir décider eux-mêmes dans leur parcours clients les méthodes à utiliser pour authentifier la validité d’un paiement. Il est important de laisser aux marchands la main sur le processus d’authentification forte en complément de l’émetteur ;
- Il est indispensable de prévoir dans les exemptions des parcours d’achat choisis par les commerçants. Les parcours clients, comme le 1-Click, doivent pouvoir être maintenus à l’avenir. Les méthodes de scoring, les analyses sur l’historique client réalisées par le marchand lors de l’acte d’achat doivent être considérées comme des méthodes appropriées pour sécuriser les transactions.
See our comments regarding the scope of the RTS in Question 1 box.
Question 6: Do you agree with the EBA’s reasoning on the protection of the confidentiality and the integrity of the payment service users’ personalised security credentials, and the resultant provisions proposed in Chapter 3 of the draft RTS?
L’AFTE comprend que la responsabilité de la mise à disposition de la SCA sera de la responsabilité de l’ASPSP et ne se positionne pas sur ces éléments.Une question est posée : que se passera-t-il si l’ASPSP n’est pas en mesure de fournir au marchant la procédure d’authentification forte lors du parcours d’achats (serveurs HS par exemple) ? L’AFTE met en avant ce risque qui justifie à lui seul le fait de maintenir la possibilité de faire de l’authentification ciblée en fonction du risque (targeted authentication).
L’AFTE insiste sur l’importance de la confidentialité des données. Le degré de maturité sur l’accès à la donnée est différent selon les pays en Europe (Cnil en France par exemple). Cette diversité pourrait impacter la confiance des consommateurs à donner des accès sur leurs comptes si ces informations étaient monétisées.