C'est pas mon idée !

samedi 14 mai 2022

L'authentification forte est-elle efficace ?

Nationwide
Depuis l'entrée en vigueur de l'obligation d'authentification forte (« SCA ») sur les paiements en ligne, les statistiques sont rares concernant son impact sur la fraude. Alors, quand Nationwide partage sa première évaluation, quelques semaines après la mise en œuvre de la même contrainte au Royaume-Uni, elle mérite de s'y attarder.

Mise en œuvre au cours de la première moitié de 2021 au travers de l'Union Européenne dans le cadre de la deuxième directive des services de paiement (DSP2), l'exigence n'a été généralisée outre-Manche qu'au mois de mars de cette année. Tout le monde connaît désormais son principe, qui consiste à demander au client une deuxième preuve d'identité (une confirmation dans une application mobile, un code envoyé par SMS…) lors d'un règlement à distance, en complément de ses informations de paiement.

Le seul objectif de cette contrainte supplémentaire introduite dans les parcours utilisateur, au détriment de leur fluidité, est de renforcer la protection contre la fraude, dont la croissance quasi ininterrompue depuis l'émergence du e-commerce constitue une menace d'autant plus insupportable que les usages sont également en forte progression (notamment dans le sillage de la crise sanitaire), représentant 28% des achats des britanniques. Mais la réponse apportée par la SCA est-elle à la hauteur de l'enjeu ?

Voilà donc l'indice que nous fournit Nationwide pour tenter de le vérifier : selon ses calculs, basés sur l'évolution du nombre de fraudes déclarées à partir de la date à laquelle l'authentification forte est devenue systématique, ses clients ont évité environ 2 000 incidents par mois. En considérant que l'établissement détient environ 10% du marché et que le préjudice total [PDF] était de 450 millions de livres pour 2,4 millions d'opérations (en 2020), c'est de l'ordre d'une malversation sur 10 qui serait ainsi déjouée.

Nationwide – Strong Customer Authentication

Au risque de paraître naïf, je dois avouer que j'ai du mal à comprendre comment il peut subsister 90% de transactions illicites une fois que le mécanisme est installé, sachant que la banque confirme que la majorité des cas est due à des fuites de données de carte (qui sont alors réutilisées à l'insu de son propriétaire) ! À ce niveau de performance, il faut impérativement s'interroger sur la pertinence de l'approche, surtout si on prend en compte son impact catastrophique sur l'expérience des consommateurs.

Certes, les estimations initiales de difficultés rencontrées avec les nouvelles procédures, évoquant jusqu'à 30% de transactions abandonnées, sont peut-être exagérées et vont, en tout état de cause, aller en diminuant avec la maturité et la pratique. Mais Nationwide elle-même rapporte qu'un internaute sur 5 a déjà rencontré un problème (pour diverses raisons : téléphone hors de portée, coordonnées non actualisées, absence de réseau…). D'ailleurs, ces échecs n'expliqueraient-ils pas une partie de la baisse observée ?

Une enquête d'opinion commanditée par l'institution fait état d'une large adhésion de la population au dispositif SCA, en dépit de ses inconvénients. Cependant, les sondés seraient-ils aussi positifs s'ils savaient que seule une exaction sur dix est écartée de la sorte ? La promesse (au moins implicite) n'est-elle pas plutôt d'une réduction drastique, voire d'une élimination presque totale des risques ? Quoi qu'il en soit, si les chiffres se confirment, il va falloir repenser les mécanismes de lutte contre la fraude.

1 commentaire:

  1. La FBF semble confirmer le constat en France avec une baisse de la fraude sur les paiement en ligne attribuée à la SCA de 0,17% à 0,14% entre 2020 et le premier semestre 2021, soit environ 17% d'incidents en moins…

    RépondreSupprimer

Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)