À partir du 14 septembre, les banques européennes devront mettre en œuvre la directive PSD2, qui impose l'utilisation de systèmes d'authentification plus sûrs que les systèmes actuels
De nombreux clients des grandes banques européennes, qui utilisent des services bancaires en ligne, le savent déjà car ils ont reçu les communications nécessaires de la part de leur établissement bancaire : à partir du 14 septembre, il ne sera plus possible d'utiliser les anciens "jetons" pour autoriser les transactions effectuées via un site web ou une application smartphone.
C'est l'effet de la directive sur les services de paiement 2 (DSP2), la nouvelle directive européenne sur les paiements numériques, qui a imposé aux banques des mesures de sécurité plus efficaces pour protéger les transactions économiques effectuées via des appareils électroniques. L'ancienne "clé" synchronisée avec les serveurs de la banque, qui générait automatiquement et en continu les codes nécessaires à l'autorisation des transactions, est donc mise au rancart. Le problème des jetons était principalement de ne pas pouvoir associer avec certitude un code unique à une opération spécifique. Le problème n'était pas seulement celui de la sécurité, mais aussi celui de la transparence et de la traçabilité de l'argent.
Open Banking
Avec la DSP2, le nouveau concept d'"Open Banking" a fait son entrée. Les banques pourront partager les données relatives aux comptes courants et aux transactions avec des sociétés tierces, sous réserve de l'autorisation du client. De cette manière, les banques pourront monétiser ces informations, tandis que les clients pourront obtenir de nouveaux services. Par exemple, il sera possible d'effectuer un paiement sans utiliser de carte de débit ou de crédit. L'intégration avec les services de paiement des géants du web comme Apple, Facebook et Google sera également plus simple et plus efficace.
Au revoir les jetons, bonjour les applis
La DSP2 ne lie pas les banques à une méthode spécifique d'autorisation des transactions en ligne autre que le bon vieux bâton. Chaque institution pourra choisir le système qu'elle préfère, pour autant que ce système réponde aux exigences de sécurité. Le choix le plus courant, dans cette première phase de transition entre l'ancien et le nouveau système, est un code OTP (One Time Password) généré par une application. Comme ceux générés par les anciens jetons, les mots de passe OTP changent tout le temps mais, contrairement aux premiers, peuvent être associés avec certitude à une seule transaction. Ces codes OTP sont envoyés au client par SMS ou par e-mail, et ne doivent pas être confondus avec les codes OTP du système 3D Secure (utilisé par Visa et Mastercard). Ce dernier, en effet, n'est pas généré par un logiciel mais est décidé par l'utilisateur (qui peut aussi choisir de ne jamais le modifier).