SCA : l’authentification forte entre en application, soyez prêts !

La nouvelle réglementation concernant l’authentification forte des clients (SCA) devait entrer en application courant 2019, c’est aujourd’hui chose faite. Certaines banques ayant commencé à mettre en place cette exigence réglementaire lors de la connexion sur le site web (web banking) ou sur l’api DSP2, il est important de s’y conformer au plus vite. L’authentification forte : qu’est-ce que c’est, quel est l’impact et comment s’adapter ? Vincent Paredes COO de Budget Insight vous dit tout !

 

SCA pourquoi c’est important ?

Dans le cadre de la Directive (UE) 2015/2366 dite DSP2, les établissements bancaires doivent mettre en place une SCA (Strong Customer Authentification) Cette SCA ou authentification forte, a pour objectif de lutter contre la fraude, de protéger les consommateurs et de renforcer la sécurité.

Qu’est-ce qu’une authentification forte et quel est son champ d’application ?

Une authentification est considérée comme forte quand elle utilise au moins 2 des 3 facteurs suivants :

  • Un facteur de connaissance (ex. mot de passe)
  • Un facteur de possession (ex. téléphone)
  • Un facteur d’inhérence (ex. empreinte digitale)

La SCA doit être appliquée dans les deux cas suivants :

  • Lors de la première connexion à l’API AIS de l’établissement bancaire pour récupérer les données des comptes de paiement de l’utilisateur du service d’agrégation (dit PSU (Payment Service User).
  • Cette SCA devra être renouvelée tous les 90 jours pour que le PSU confirme son consentement, lors de l’initiation d’un virement. Des exemptions peuvent cependant être appliquées en fonction de certaines conditions (montant, présence sur la liste des bénéficiaires enregistrés, risque faible, …) à la discrétion de la banque.

Impacts et évolutions des parcours utilisateurs

Dans le cadre de l’agrégation de données bancaires (AIS) le parcours utilisateur va être impacté à deux moments :

  • Lors de l’ajout de la connexion de l’utilisateur à sa banque, l’utilisateur devra procéder jusqu’à deux authentifications, une pour la connexion à l’API DSP2 pour la récupération des données sur les comptes de paiement et une autre pour la connexion au site web (directaccess) pour la récupération de données sur les autres types de comptes
  • Tous les 90 jours l’utilisateur devra renouveler cette authentification forte pour que nous puissions continuer d’avoir accès à ses données.

Lors d’un parcours d’initiation de virement (PIS), une SCA sera demandée à l’utilisateur pour la validation et l’exécution du virement, sauf exemption particulière implémentée par l’établissement bancaire.

Comment gérer ces nouvelles exigences au sein de vos applications ?

Vous trouverez dans notre documentation, les éléments techniques permettant d’intégrer ces différentes évolutions.

Si vous ne disposez pas de statut particulier vous pouvez suivre la section concernant l’intégration de la webview (“Use our reconnection webview”) sur la page suivante : https://docs.budget-insight.com/guides/handle-connection-states

La webview de Budget Insight gère déjà les différentes méthodes d’authentification nécessaires à la connexion aux espaces bancaires ou à l’initiation de paiement.

Dans le cas d’un statut marque blanche ou agent, vous pouvez utiliser la webview (voir paragraphe ci-dessus) ou intégrer les différents appels dans votre application en vous référant à la section spécifique (“Build a custom user experience”) sur la page https://docs.budget-insight.com/guides/handle-connection-states pour l’agrégation (AIS) ou dans la section “Transfer validation” sur la page https://docs.budget-insight.com/guides/pay-api pour l’initiation de paiement (PIS). Il sera dans ce cas nécessaire de gérer les différents scénarios pouvant avoir lieu lors d’une authentification forte et proposer à vos utilisateurs les différents parcours pour y répondre.

Vous avez besoin d’approfondir le sujet, contactez-nous !