LA DIRECTIVE DSP2 CHANGE NOTRE FAÇON DE NOUS PRÉMUNIR CONTRE LA FRAUDE - GUIDE A L'ATTENTION DES BANQUES - Feedzai
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
CHAPTER
GUIDE A L’ATTENTION DES BANQUES
LA DIRECTIVE DSP2
CHANGE NOTRE FAÇON
DE NOUS PRÉMUNIR
CONTRE LA FRAUDE
v030818
1
CHAPTER
TENEURS
3 CHAPITRE 1 : POURQUOI LA
DSP2 A-T-IL LIEU ?
La DSP2 apporte un environnement idyllique pour le client,
mais n’offre-t-elle pas aussi de nouvelles opportunités aux
fraudeurs ?
6 CHAPITRE 2 : LES INCONNUES
DE LA DSP2
Il est difficile d’anticiper les effets de l’application de la
Directive DSP2. Vous découvrirez dans ce guide quelques
inconnues déjà identifiées.
8 CHAPITRE 3 : LES ÉQUIPES EN CHARGE
DE LA PRÉVENTION DE LA FRAUDE
DOIVENT-ELLES ÉVOLUER
Les approches habituelles de lutte contre la fraude ne
fonctionnent plus dans le cadre de la DSP2. L’exigence
d’Authentification Forte du Client (SCA) menace l’atout le
plus précieux des banques : l’expérience client.
9 CHAPITRE 4 : ÊTES-VOUS PRÊTS
POUR LA DSP2 ? CINQ MESURES
A PRENDRE, SANS PLUS
ATTENDRE
Les mesures à prendre pour être préparés.
Et bien plus encore, accueillons la DSP2 à bras ouverts
10 CHAPITRE 5 : LE WORKFLOW
D’AUTHENTIFICATION DES
PAIEMENTS DSP2 : PLAN
D’ACTIONS
Les mesures à prendre pour être préparés
Et bien plus encore, accueillons la DSP2 à bras ouverts
2
CHAPITRE 1 : POURQUOI LA DSP2 A-T-IL LIEU ?
POURQUOI LA DSP2
A-T-IL LIEU?
L’histoire de la Directive révisée sur les services de paiement (DSP2) se fonde sur
tout ce que les entreprises, les clients et les fraudeurs ont en commun, à l’heure
où le commerce s’est ouvert à un grand nombre d’acteurs et passe désormais
incontestablement par le numérique.
LES BANQUES, LES CLIENTS, ET FRAUDEURS
ADORENT TOUS
Les paiements en ligne Les banques telles que la vôtre savent que le fait de
proposer des services en ligne rend les choses plus efficaces pour votre organisation, mais
aussi pour vos clients. Cependant, les fraudeurs affectionnent aussi les paiements en ligne.
Les opérations numériques leur permettent de se cacher derrière des données.
Des services 24h/24, 7j/7 Les banques veulent satisfaire leurs clients en proposant
des paiements et des services « disponibles à tout moment » Les fraudeurs profitent de la
disponibilité des services 24h/24 et 7j/7 pour commettre des délits en dehors des heures
d’ouverture de bureau.
Une expérience fluide à travers différents canaux Une étude de
PricewaterhouseCoopers révèle que 39 % des clients d’établissements bancaires partagent
leurs données financières avec d’autres banques et avec des tiers « Si, en contrepartie [ces
clients] recevaient des avantages tels qu’un aperçu global de leurs comptes dans une seule
application, ou une comparaison de produits sur mesure auprès de tiers. » Les entreprises
cherchant à susciter une expérience multicanal fluide, vous allez donc devoir contrer les
fraudeurs qui tirent parti des failles de canaux et de bases de données à silos déconnectés.
La vitesse Les nouvelles infrastructures de paiement instantané permettent aux banques
de satisfaire les attentes de clients, à savoir : du toujours « plus vite » et « plus immédiat ».
Mais l’accélération des processus de paiement implique aussi une accélération des pratiques
frauduleuses. Des fonds dispersés ne peuvent plus être rassemblés. L’enjeu est de taille dans
un monde où les délinquants peuvent voler des fonds en seulement quelques minutes.
3
CHAPITRE 1 : POURQUOI LA DSP2 A-T-IL LIEU ?
L’adoption de la Directive DSP2 vise à faciliter la vie des clients. Aujourd’hui, ÉLÉMENTS CLÉS DE LA
l’open banking permet d’ouvrir des comptes à l’aide d’Interfaces de DSP2
programmation applicatives (API) et les clients disposent donc de nouveaux
outils qui leur offrent une expérience utilisateur plus fiable, plus rapide et Champ d’application élargi de la
globalement plus satisfaisante. Des tiers peuvent désormais accéder à ce législation actuelle.
marché en apportant leur lot d’innovations (comme des applications bancaires La première Directive sur les services
mobiles) qui vont faire progresser l’économie numérique. de paiements a été adoptée en 2007,
il était donc temps de revoir et de
Mais si DSP2 ouvre la voie du paradis pour les clients, la Directive ne suscite- remplacer cet ancien texte. La DSP2
t-elle pas au l’apparition d’opportunités pour les fraudeurs ? Les clients qui va « mettre de l’ordre » et élargir le
utilisent les applications d’open banking pour effectuer des paiements ne champ d’application géographique
sont pas couverts par les associations de cartes MasterCard et Visa, mais par de la législation actuelle. Désormais,
leur banque émettrice. Par conséquent, les banques doivent impérativement elle s’appliquera à tous les paiements
concevoir un nouveau canal et se prémunir de la fraude. Et chose nouvelle initiés ou qui aboutissent dans l’UE.
: elles doivent se consacrer à ces tâches sans connaître le contexte des La Directive DSP2 permettra aussi
données, contrairement à ce dont elles avaient l’habitude. de se conformer à d’autres règles,
telles que la réglementation sur les
Afin de combler les failles qui laissent passer les fraudeurs, DSP2 introduit frais d’interchange liés aux cartes de
l’Authentification forte du client (SCA) lors de la connexion des clients à paiement.
leurs comptes, ou lorsqu’ils effectuent des paiements. Les organisations qui
parviennent à maintenir les niveaux de fraude en dessous de niveaux bien Open up banking
établis seront en mesure de contourner l’Authentification forte du client La DSP2 contient des dispositions qui
lorsque des opérations atteignent certains montants. Par conséquent, une permettent l’ouverture de compte
technologie élaborée de détection de la fraude est essentielle. De plus, elle par l’intermédiaire d’une API, ce
réduit la friction que les clients peuvent subir lorsqu’ils doivent s’authentifier. qui offre la possibilité à des tiers
d’accéder aux comptes et de fournir
des produits et services, notamment
les développeurs d’applications
mobiles. Les clients disposeront ainsi
de nouvelles interfaces pour accéder
à leurs comptes.
Authentification Forte du Client
(SCA)
Les prestataires de services de
paiement (PSP) devront authentifier
l’identité de leurs clients à l’aide de
plusieurs facteurs pour avoir accès à
leur compte à distance ou effectuer
des paiements en ligne. Certaines
exceptions à l’Authentification
Forte du Client subsistent pour les
prestataires de services de paiement
qui utilisent des outils analytiques
avancés, tels que le machine learning,
pour limiter le taux de fraude dans le
cadre de seuils bien définis.
4
CHAPITRE 1 : POURQUOI LA DSP2 A-T-IL LIEU ?
HISTORIQUE DE LA DSP2
23 12 27 MARS-
NOVEMBRE JANVIER
DÉCEMBRE JANVIER FÉVRIER -DECEMBRE
2017 2018
2015 2016 2017 2018
Publication du Entrée en Projet définitif La Commission Transposition Adoption de
texte final de vigueur du de la norme approuve la de la DSP2 l’EBA RTS
la Directive de texte technique de la norme EBA RTS dans le droit
la DSP2 réglementation interne des
EBA États membres
de l’UE
VRAI OU FAUX ? 3 MYTHES AU SUJET DE LA DSP2
1er MYTHE: Les commerçants seront en 2e MYTHE: La banque par téléphone 3e MYTHE: La Directive DSP2 est un texte
mesure de désactiver l’Authentification échappe au champ d’application de la DSP2. isolé.
Forte du Client, comme pour le protocole Faux: Toute action à distance réalisée par Faux: Prenons l’exemple d’une banque
3-D Secure un utilisateur de services de paiement qui reçoit une demande d’une personne
Faux: La DSP2 exige que les prestataires implique le risque de paiements frauduleux concernée en application du Règlement
de services de paiement (PSP) ou d’autres infractions. Par exemple, les général sur la protection des données
authentifient le client. Les commerçants fraudeurs peuvent utiliser des techniques (RGPD). Vous êtes tenus de traiter les
ne disposent donc pas le contrôle que de manipulation sociale afin de tromper requêtes des personnes concernées, et
bon nombre d’entre eux pensent avoir. les représentants du service à la clientèle cela implique une action à distance qui
et d’obtenir des informations à caractère comporte un risque d’abus et requiert donc
personnel. une Authentification forte du client.
5
CHAPITRE 2 : LES INCONNUES DE LA DSP2
LES
INCONNUES
DE DSP2
Se préparer à DSP2, c’est piloter dans
un contexte d’incertitude. Voici les
principales « inconnues identifiées »
dans le cadre de l’application de DSP2:
Une concurrence nouvelle
Les banques vont entrer en concurrence pour obtenir des
parts de marchés. Ainsi, les plus grandes vont lutter pour
capter l’attention des clients. D’après une étude de PwC,
35 % des clients britanniques pensent que les banques de
taille moyenne proposent une offre plus attractive que les
grands établissements bancaires.
Des AISP (Prestataires de services d’information sur les
comptes) et des PISP (Prestataires de services d’initiation
de processus de paiement) qui connaissent l’importance
de l’expérience client vont apparaître sur un marché
déjà encombré. Dans cet univers en pleine mutation,
les vainqueurs seront ceux qui sont capables d’assurer
l’expérience client la plus fluide dans le cadre de produits
et services intégrés, en améliorant cette expérience, sans
ajouter de frictions.
Des clients au comportement imprévisible
tLes interventions décidées uniquement au sommet de
nos systèmes, organisations et institutions, telles que les
initiatives réglementaires des gouvernants et l’innovation
au sein des entreprises, ne peuvent être contrôlées que
dans une certaine mesure. Il appartient donc au marché
de réagir face à des acteurs bien ou mal intentionnés. Le
comportement des clients est imprévisible, comme en
témoignent les réactions aux récentes mutations dans le
secteur des paiements. Pensez notamment à l’adhésion
si rapide des clients au protocole 3-D Secure. Celle-ci fut
6
CHAPITRE 2 : LES INCONNUES DE LA DSP2
suivie de pics de fraude. Rappelez-vous de la lenteur de l’adhésion à Paym, solution que l’on a qualifiée d’échec, après
un recul surprenant de l’adhésion à ce protocole.
De nouveaux canaux et de nouveaux des flux de données, de plus en plus nombreux
L’univers des paiements a vu la prolifération de nouveaux canaux, notamment les échanges via mobile, par voix,
l’internet des choses, ou encore les objets portables. DSP2 va amplifier ce phénomène. Avec la multiplication de ces
canaux, les flux de données vont également se diversifier (par ex. : mobile, temps réel, interactions et parcours de clics).
Les organisations vont devoir rassembler ces nouveaux canaux et flux de données, offrant un aperçu exhaustif du
client, afin de satisfaire les exigences d’Authentification forte du client, en intégrant par la même de nouveaux produits
et services.
La fraude sous des formes inédites
« Avec l’introduction DSP2, les fraudeurs vont-ils laisser tomber et enfin chercher un travail décent ? La réponse est non.
Ils vont s’adapter et tester de nouvelles choses. » Ce sont termes employés par Richard Harris, Directeur des opérations
internationales chez Feedzai, à l’occasion d’un webinaire : "La voie vers DSP2."
DSP2 combat la fraude numérique telle qu’elle existe à l’heure actuelle. Ce qui signifie que les techniques de fraude
vont évoluer et que les fraudeurs vont innover. Il va se produire une augmentation des opérations frauduleuses avec «
absence de carte » (CNP en anglais), de manière similaire à la fraude en ligne apparue aux États-Unis après l’adoption de
la norme EMV (Europay MasterCard Visa). De nouvelles attaques visant les titulaires de nouveaux services de paiement
vont aussi survenir, ainsi qu’une hausse de la « fraude à la facture » et de la « fraude au directeur ». Sans oublier le fait
que de nouveaux programmes de manipulation sociale vont apparaître.
Une révolution dans le secteur
Alors que les banques tentent de maîtriser l’incertitude consécutive au passage à DSP2, elles évoluent aussi dans un secteur
des paiements en pleine mutation. Dans ce secteur, les recettes liées aux paiements et l’appropriation du client sont aussi
menacées. Dans l’étude d’Accenture présentée ci-dessous, il apparaît que les forces de l’open banking sont telles que les
banques britanniques pourraient perdre jusqu’à 43 % de leur chiffre d’affaires actuel lié aux paiements, d’ici à 2020.
D’autres projets de réglementation, tels que le plafonnement des commissions interbancaires et la Directive sur la
monétique sont autant d’éléments qui vont promouvoir cette nouvelle concurrence.
CE PAYSAGE EN PLEINE MUTATION MENACE LES
FUTURES RECETTES DES BANQUES
+20% 8.2 -27% -43%
6.6
-7
-9
4.6
CA 2015 Croissance CA 2020 Plafonds sur Entreprises Prestataires CA 2020, après
organique de commissions révolutionnaires de services l’entrée en
2015 à 2020 interbancaires du numérique d’initiation vigueur du
(2015) (par ex. : Apple de paiement nouveau cadre
Pay, PayPal, (PSIP)
MPOS)
“tk” (tk)
7CHAPITRE 3 : LES ÉQUIPES EN CHARGE DE LA PRÉVENTION DE LA FRAUDE DOIVENT-ELLES ÉVOLUER
POURQUOI LES ÉQUIPES CHARGÉES
DE PRÉVENTION DE LA FRAUDE
Si vous faites partie d’une telle équipe au sein d’une banque, soyez conscient
que DSP2 va introduire un série de nouvelles défis à relever. A l’heure où des
prestataires tiers accèdent au marché en proposant de nouveaux services, vous
allez observer un volume d’opérations qui ne va cesser de progresser. Avec la
tendance croissante des paiements en temps-réel ou accélérés, vous aurez moins
de temps pour adopter des décisions face à la fraude.
La «vision contraignante de DSP2» s’ajoute à ces difficultés Toutefois, l’introduction concomitante du Règlement
émergentes. Maintenant que les tiers peuvent agir en tant général sur la protection des données (GDPR) va
qu’intermédiaires entre clients et banques, vous pouvez mettre en évidence de nouveaux enjeux en matière
perdre l’accès aux données des clients sur lesquelles d’atténuation des risques, car les plafonds des amendes
vous avez fondé vos décisions en matière de fraude et ont significativement augmenté en cas de non-conformité
de risques. Ces nouveaux prestataires sont associés à avec les nouvelles exigences relatives à la confidentialité
de nouveaux flux de données, vous allez voir apparaître des données à caractère personnel.
de nouveaux types de données que vous allez devoir
comprendre. DSP2 contrôle ces difficultés liées à la fraude en
employant l’Authentification forte du client, mais celle-ci
Les fraudeurs vont faire tout ce qui est en leur pouvoir implique une friction qui menace le plus précieux des
pour tirer parti de cette nouvelle complexité, et il vont atouts des établissements bancaires : l’expérience client.
profiter d’une prolifération de points d’entrées pour Les équipes en charge de prévention de la fraude risquent
attaquer, puisque vous êtes désormais contraints de de se retrouver dans une impasse. En réalité, ces défis
fournir des interfaces de programmation applicative (API) représentent une opportunité dissimulée. Poursuivez
aux prestataires tiers. votre lecture pour découvrir les actions que vous pouvez
adopter pour accueillir DSP2 avec bienveillance, c’est-à-
dire comme une opportunité sous-jacente.
8CHAPITRE 4 : ÊTES-VOUS PRÊTS POUR LA DSP2 ? CINQ MESURES A PRENDRE, SANS PLUS ATTENDRE
ÊTES-VOUS PRÊTS POUR LA DSP2? 5
MESURES A PRENDRE SANS ATTENDRE
1 Commencez à investir dans le machine learning dès à présent
Lors de la Conférence internationale des Fintechs en avril 2017, le Président d’HSBC, Douglas Flint a
déclaré : «Le fait d’utiliser l’intelligence artificielle et le machine learning pour contrôler le système
financier suscite des opportunités pour mieux faire, protéger nos clients et nous protéger nous-
mêmes.» Les banques qui tirent parti du machine learning pour la lutte contre la fraude seront sans
doute les seules qui soient suffisamment puissantes pour abaisser les taux de fraude en dessous de
seuils bien établis. Pour obtenir un taux de fraude de référence équivalant à 0,01 % (soit 1 € faisant
l’objet d’une fraude, pour 10 000 € d’opérations), il faudra passer par une Authentification forte du
client pour les opérations d’un montant supérieur à 500 €.
2 Adoptez une stratégie souple qui permette de contrer les incertitudes
de DSP2
DSP2 représente une opportunité qui permette de surmonter les incertitudes consécutives au passage
à DSP2. Pour commencer, il faudra gérer de grandes quantités de données à travers plusieurs canaux.
Ensuite, vous allez devoir travailler sur l’atténuation de nouveaux risques. Enfin, il y a de nouvelles
inconnues concernant la réglementation qu’il reste à élaborer. En choisissant un partenaire DSP2 qui
puisse manipuler des données déconnectées, et qui puisse s’adapter aux grandes inconnues de DSP2,
vous pourrez prévoir l’imprévisible.
3 Adoptez une approche active et soyez pionnier
C’est un terrain de jeu sur lequel tout le monde est tenu d’agir. En intervenant rapidement et en
adoptant des décisions tenant compte du client, et en associant les stratégies de risques et les
nouvelles opportunités commerciales, des organisations telles que la vôtre peuvent transformer leurs
obligations réglementaires en vertu de la Directive DSP2 en opportunités commerciales.
4 Trouvez un partenaire pour élaborer une vision complète du client
Afin de satisfaire aux nouvelles normes techniques en matière de détection de la fraude dans le cadre
de DSP2, ainsi qu’aux nouvelles exigences en matière de paiement et d’authentification, les banques
seront tentées de créer un patchwork de solutions de gestion des risques. Cette démarche peut
être onéreuse puisqu’elle est de nature à être remplacée à l’avenir. La meilleure approche consiste à
adopter une plateforme unique afin de traiter les principaux points sensibles de DSP2 et d’abattre les
barrières entre les différents éléments du portefeuille de produits, et de tirer parti des enrichisseurs de
données, pour améliorer la détection.
5 Ouvrez les voies de communication entre risques et expérience client
Les banques vont devoir répondre à des exigences onéreuses d’Authentification forte du client, sans
ajouter de frictions. Il vous faudra aussi intégrer de nouveaux produits et services, ainsi que leurs
nouveaux canaux, types de paiement et flux de données. Il s’agit de travaux trans-fonctionnels qui
impliquent des échanges importants entre les deux aspects de la banque : les services de gestion des
risques et le service client. DSP2 permettra d’obtenir une relation banque-client plus développée, car
elle fournit l’opportunité de tirer parti des données clients pour promouvoir des produits et services ou
assurer la commercialisation de services complémentaires. Mais DSP2 induit aussi de nouveaux risques.
Gestion des risques et opportunités commerciales n’ont jamais été aussi étroitement liés.across the full
9CHAPITRE 5 : LE WORKFLOW D’AUTHENTIFICATION DES PAIEMENTS DSP2 : PLAN D’ACTIONS
LE WORKFLOW
D’AUTHENTIFICATION
DSP2 : PLAN D’ACTIONS
Les banques ont traditionnellement été centrées sur les produits plutôt que sur les clients, de sorte que leurs business
units sont déconnectés, avec différents points d'entrée pour différentes lignes de produits. La DSP2 vous permet de
réorganiser votre workflow afin que la prise de décision soit plus connectée et que les informations soient partagées
dans toutes ces business units.
Voici un tel workflow qui montre l'authentification au moment du scoring, où l'authentification supplémentaire n'est
introduite que lorsque cela est nécessaire pour compléter la validation.
1 2 4B
AUTHENTIFICATION
INITIATION DU PAIE- FOURNITURE DES
COMPLÉMENTAIRE
MENT IDENTIFIANT ET MDP
REQUISE
4A 6
3
MOTEUR DE RIS-
AUTHENTIFICATION QUES DE FEEDZAI
RÉSUMÉ DES DÉTAILS
FORTE DU CLIENT
L’UTILISATEUR DU RÈGLEMENT
REQUISE
EST VALIDÉ?
4C
VALIDATION DE L’AU-
PROFILS THENTIFICATION
4
MOTEUR DE RIS-
REFERER
QUES DE FEEDZAI
ENRICHISSEURS
FIN
5
DECLIN APPROUVE CONFIRMATION ET
CONCLUSION
FIN
10CHAPTER
11ABOUT FEEDZAI
FEEDZAI EST IA
Nous nous consacrons au codage de l’avenir du
commerce électronique grâce à la plateforme de
gestion des risques la plus élaborée existant à ce
jour. Sa technologie associe la puissance des big data
à celle de l’intelligence artificielle. Notre mission
consiste à sécuriser les transactions commerciales.
Les plus grandes banques, les principaux
gestionnaires de paiement et commerçants utilisent
les technologies de machine learning de Feedzai pour
gérer les risques inhérents aux services bancaires et
au commerce électronique, que ce soient en ligne ou
en présence de la personne.
feedzai.com
info@feedzai.com
sales@feedzai.comVous pouvez aussi lire
