L'Autorité bancaire européenne (ABE) rejette la biométrie sur les appareils mobiles comme méthode d'authentification forte des clients (SCA)

Alicio

Alicio

EBA et SCA

L’Autorité bancaire européenne (ABE) exige une authentification forte du client (SCA) pour les paiements électroniques afin de renforcer la sécurité. Toutefois, la biométrie sur appareil n’est plus considérée comme une méthode valable à utiliser comme deuxième facteur d’authentification, a statué l’ABE le 31 janvier 2023.

Cependant, toutes les utilisations de la biométrie pour vérifier l’identité ne sont pas équivalentes. Dans cet article, nous verrons pourquoi l’utilisation d’un appareil mobile comme système d’identification biométrique n’est pas considérée comme sûre et quelles sont les méthodes alternatives qui le sont.

Qu’est-ce que l’authentification forte du client (SCA) dans la directive sur les services de paiement 2 (PSD2) ?

L’authentification forte du client (SCA) est une exigence de sécurité fixée par l’Autorité bancaire européenne (EBA) pour l’authentification des clients dans l’Espace économique européen (EEE). Cette exigence consiste à se conformer à un processus d’authentification qui requiert au moins deux facteurs d’authentification indépendants pour qu’un client puisse accéder en toute sécurité à ses comptes en ligne ou effectuer une transaction de paiement en ligne.

Le SCA demande aux clients de fournir au moins deux des facteurs d’authentification suivants :

  • Un élément connu du client (par exemple, un mot de passe ou un code PIN),
  • Quelque chose que le client possède (par exemple, un téléphone portable ou un jeton de sécurité), et
  • Quelque chose que le client est (par exemple, des données biométriques telles que la reconnaissance du visage, des empreintes digitales ou de la voix).

Le SCA est une initiative visant à réduire la fraude et l’accès non autorisé aux comptes des clients. En mettant en œuvre le SCA, les banques et les prestataires de services de paiement (PSP) peuvent offrir à leurs clients un niveau de sécurité plus élevé et les protéger contre les pertes financières dues à des activités frauduleuses. En outre, le respect de l’ACS est une obligation légale, et le non-respect de cette obligation peut entraîner des sanctions et une perte de confiance de la part des clients.

Comment le SCA affecte-t-il les entreprises du secteur bancaire ?

Les banques et les institutions financières de l’EEE et du Royaume-Uni doivent respecter le SCA pour éviter les sanctions. Le SCA vise à réduire la fraude et à améliorer la sécurité des paiements électroniques, en renforçant la confiance et la fidélité des clients. Les banques et les établissements financiers de l’EEE et du Royaume-Uni doivent se conformer au SCA afin d’éviter les sanctions.

Que dit l’ABE à propos de l’authentification biométrique sur les appareils ?

Le 31 janvier 2023, l’ABE, dans sa section Q&A, aborde les questions relatives à l’utilisation de la biométrie sur les appareils mobiles. Clarification de la manière dont les informations relatives aux cartes de paiement doivent être ajoutées à un portefeuille numérique sur un appareil mobile conformément à la DSP2.

Elles précisent que l’utilisation d’une carte de paiement numérique pour effectuer des paiements nécessite des mesures de sécurité supplémentaires de la part de l’ACS, à moins qu’il n’y ait des raisons spécifiques pour lesquelles cela n’est pas nécessaire. En outre, le déverrouillage d’un téléphone à l’aide de données biométriques (telles que les empreintes digitales ou le visage) ne peut pas être considéré comme un bon moyen de vérifier l’identité pour ajouter une carte de paiement à un portefeuille numérique si l’émetteur de la carte de paiement ne contrôle pas le mécanisme de verrouillage de l’écran du téléphone.

Es decir, la EBA afirma que los métodos de autenticación móvil solo son seguros si el emisor puede controlarlos o asegurarse de que el usuario es legítimo.

Quelle est la différence entre la biométrie sur appareil et l’authentification biométrique basée sur le cloud d’Alice Biometrics ?

L’utilisation des données biométriques présentes dans les appareils mobiles, telles que les empreintes digitales ou la reconnaissance faciale pour déverrouiller l’appareil, remplace le mot de passe pour accéder à l’appareil, mais ne permet pas de vérifier l’identité de l’utilisateur. En d’autres termes, l’empreinte digitale que vous saisissez en remplacement du mot de passe peut très bien être celle de votre frère ou d’un ami, et l’identité de l’utilisateur ne peut donc pas être garantie.

L’ABE recommande qu’une solution biométrique soit contrôlée par l’émetteur de la carte et liée à l’identité officielle du client, afin d’être utilisée comme élément d’authentification forte du client (SCA). Ce serait la banque émettrice de la carte, en utilisant des services de vérification d’identité à distance tels qu’Alice, qui pourrait vérifier l’identité du client au moment où la carte est attachée au téléphone mobile.

En d’autres termes, l’utilisation de la biométrie sur l’appareil mobile ne peut pas être associée à quelque chose que le client est, car il n’y a pas de contrôle dans le processus d’inscription pour valider qu’il s’agit bien de la personne autorisée. En revanche, avec la vérification biométrique d’Alice, l’identité est vérifiée de manière unique et univoque par rapport à un élément externe (document d’identité) et c’est l’émetteur qui contrôle le processus de vérification.

Renforcer la sécurité et réduire la fraude à l’identité grâce à la technologie d’Alice

Le service en nuage d’authentification biométrique d’Alice valide l’identité officielle d’une personne avant d’enregistrer ses données biométriques, en s’assurant que la personne qui présente le document d’identité est authentique et présente dans le processus, et en la validant ensuite par le mécanisme de la preuve de vie.

Une fois le processus de vérification terminé, diverses méthodes d’authentification biométrique peuvent être utilisées, comme la reconnaissance faciale pour accéder à l’espace client privé, gérer les transactions ou utiliser l’appareil mobile comme moyen de paiement.

Alice veille à ce que seuls les utilisateurs autorisés y aient accès. Ainsi, en tant que banque ou institution de services financiers, vous pouvez répondre aux exigences de la PSD2 en matière de SCA. De plus, vous pouvez le faire en offrant une expérience sans friction, contrairement à d’autres processus de vérification qui ajoutent des étapes intermédiaires ou des temps d’attente.

Si vous l'avez aimé, partagez-le sur