Authentification déléguée et Passkeys dans le cadre de la DSP3 / RSP

Le paysage européen des paiements a été considérablement transformé par la deuxième Directive sur les services de paiement (DSP2). Entrée en vigueur progressivement à partir de 2018, la DSP2 a rendu obligatoire l'Authentification Client Forte (ACF ou SCA en anglais) pour la plupart des paiements électroniques afin de renforcer la sécurité et de lutter contre la fraude. Cela nécessite généralement de vérifier l'identité d'un utilisateur à l'aide d'au moins deux des trois facteurs indépendants suivants : la Connaissance (quelque chose que seul l'utilisateur connaît, comme un mot de passe), la Possession (quelque chose que seul l'utilisateur possède, comme un téléphone ou un jeton matériel) et l'Inhérence (quelque chose que l'utilisateur est, comme une empreinte digitale ou un scan facial).

Bien que les exigences de la DSP2 en matière de SCA aient manifestement réduit certains types de fraude, elles ont également introduit des frictions dans le processus de paiement, en particulier pour les paiements par carte utilisant les protocoles 3-D Secure (3DS), qui redirigent souvent les utilisateurs vers le domaine de leur banque pour l'authentification. Cette friction supplémentaire lors du paiement peut entraîner des abandons de panier et une expérience utilisateur moins fluide.

Consciente de ces défis et de l'évolution rapide du marché des paiements numériques, la Commission européenne a publié des propositions législatives le 28 juin 2023 pour mettre à jour ce cadre. Ce paquet comprend une nouvelle Directive sur les services de paiement (DSP3) et un Règlement sur les services de paiement (RSP).

Souvent décrite comme une « évolution, pas une révolution », cette réforme vise à affiner les concepts existants comme l'Authentification Client Forte (SCA) et l'Open Banking, à renforcer davantage la protection des consommateurs contre la fraude, à encourager la concurrence entre les prestataires de services de paiement (PSP) et à améliorer le fonctionnement global du marché des paiements de l'UE. L'un des principaux domaines d'évolution est la clarification explicite et le cadre fourni pour l'Authentification Déléguée.

Le passage de la proposition à l'application comporte plusieurs étapes. Après la publication de juin 2023, les propositions sont entrées dans le processus législatif de l'UE impliquant le Parlement européen et le Conseil de l'UE. La commission des affaires économiques et monétaires (ECON) du Parlement a publié des projets de rapports avec des amendements fin 2023 et début 2024, suivis par l'adoption de la position du Parlement en première lecture en avril 2024. La phase suivante implique des négociations entre le Parlement, le Conseil et la Commission pour s'accorder sur les textes finaux. Tout au long de ce processus, les parties prenantes, y compris les banques, les PSP, les entreprises technologiques et les groupes de consommateurs, participent à des consultations publiques et à des efforts de lobbying pour influencer le résultat.

Alors que les premières estimations suggéraient une finalisation d'ici fin 2024 ou début 2025, le processus législatif peut être complexe, et certaines analyses suggèrent maintenant des retards potentiels, repoussant éventuellement l'accord final et la date d'application au premier trimestre 2027. Généralement, les nouvelles règles devraient s'appliquer 18 mois après leur publication au Journal officiel de l'UE, ce qui place la date de début probable à la mi-2026 au plus tôt, mais potentiellement plus tard en fonction du calendrier de finalisation.

Un changement structurel important est l'introduction du RSP aux côtés de la DSP3. Le RSP sera directement applicable dans tous les États membres de l'UE, garantissant une mise en œuvre uniforme des règles opérationnelles comme les exigences SCA et l'accès à l'Open Banking. Cela corrige directement une faiblesse de la DSP2, dont la nature de directive a entraîné des variations dans la transposition et la mise en œuvre nationales, créant une fragmentation. La DSP3, restant une directive, se concentrera sur l'autorisation, l'agrément et la supervision des établissements de paiement, permettant un certain contexte national dans la surveillance du marché. Cette double structure représente une approche stratégique : viser une harmonisation plus rapide et cohérente dans les domaines opérationnels critiques via le règlement, tout en conservant le format de la directive pour la surveillance institutionnelle où les spécificités nationales sont plus pertinentes.

Compte tenu de la complexité des négociations en trilogue, de la nécessité subséquente pour l'Autorité bancaire européenne (ABE) de développer des Normes Techniques de Réglementation (NTR) et des Lignes directrices détaillées, et du temps requis pour que l'industrie se prépare à la mise en œuvre, la période de transition de 18 mois couramment citée semble ambitieuse. Les entreprises devraient tenir compte des retards potentiels dans leur planification, en envisageant fin 2026 ou même début 2027 comme dates d'application plausibles.

L'une des clarifications les plus notables dans le cadre proposé de la DSP3/RSP est l'autorisation explicite de l'Authentification Déléguée (AD).

L'Authentification Déléguée (AD) désigne le processus par lequel le prestataire de services de paiement (PSP) d'un payeur, généralement la banque émettant l'instrument de paiement (par exemple, l'émetteur de la carte), autorise un tiers à effectuer l'Authentification Client Forte (SCA) en son nom.

Le texte original de la proposition de règlement (Article 87 de la proposition de RSP, mise en évidence ajoutée) se lit comme suit :

Les projets de textes stipulent que les émetteurs (généralement les banques fournissant le compte de paiement) peuvent déléguer la responsabilité d'appliquer la SCA à certains tiers. Ces tiers sont envisagés comme pouvant inclure des commerçants, des passerelles de paiement ou des acquéreurs, des places de marché en ligne ou des fournisseurs de portefeuilles numériques.

Cette mesure est significative car elle reconnaît formellement et fournit une voie réglementaire potentielle pour les scénarios où une autre entité que l'établissement détenteur du compte effectue la vérification d'authentification requise par la SCA. L'objectif déclaré de l'AD est de favoriser l'innovation dans l'expérience d'authentification. En autorisant la délégation, la réglementation espère donner aux entités souvent les plus proches de l'interaction client (comme les commerçants ou les portefeuilles) les moyens de créer des flux d'authentification plus fluides et intégrés qui tirent parti des dernières technologies, telles que la biométrie ou les passkeys, améliorant ainsi l'expérience utilisateur. Des exemples précoces, comme l'implémentation de l'AD par Stripe lancée avant le projet de DSP3, visaient à capturer ces avantages, rapportant des temps d'authentification plus rapides et des taux de conversion accrus pour les émetteurs participants.

Cependant, les projets de propositions introduisent une condition essentielle : la délégation de la SCA par un émetteur à un tiers est explicitement classée comme de l'externalisation. Cette classification n'est pas simplement sémantique ; elle a un poids réglementaire important. Cela signifie que tout accord d'AD doit se conformer aux règles strictes régissant l'externalisation par les institutions financières, principalement les Lignes directrices de l'ABE sur les dispositifs d'externalisation. De plus, les opérateurs de portefeuilles numériques vérifiant les éléments de la SCA devront conclure des accords d'externalisation formels avec les banques émettrices.

Cette étiquette d'« externalisation » présente un compromis complexe. D'une part, autoriser explicitement l'AD signale une ouverture réglementaire à l'innovation et à une potentiellement meilleure expérience utilisateur. D'autre part, soumettre ces accords à tout le poids de la réglementation sur l'externalisation des services financiers introduit une charge de conformité substantielle. Le processus passe d'un simple transfert technique potentiel à la délégation d'une fonction de sécurité essentielle et réglementée. Cela déclenche des exigences étendues en matière de diligence raisonnable, de spécificités contractuelles, de gestion des risques, de surveillance continue, de droits d'audit et potentiellement de conformité avec le Règlement sur la résilience opérationnelle numérique (DORA). Le fardeau important associé à ces exigences d'externalisation pourrait potentiellement freiner l'innovation même que l'AD est censée encourager, en particulier pour les petits commerçants ou les TSP qui n'ont pas les ressources pour naviguer dans ce paysage réglementaire complexe.

La classification de l'Authentification Déléguée comme « externalisation » dans les propositions de DSP3/RSP signifie que de tels arrangements entrent de plain-pied dans le champ d'application des Lignes directrices de l'ABE sur les dispositifs d'externalisation. Ces lignes directrices établissent un cadre complet auquel les institutions financières (y compris les émetteurs déléguant la SCA) et, par extension, les prestataires de services techniques (TSP) effectuant la fonction déléguée, doivent se conformer.

Ces lignes directrices imposent plusieurs obligations clés :

• Diligence raisonnable : Avant de déléguer la SCA, l'émetteur doit effectuer une diligence raisonnable approfondie sur le prestataire de services techniques (TSP). Cela implique d'évaluer la réputation commerciale du TSP, ses capacités techniques, sa stabilité financière, son expertise, ses ressources (humaines, informatiques), sa structure organisationnelle et ses mesures de sécurité pour s'assurer qu'il est apte à remplir la fonction critique de SCA.
• Évaluation des risques : Une analyse complète des risques est obligatoire avant de conclure et tout au long de l'accord d'externalisation. Elle doit couvrir les risques opérationnels, juridiques, de conformité, de concentration (dépendance excessive à l'égard d'un seul TSP) et les risques associés à la sous-traitance (lorsque le TSP délègue à son tour des parties de la fonction). L'externalisation de fonctions jugées « critiques ou importantes » (la SCA étant implicitement considérée comme telle, sauf exemption explicite) déclenche des exigences encore plus strictes.
• Exigences contractuelles : Un accord écrit détaillé est essentiel. Ce contrat doit clairement définir le champ de la fonction déléguée, les rôles et responsabilités, les accords de niveau de service, le droit applicable, les obligations financières, les dispositions sur la sécurité des données (couvrant l'accessibilité, la disponibilité, l'intégrité, la confidentialité et la sûreté), les plans de continuité d'activité et les clauses de résiliation. De manière critique, l'accord doit accorder à l'institution délégante et à ses régulateurs des droits d'accès et d'audit illimités concernant la fonction externalisée.
• Surveillance continue : L'émetteur ne peut pas simplement « déléguer et oublier ». Il doit surveiller en permanence les performances du TSP par rapport aux métriques convenues, évaluer sa posture de risque en continu et examiner ses mesures de sécurité et de continuité d'activité. Se fier uniquement aux certifications du TSP est insuffisant.
• Stratégie de sortie : Pour les fonctions critiques comme la SCA, l'émetteur doit avoir un plan de sortie documenté. Ce plan doit décrire les stratégies pour mettre fin à l'accord, transférer la fonction à un autre TSP ou la réintégrer en interne sans perturber le service ni compromettre la sécurité ou la conformité.
• Risque de concentration : Tant les institutions délégantes que les autorités compétentes doivent surveiller les risques de concentration découlant du fait que plusieurs institutions s'appuient sur le même TSP, ou sur un petit nombre de TSP dominants, en particulier pour les fonctions critiques.
• Pas de « coquilles vides » : Les lignes directrices stipulent explicitement que l'externalisation ne doit pas conduire à une situation où l'institution délégante devient une « coquille vide » manquant de la substance et de la capacité opérationnelle pour rester agréée. La responsabilité ultime de la conformité et de la gestion des risques incombe à l'organe de direction de l'institution délégante.

Le Règlement sur la résilience opérationnelle numérique (DORA), qui établit des règles harmonisées dans toute l'UE pour la gestion des risques liés aux technologies de l'information et de la communication (TIC) dans le secteur financier, ajoute une couche de complexité supplémentaire. DORA s'applique à partir du 17 janvier 2025.

DORA est pertinent pour l'AD de plusieurs manières :

• Applicabilité directe : DORA s'applique directement aux entités financières, y compris les banques et autres PSP qui délégueraient la SCA.
• Prestataires tiers critiques de services TIC (CTPP) : DORA établit un cadre de surveillance pour les prestataires tiers de services TIC jugés critiques pour le système financier. Les grands TSP offrant des services d'AD à grande échelle (par exemple, les principales passerelles de paiement, les fournisseurs de portefeuilles, potentiellement les fournisseurs de services cloud impliqués) pourraient être désignés comme CTPP, les plaçant sous la supervision directe des autorités de l'UE.
• Intégration avec la DSP3/RSP : Les propositions de DSP3/RSP font explicitement référence à DORA, indiquant que les accords d'externalisation, y compris l'AD, doivent se conformer à ses exigences. Cela signifie que les TSP effectuant l'AD devront répondre aux normes de DORA en matière de gestion des risques TIC, de déclaration d'incidents, de tests de résilience et de gestion des risques liés aux tiers, ce qui augmente encore la charge de conformité.

L'interaction entre les Lignes directrices de l'ABE sur l'externalisation et DORA crée un réseau dense d'obligations de conformité pour tout TSP s'aventurant dans l'AD. Offrir ces services avec succès nécessitera non seulement des prouesses techniques, mais aussi un investissement important dans les structures de gouvernance, les cadres de gestion des risques, une documentation robuste, une préparation à l'audit et une résilience opérationnelle démontrable. Cet environnement complexe pourrait par inadvertance favoriser les grands TSP établis disposant des ressources et de l'expertise nécessaires pour naviguer dans ces exigences exigeantes.

Une conséquence cruciale de l'AD dans le cadre proposé est le transfert de responsabilité pour les transactions frauduleuses en cas d'échec de la SCA.

• Les projets de propositions indiquent que le tiers effectuant la SCA déléguée (par exemple, commerçant, passerelle, portefeuille) devient responsable des dommages financiers résultant de la fraude s'il n'applique pas correctement la SCA. C'est un changement fondamental par rapport au transfert de responsabilité typique sous 3DS, où la responsabilité est souvent transférée à l'émetteur si la SCA est appliquée avec succès.
• De plus, le projet de RSP introduit une responsabilité potentielle pour les prestataires de services techniques et les opérateurs de schémas de paiement si une défaillance de la SCA est attribuable à leurs systèmes ou à leur infrastructure. Ce point spécifique fait face à une forte opposition, notamment de la part de Mastercard, qui soutient qu'il est basé sur des idées fausses concernant les responsabilités de mise en œuvre de la SCA.
• Les émetteurs, bien que pouvant déléguer le processus de SCA, ne sont pas entièrement déchargés. Ils restent responsables de certains types de fraude, comme le « spoofing » où un fraudeur se fait passer pour la banque. Le Parlement européen a même proposé d'étendre ces droits de remboursement dans les cas de fraude APP.

Cette responsabilité directe placée sur les TSP pour les échecs de la SCA dans le cadre de l'AD représente un risque financier important. Bien que la promesse d'une meilleure expérience utilisateur et de taux de conversion accrus soit attrayante, le coût potentiel de la fraude pourrait agir comme un frein considérable pour de nombreux TSP envisageant d'offrir des services d'AD. Des stratégies robustes d'atténuation des risques, incluant potentiellement des frais de service plus élevés ou une assurance spécialisée, pourraient devenir des prérequis nécessaires à une adoption généralisée de l'AD par les commerçants et les passerelles.

L'Authentification Déléguée a le potentiel de remodeler fondamentalement l'expérience utilisateur pour les paiements par carte, en particulier par rapport au processus traditionnel 3-D Secure (3DS).

Actuellement, le processus 3DS pour les défis SCA implique généralement un transfert où le client interagit avec un élément contrôlé par l'émetteur. Traditionnellement, cela signifiait une redirection complète du navigateur depuis le site web ou l'application du commerçant vers le domaine de l'émetteur (par exemple, leur application bancaire ou une page d'authentification spécifique). De plus en plus, les nouvelles versions de 3DS présentent ce défi en ligne via un iframe intégré sur la page du commerçant. Bien qu'un iframe évite un départ complet de la page, les deux méthodes de redirection de l'attention de l'utilisateur vers une étape contrôlée par l'émetteur peuvent être déroutantes, ajouter du temps au processus de paiement et contribuer à l'abandon du client.

L'AD offre une voie pour éliminer cette friction liée au changement de processus. En permettant au commerçant, à la passerelle de paiement ou au portefeuille numérique d'effectuer la SCA directement dans leur propre environnement, l'étape d'authentification peut être intégrée de manière transparente dans le flux de paiement. Cela promet une expérience plus fluide, plus rapide et plus cohérente pour le client. Combinée à des méthodes d'authentification modernes et à faible friction comme la biométrie intégrée à l'appareil (Face ID, scanners d'empreintes digitales) ou les passkeys, l'AD pourrait réduire considérablement la friction lors du paiement, conduisant potentiellement à des taux d'abandon de panier plus faibles et à des taux de conversion de paiement plus élevés. Les données du monde réel, telles que l'augmentation de 7 % de la conversion et l'authentification quatre fois plus rapide rapportées par Stripe pour les transactions utilisant leur solution d'AD avec les titulaires de carte Wise, soulignent ce bénéfice potentiel.

La réalisation de ce potentiel nécessite un travail de fond technique et commercial important. Cela implique d'établir de nouveaux points d'intégration et protocoles de communication entre les commerçants/passerelles/portefeuilles et les émetteurs. Les schémas de paiement comme Visa et Mastercard jouent un rôle important ici. Mastercard, par exemple, a développé son Identity Check Express permettant aux commerçants et à Mastercard d'authentifier le consommateur au nom de l'émetteur dans le flux du commerçant. De même, Stripe a bâti ses capacités d'AD sur la base d'accords bilatéraux avec des émetteurs spécifiques comme Wise.

Ces développements suggèrent que l'AD est plus qu'une simple mise à jour réglementaire. Elle agit comme un catalyseur pour réarchitecturer les flux d'authentification des paiements. Déplacer le point d'authentification du domaine de l'émetteur vers l'environnement du commerçant ou du portefeuille crée des opportunités pour des décisions d'authentification plus riches et plus contextuelles, et des expériences utilisateur moins perturbatrices que le modèle de redirection traditionnel. Ce changement architectural nécessite l'intégration de méthodes d'authentification modernes comme les passkeys directement dans les processus de paiement. Cependant, cette transition dépend de l'établissement de mesures de sécurité robustes, d'une répartition claire des responsabilités (comme discuté précédemment) et de cadres de confiance, probablement régis par une combinaison de règles de schémas, d'accords bilatéraux et du respect des réglementations strictes sur l'externalisation et DORA.

Alors que les projets de propositions de la DSP3/RSP établissent les bases législatives, la forme finale de l'Authentification Déléguée sera considérablement influencée par le dialogue continu et le lobbying des principaux acteurs de l'industrie. Les banques, les PSP, les fournisseurs de technologie et les commerçants interprètent activement ces projets et plaident pour des changements qui s'alignent sur leurs modèles économiques et leurs objectifs stratégiques. De nombreux efforts de lobbying de l'UE sont accessibles via le Registre allemand des lobbies (note : ce registre est principalement en allemand, et de nombreux documents soumis ont également été envoyés à d'autres organismes de l'Union européenne). L'analyse suivante s'appuie sur les résumés et documents disponibles de ces soumissions publiques.

En tant que fournisseur majeur d'infrastructure de paiement, Stripe voit une opportunité significative dans l'AD. Ils la considèrent comme un outil crucial pour améliorer les taux de conversion des paiements et l'expérience de paiement du client en réduisant les frictions. Stripe a lancé de manière proactive sa propre solution d'AD, basée sur des accords bilatéraux avec des émetteurs comme Wise, démontrant son engagement envers ce modèle avant même la finalisation de la DSP3/RSP. Leurs efforts de lobbying semblent se concentrer sur la garantie que l'environnement réglementaire soutient l'innovation et minimise les charges. Les domaines clés incluent la promotion de processus de ré-autorisation simplifiés pour les entités déjà agréées sous la DSP3, la recherche d'une plus grande clarté et flexibilité concernant les exemptions de SCA (comme les seuils d'Analyse des Risques de la Transaction (TRA) et les Transactions Initiées par le Commerçant (MIT)), la garantie que les plateformes utilisant des solutions comme Stripe Connect ne soient pas inutilement surchargées d'exigences de licence d'agent, et la pression pour un accès direct aux systèmes de paiement pour les PSP non bancaires.

PayPal, une institution de monnaie électronique et un fournisseur de portefeuille majeur, est un fervent partisan d'une approche de la SCA basée sur les résultats. Ils soutiennent que la réglementation devrait donner la priorité à l'efficacité de sécurité démontrable d'une méthode d'authentification – en particulier sa résistance aux menaces modernes comme le phishing – plutôt que d'adhérer strictement aux catégories de facteurs traditionnelles Connaissance/Possession/Inhérence définies dans la DSP2. Ils soulignent le succès de leur implémentation de passkeys, qui a considérablement réduit la fraude tout en améliorant le succès de la connexion. Par conséquent, PayPal exhorte les décideurs politiques qui conçoivent le RSP à se concentrer sur la force globale des solutions d'authentification, à autoriser les combinaisons de facteurs forts même s'ils proviennent de la même catégorie (par exemple, deux facteurs de possession), à équilibrer la sécurité avec la convivialité, et à éviter les mandats technologiques trop prescriptifs.

Mastercard conteste vivement la classification large de toute AD comme de l'externalisation dans le projet. Ils soutiennent, avec d'autres groupes de l'industrie, que seuls les modèles d'authentification où l'émetteur n'a pas le contrôle sur le processus de SCA devraient être soumis à toute la rigueur des exigences d'externalisation. Leur position de lobbying reflète cela : ils cherchent à clarifier que l'AD n'est pas une externalisation « critique », plaident pour des accords d'externalisation évolutifs ou multilatéraux pour faciliter l'adoption de l'AD, et veulent que la responsabilité proposée pour les schémas et les TSP liée aux échecs de la SCA soit entièrement supprimée. De plus, Mastercard pousse pour que les commerçants soient tenus d'envoyer des informations supplémentaires, comme des données comportementales et environnementales, aux émetteurs pour améliorer l'évaluation des risques, et demande l'autorisation explicite pour les TSP de traiter les données biométriques sans le consentement explicite de l'utilisateur spécifiquement à des fins de SCA, et suggère d'affiner les exemptions de SCA pour des cas d'utilisation spécifiques à faible risque.

Les associations professionnelles et les organismes de l'industrie font largement écho aux préoccupations soulevées par les principaux acteurs. Payments Europe, par exemple, reflète la position de Mastercard sur la définition de l'externalisation, soulignant que seuls les scénarios où l'émetteur perd le contrôle devraient déclencher les règles d'externalisation. Bitkom, représentant l'industrie numérique, demande également des éclaircissements sur ce point et plaide pour la réglementation explicite de la biométrie comportementale pour la SCA. Ces groupes soulignent constamment la nécessité d'une neutralité technologique et d'une flexibilité au sein du cadre de la SCA pour favoriser l'innovation et éviter l'exclusion numérique. CCIA Europe soulève des préoccupations pratiques concernant la faisabilité de la mise en œuvre des larges droits d'audit et de contrôle des émetteurs sur les dispositions de sécurité des TSP dans le cadre des accords d'AD.

Tableau : Positions clés de l'industrie sur l'Authentification Déléguée et la SCA sous la DSP3/RSP

La forte opposition coordonnée contre l'approche actuelle du projet souligne une tension fondamentale. L'industrie désire les avantages en termes d'expérience utilisateur et d'innovation potentiellement offerts par l'AD, mais cherche à éviter les charges de conformité importantes associées à l'externalisation réglementée en vertu des Lignes directrices de l'ABE. Leur alternative proposée – définir l'externalisation en fonction du maintien du contrôle par l'émetteur – vise à créer un espace pour l'AD qui soit moins intensif sur le plan réglementaire. La résolution de ce débat lors des discussions législatives sera cruciale pour déterminer la faisabilité pratique et l'attrait de l'AD pour de nombreux TSP.

Malgré cette incertitude réglementaire, des acteurs de premier plan comme Stripe et Mastercard n'attendent pas. Ils développent et déploient activement des solutions d'AD dès maintenant, en utilisant les cadres existants comme les accords bilatéraux et les règles des schémas, intégrant souvent des technologies avancées comme la biométrie et les normes FIDO. Cette stratégie proactive leur permet de conquérir des parts de marché précoces, de démontrer la viabilité technique de l'AD, de potentiellement façonner les normes émergentes et de préparer leurs clients au paysage futur. Cette approche n'est pas uniquement motivée par l'amélioration de l'expérience consommateur ; elle sert également à lier plus étroitement les clients au prestataire de paiement plutôt qu'à l'émetteur, tout en naviguant dans les risques inhérents d'un environnement réglementaire en évolution et des transferts de responsabilité associés. Alors que l'industrie explore ces nouveaux modèles d'AD, le rôle des technologies d'authentification avancées comme les passkeys devient de plus en plus central pour atteindre les objectifs de sécurité et d'expérience utilisateur.

Les passkeys, basés sur la norme WebAuthn de la FIDO Alliance, représentent une avancée importante dans la technologie d'authentification, et cette section discutera de la manière dont ils pourraient aider à combler le fossé pour l'Authentification Client Forte (SCA) dans un contexte d'Authentification Déléguée (AD).

La force principale des passkeys réside dans l'utilisation de la cryptographie à clé publique pour créer des identifiants uniques pour chaque site web ou application. Ce mécanisme les rend intrinsèquement résistants aux attaques de phishing, car l'identifiant ne fonctionne que sur le site légitime pour lequel il a été créé, et repose sur un déverrouillage sécurisé de l'appareil (souvent via la biométrie) plutôt que sur des secrets partagés comme les mots de passe. Cette combinaison offre le potentiel d'une sécurité renforcée et d'une expérience utilisateur plus fluide.

D'un point de vue technique, les passkeys semblent idéalement adaptés aux scénarios d'Authentification Déléguée. Dans un flux d'AD, un commerçant ou une passerelle effectuant la SCA pourrait inviter l'utilisateur à s'authentifier à l'aide d'un passkey stocké sur son appareil (téléphone, ordinateur). Cette authentification se produit directement dans l'environnement du commerçant ou du TSP, en tirant parti des capacités biométriques intégrées de l'appareil (comme Face ID ou la lecture d'empreintes digitales) pour la vérification, éliminant ainsi le besoin de redirections ou de codes à usage unique (OTP) fastidieux. Cela correspond parfaitement à l'objectif de l'AD de créer des paiements plus fluides et sécurisés. Mais voyons comment un émetteur pourrait contrôler et vérifier une authentification tierce avec des passkeys.

Cependant, l'intégration des passkeys dans le monde réglementé de la SCA, en particulier dans le cadre de l'AD, présente des défis. La catégorisation rigide en trois facteurs (Connaissance, Possession, Inhérence) de la DSP2 a créé une ambiguïté sur la manière dont les passkeys s'intègrent, en particulier concernant l'élément de « Possession » et l'indépendance des facteurs lorsque la biométrie déverrouille l'appareil détenant le passkey. L'émergence des passkeys synchronisés (qui peuvent être disponibles sur plusieurs appareils) complique encore cette classification.

Bien que la DSP3/RSP introduise une certaine flexibilité en clarifiant que les facteurs d'authentification doivent seulement être indépendants (la compromission de l'un n'affecte pas l'autre) plutôt que d'appartenir nécessairement à des catégories différentes, comme l'indique explicitement la proposition de règlement :

Cela ne résout pas entièrement l'ambiguïté de la classification ni ne fournit une approbation explicite pour les passkeys synchronisés comme étant conformes à la SCA. Cette incertitude réglementaire renforce les arguments avancés par des acteurs comme PayPal, qui plaident pour une approche de la SCA basée sur les résultats, en se concentrant sur les résultats de sécurité prouvés (comme la résistance au phishing) fournis par des méthodes comme les passkeys, plutôt que de les forcer dans des cases catégorielles potentiellement obsolètes. (Pour une analyse plus approfondie de la SCA basée sur les résultats et des passkeys, consultez notre analyse de la SCA basée sur les résultats)

Compte tenu de l'adoption généralisée des passkeys synchronisés par les utilisateurs et les commerçants, et des limites du SPC, le cadre DSP3/RSP devrait viser à créer une voie claire pour tirer parti de ces relations de passkeys existantes au sein de l'Authentification Déléguée. Cette approche se concentrerait sur une sécurité pratique et basée sur les résultats plutôt que d'être contrainte par des implémentations techniques spécifiques conçues avant la maturité des passkeys synchronisés. Pour y parvenir, plusieurs développements clés sont nécessaires, axés sur les ajustements réglementaires, les mécanismes de confiance opérationnels et l'évolution des normes de l'industrie. Un modèle d'AD pérenne tirant parti des passkeys synchronisés pourrait impliquer plusieurs développements clés que nous allons maintenant discuter.

La généralisation efficace des passkeys synchronisés dans l'AD commence par une Habilitation réglementaire et des mandats clairs dans le cadre de la DSP3/RSP. Cela implique les considérations clés suivantes :

• Approbation explicite des passkeys synchronisés pour l'AD : La DSP3/RSP devrait clarifier explicitement que les passkeys synchronisés, lorsqu'ils sont utilisés de manière appropriée, peuvent satisfaire aux exigences de la SCA dans un contexte d'AD. L'accent devrait être mis sur le lien cryptographique vérifiable, la résistance au phishing obtenue et l'indépendance du processus d'authentification, plutôt que sur une adhésion rigide aux catégorisations des facteurs SCA d'avant les passkeys.
• Données d'authentification riches obligatoires : En accord avec les demandes de l'industrie (telles que celles de Mastercard), la réglementation devrait exiger que les TSP effectuant l'AD incluent des données d'authentification complètes et standardisées (par exemple, les détails de l'authentification par passkey, les éléments pertinents de l'assertion FIDO et les signaux de risque contextuels) dans les informations de transaction de paiement envoyées aux réseaux de paiement et aux émetteurs. Cela s'appuie sur des mécanismes existants comme le champ threeDSRequestorAuthenticationInfo utilisé dans EMV 3DS pour les données FIDO du commerçant 1.

Au-delà de la clarté réglementaire, l'Opérationnalisation de la confiance avec les passkeys détenus par les commerçants est cruciale pour une adoption généralisée. Cela nécessite des systèmes et des processus robustes pour :

• Vérification par l'émetteur de l'AD initiée par le commerçant : Les émetteurs auraient besoin de systèmes robustes pour recevoir et vérifier cryptographiquement les assertions d'authentification générées à partir des passkeys. De manière cruciale, dans de nombreux scénarios d'AD, le passkey utilisé pourrait être celui que l'utilisateur a déjà créé avec le commerçant pour accéder aux propres services du commerçant.
• Défi dynamique et contrôle de l'émetteur : Pour maintenir le contrôle de l'émetteur et assurer le lien dynamique, une transaction d'AD pourrait fonctionner comme suit :
  • L'émetteur (ou le réseau de paiement en son nom) fournit un défi unique et spécifique à la transaction au TSP (commerçant/passerelle).
  • Le TSP invite l'utilisateur à autoriser la transaction en signant ce défi (plus les données critiques de la transaction) à l'aide de son passkey synchronisé existant enregistré auprès du commerçant.
  • L'assertion signée est renvoyée à l'émetteur pour vérification.
• Report conditionnel de l'AD : Une authentification initiale plus forte directement avec l'émetteur (peut-être en utilisant un passkey enrôlé par l'émetteur ou un flux de défi 3DS robuste) pourrait établir une relation de confiance pour un passkey de commerçant spécifique. Les transactions d'AD ultérieures utilisant ce même passkey de commerçant vérifié pourraient alors se dérouler avec le modèle de défi dynamique décrit ci-dessus, offrant une expérience utilisateur plus fluide tant que le passkey reste valide et que les paramètres de risque sont respectés.

Enfin, le succès à long terme de l'AD basée sur les passkeys dépendra de l'Évolution des normes et d'un virage ferme vers une perspective de SCA basée sur les résultats. Cela implique :

• Rôle des organismes de l'industrie : Des organisations comme la FIDO Alliance (y compris ses groupes de travail axés sur les paiements) et EMVCo sont cruciales pour développer et standardiser les protocoles et les signaux de confiance nécessaires pour soutenir de tels modèles d'AD de manière sécurisée et évolutive. Cela inclut la définition de la manière dont les assertions d'authentification provenant des passkeys détenus par les commerçants peuvent être présentées et vérifiées de manière fiable par les émetteurs dans un contexte d'AD.
• Au-delà des définitions rigides de la SCA : L'objectif ultime devrait être de passer à une approche de la SCA basée sur les résultats. Si une méthode d'AD utilisant des passkeys synchronisés (même ceux créés avec le commerçant) peut démontrer de manière probante qu'elle fournit une authentification multi-facteurs résistante au phishing et liée dynamiquement à la transaction, elle devrait être considérée comme conforme. Cela donne la priorité au résultat de sécurité réel plutôt qu'à l'adhésion à des interprétations traditionnelles, parfois obsolètes, des éléments de la SCA, favorisant ainsi l'innovation et tirant parti des technologies déjà familières aux utilisateurs.

Cette évolution permettrait à l'écosystème des paiements de capitaliser sur l'investissement et l'adoption significatifs existants des passkeys synchronisés par les utilisateurs et les commerçants, créant une voie pour une Authentification Déléguée plus sécurisée, fluide et largement accessible.

Le diagramme de séquence ci-dessus illustre un avenir potentiel pour l'Authentification Déléguée (AD) tirant parti des passkeys au sein de l'écosystème des paiements. Il dépeint un flux simplifié où les commerçants, en utilisant des passkeys, pourraient effectuer l'Authentification Client Forte (SCA) au nom des émetteurs. Cette vision s'aligne sur la direction de la DSP3/RSP et l'adoption croissante de la technologie des passkeys.

Retour à la réalité : Cependant, cet avenir envisagé n'est pas encore la norme actuelle. Plusieurs défis pratiques doivent être relevés pour une adoption généralisée. Les cadres réglementaires, en particulier dans le cadre de la prochaine DSP3/RSP, doivent clarifier pleinement comment les passkeys synchronisés s'intègrent dans l'Authentification Client Forte et comment la responsabilité sera gérée dans les scénarios d'Authentification Déléguée. Les normes techniques essentielles, y compris celles permettant aux émetteurs de vérifier les passkeys détenus par les commerçants et d'assurer un lien de transaction dynamique cohérent sur toutes les plateformes, sont encore en cours de maturation. Établir une large confiance des émetteurs dans les processus d'authentification menés par les commerçants est également une étape critique. De plus, garantir une expérience utilisateur fluide, gérer potentiellement plusieurs passkeys par utilisateur et atteindre une prise en charge universelle par les navigateurs/plateformes pour toutes les fonctionnalités spécifiques aux paiements requises restent des efforts continus. Enfin, il sera important de répondre à toutes les perceptions de sécurité persistantes autour des écosystèmes de passkeys synchronisés et de la fiabilité de l'attestation pour instaurer une confiance totale.

Malgré ces obstacles – dont beaucoup sont spécifiques à la législation européenne sur la SCA qui, il est important de le rappeler, ne s'applique qu'à l'Europe – la technologie sous-jacente pour un tel système est en grande partie en place. Ceci est démontré par la réalité d'aujourd'hui : une adoption généralisée des passkeys par des acteurs majeurs en dehors de l'UE, tels que PayPal, et une utilisation extensive par de nombreuses banques américaines (y compris celles utilisant Banno de Jack Henry et bien d'autres). Le flux décrit est donc techniquement réalisable et capitaliserait sur cette forte dynamique existante d'adoption des passkeys par les utilisateurs et les commerçants, plutôt que de travailler contre elle. Cette approche pourrait ouvrir la voie à des expériences de paiement plus sécurisées et fluides à l'échelle mondiale.

La proposition de DSP3 et de RSP représente une évolution significative du cadre réglementaire des paiements de l'UE, visant à s'appuyer sur les fondations de la DSP2 tout en remédiant à ses limites et en s'adaptant à un marché en pleine numérisation.

Un développement clé est l'autorisation explicite de l'Authentification Déléguée (AD), permettant à des tiers comme les commerçants et les portefeuilles d'effectuer l'Authentification Client Forte (SCA) au nom des banques émettrices. Cependant, cette autorisation s'accompagne d'une mise en garde cruciale au sein de l'UE : la classification de l'AD comme « externalisation ». Cela déclenche un réseau complexe d'obligations de conformité en vertu des Lignes directrices de l'ABE sur les dispositifs d'externalisation et du Règlement sur la résilience opérationnelle numérique (DORA). De plus, les propositions transfèrent la responsabilité en cas d'échec de la SCA directement à l'entité effectuant l'authentification déléguée.

Cela crée une tension fondamentale, en particulier dans le contexte européen. D'un côté, il y a la volonté réglementaire d'améliorer la sécurité, le contrôle et la résilience, qui se manifeste par des exigences strictes en matière d'externalisation et de résilience opérationnelle. De l'autre côté, il y a le fort désir de l'industrie pour l'innovation, la flexibilité et l'amélioration de l'expérience utilisateur, que l'AD, en particulier lorsqu'elle est combinée à des méthodes modernes comme les passkeys, promet d'apporter. Les intenses efforts de lobbying autour de la définition de l'« externalisation » à des fins d'AD mettent en évidence ce conflit. Il est à noter que si ces obstacles réglementaires spécifiques sont importants dans l'UE, la technologie sous-jacente des passkeys connaît une adoption mondiale robuste et une mise en œuvre réussie sur d'autres marchés avec des paysages réglementaires différents.

Le taux d'adoption futur et l'impact de l'Authentification Déléguée, en particulier au sein de l'UE, dépendent de manière critique des détails finaux du processus législatif – notamment en ce qui concerne le champ d'application des règles d'externalisation, la répartition des responsabilités et, de manière cruciale, la reconnaissance explicite des passkeys synchronisés comme un mécanisme conforme à la SCA au sein de l'AD. La capacité de l'industrie à établir des cadres de confiance pratiques et évolutifs entre les émetteurs et les TSP effectuant l'authentification sera également primordiale.

Les passkeys, en particulier les passkeys synchronisés, sont intrinsèquement alignés sur les objectifs de l'AD, offrant une résistance robuste au phishing et le potentiel d'expériences utilisateur fluides basées sur la biométrie. Ils représentent une alternative convaincante aux mots de passe traditionnels et aux OTP. Le défi ne réside pas dans la faisabilité technique de l'utilisation des passkeys pour l'AD – comme en témoigne leur adoption mondiale réussie à diverses fins d'authentification – mais dans la navigation des exigences réglementaires spécifiques à l'UE et l'établissement de critères clairs et basés sur les résultats pour leur acceptation dans le cadre de la SCA. Une approche qui donne la priorité aux résultats de sécurité démontrables des authentifications par passkey (par exemple, la vérifiabilité cryptographique, la résistance au phishing, le lien dynamique) plutôt qu'à une adhésion rigide aux catégorisations traditionnelles des facteurs sera essentielle pour libérer leur plein potentiel dans l'AD.

Pour les entreprises opérant dans l'écosystème des paiements européen, les années à venir nécessitent une surveillance attentive de la finalisation de la DSP3, du RSP et des normes techniques associées de l'ABE. Les organisations devraient évaluer de manière proactive comment l'Authentification Déléguée, suralimentée par l'écosystème mature des passkeys, pourrait remodeler leurs stratégies de paiement et d'authentification. Cela implique non seulement d'évaluer le potentiel de technologies comme les passkeys synchronisés, mais aussi de se préparer aux changements opérationnels et de conformité nécessaires pour établir une confiance vérifiable avec les partenaires dans les arrangements d'AD.

Pour les fournisseurs de solutions d'authentification, l'opportunité réside dans le développement d'offres sécurisées, conviviales et conçues pour aider les clients (TSP) à répondre aux exigences de conformité exigeantes de l'AD dans le paysage de la DSP3/RSP. Cela inclut la facilitation de l'échange sécurisé de données d'authentification et le soutien de mécanismes qui permettent aux émetteurs de vérifier en toute confiance les transactions d'AD effectuées avec des passkeys détenus par les commerçants, favorisant ainsi les expériences de paiement sécurisées et fluides que la DSP3/RSP vise à atteindre en tirant parti de l'élan mondial de la technologie des passkeys.