L’identité numérique dans le secteur bancaire

La biométrie va devenir omniprésente pour les paiements.

La directive PSD2

La directive révisée sur les services de paiement de l'UE (PSD2) entre en vigueur le 13 janvier 2018. Dans le nouveau règlement PSD2, il existe une authentification forte du client (SCA - Strong Customer Authentication) et une communication commune et sécurisée (CSC - Common and Secure Communication), concernant tous les paiements électroniques, en vertu de l'article 98 de la Directive européenne 2015/2366.

Lles banques européennes et les fournisseurs de services de paiement (PSP - Payment Service Providers) ont reçu un délai de 18 mois pour adopter de nouvelles mesures de sécurité incluant SCA. SCA sera désormais considéré comme pouvant donner lieu à une action 18 mois après la publication des normes techniques de réglementation (RTS) pertinentes au journal officiel de l'UE, de sorte que la date limite du SCA est prévue pour septembre 2019.

Cela signifie que toutes les banques et PSP européennes devront se conformer pleinement aux lignes directrices RTS et SCA.

PSD2 est conçu pour sécuriser les paiements, accroître la protection des consommateurs et favoriser l'innovation et la concurrence tout en garantissant des règles du jeu équitables pour tous les acteurs, y compris les nouveaux. PSD2 introduit l'accès au compte pour les nouveaux types de fournisseurs de services ; Initiation au paiement IE et informations sur le compte, ou plus connu sous le nom d'Open Banking utilisant des API. Sous Open Banking, les clients auront une plus grande flexibilité pour changer de compte ou en ouvrir de nouveaux, et les banques seront autorisées à partager les données de leurs clients, avec la permission du client bien sûr.

Authentification forte du client

SCA s'appliquera à la plupart des transferts de paiement dans les canaux existants tels que les services bancaires en ligne et mobiles. Cela aura un impact sur de nombreux secteurs, du commerce de détail, du commerce électronique, des entreprises de cartes. Comme vous le savez, au cours des trois dernières années, il y a eu une énorme augmentation des services bancaires mobiles et, dans les enquêtes récentes publiées par Visa et MasterCard, la popularité de l'authentification biométrique a considérablement augmenté. Plus de clients feraient confiance à l'aide de la biométrie que d'avoir à mémoriser un mot de passe. En partie, le nombre de violations de données a été responsable de cette tendance ainsi que l'explosion des appareils intelligents.

Dans cet esprit, ceci présente maintenant une fenêtre d'opportunité pour l'industrie de la biométrie car le RTS a défini des exigences minimales telles que l'authentification à deux facteurs pour sécuriser les transactions électroniques afin d'empêcher le vol, l'usurpation d'identité et la fraude.

Vous connaissez maintenant probablement les critères. SCA sera une partie essentielle du processus de paiement, car deux facteurs indépendants sont requis de ces catégories :

• Connaissance (un code PIN, un mot de passe ou un secret)
• Possession (un téléphone, une tablette, un PC, une carte ou un jeton)
• Inhérence (biométrie : visage, voix, doigt, iris...)

L'important est qu'ils doivent être totalement indépendants l'un de l'autre car une violation de l'un ne doit pas compromettre la fiabilité des autres.

Le délai de conformité pour le SCA a donc été fixé. En ce qui concerne la transformation numérique que la plupart des banques britanniques et européennes sont en train de subir, il s'agit d'une fenêtre très courte pour toutes les banques afin de mettre en œuvre des solutions répondant aux critères ci-dessus d'authentification multifactorielle. Des amendes sévères pour non-conformité pourraient être importantes (basées sur le chiffre d'affaires global de la banque). En d'autres termes, les banques sont obligées d'améliorer leurs mesures de sécurité pour les comptes clients et les paiements, ce qui aura un impact considérable sur les banques ainsi que sur leurs utilisateurs finaux.

Cependant, d'une manière générale, cette révolution est déjà en cours. Certaines banques ont traditionnellement offert une mauvaise expérience utilisateur avec leurs clients existants, en particulier en compliquant leurs mesures de sécurité pour les comptes en introduisant des mots de passe plus complexes en plus complexes. Cela a conduit à plus d'insatisfaction des clients et des problèmes sans fin de réinitialisation de vos mots de passe lorsque nous ne pouvons pas nous souvenir d'eux.

Les banques envisagent enfin de nouvelles manières innovantes d'améliorer l'expérience utilisateur et le parcours client en introduisant de nouvelles méthodes d'authentification numérique à distance et d'authentification biométrique, principalement comme alternative aux problèmes liés aux mots de passe plus faibles. C'est donc avec cette insistance que l'UE va désormais réguler plus fortement les paiements et que la biométrie va jouer un rôle essentiel dans la preuve de votre identité. Il y a aussi des avantages supplémentaires à être plus pratique sur les code PIN ou les mots de passe.

La biométrie

Le domaine clé pour l'industrie de la biométrie et de nombreux fournisseurs de technologie sera bien sûr "l'hérédité", car naturellement prouver qui vous êtes, va être l'une des principales méthodes pour le processus de paiement 2FA, et maintenant il existe de nombreuses façons de prouver exactement qui vous êtes.

Il y a deux types de biométrie : physique et comportemental.

1. La biométrie physique fait référence à des éléments tels que la reconnaissance faciale, l'iris, la paume, la veine, les empreintes digitales.
2. La biométrie comportemental se réfère à vos traits de comportement tels que la façon dont vous tapez sur un clavier, la façon dont vous tenez votre téléphone, la façon dont vous marchez (démarche même votre signature et votre écriture manuscrite. La reconnaissance vocale est également considérée comme une biométrie comportementale.

La biométrie comportementale devient de plus en plus l'un des principaux types de méthode d'identification biométrique, car elle oblige l'utilisateur à ne rien faire d'autre que ce qu'il fait déjà. Il est très difficile d'usurper la façon dont quelqu'un se comporte. Il est possible de détecter si une personne est gaucher ou droitier, en utilisant une frappe simple ou multi-touches, combien de fois nous utilisons nos appareils mobiles, quelles applications nous utilisons régulièrement, même la façon dont nous utilisons une souris ou un pavé tactile avec un PC. En combinant tout cela avec des adresses IP et de géolocalisation, vous créez une empreinte humaine. Oui, nous détestons ces cookies, mais il y a tellement de signaux différents que nous émettons qui forment des patterns réguliers dans notre comportement sans que nous nous en rendions compte.

Cependant, la biométrie n'est que l'un des éléments clés pour prouver votre identité. Le problème de la biométrie physique est qu'il est important de reconnaître ses limites. La technologie biométrique utilise des mesures et des probabilités. Certaines zones de la biométrie peuvent être facilement usurpées, par exemple avec des photos ou en imitant votre voix par exemple. Nous avons tous vu comment le nouveau FaceID sur iPhone X (10) d'Apple a été usurpé par des membres de la famille ou des jumeaux se faisant passer pour un autre, il est donc nécessaire de s'assurer qu'il y a un élément de "détection de vivant" (présence de l’humain concerné et non d’un leurre).

La détection du vivant nécessite une action d'un individu en temps réel au cours d'un processus d'authentification. Par exemple, en fournissant un selfie via votre smartphone, vous devrez peut-être hocher la tête, cligner des yeux, prononcer une phrase au hasard ou lire un ensemble de chiffres. Tout cela pour combattre le potentiel de fraude et quelqu'un qui essaie de vous usurper. Par conséquent, pour assurer un haut niveau de sécurité et rassurer le grand public, la détection de la vivacité est essentielle, notamment en ce qui concerne le processus d'intégration numérique à distance de nouveaux clients. La fraude est toujours un problème pour tous les PSP lors de l'inscription de nouveaux utilisateurs, et il est nécessaire d'avoir des méthodes solides et des vérifications des antécédents.

La biométrie s'installe dans le monde bancaire

2018 devrait être une autre année réussie pour l'innovation biométrique et l'identité numérique. Nous verrons de plus en plus d'appareils prenant en charge les systèmes biométriques. Il y a déjà près de deux milliards de dispositifs de sécurité biométrique activés sur le marché aujourd'hui, et d'ici la fin de 2018, cela devrait atteindre 3,5 milliards d'unités expédiées. *

D'ici 2020, la sécurité biométrique sera la norme sur tous les appareils mobiles, avec des ventes de 2,4 milliards d'appareils vendues chaque année, et les paiements électroniques utilisant la biométrie comme forme d'authentification atteindront plus de 1,37 billion de dollars américains *.

Par conséquent, l'authentification forte des clients a été mandatée dans l'UE. L'utilisation de notre visage, de notre voix ou de nos empreintes digitales dans le cadre de notre empreinte numérique fera partie intégrante de notre vie quotidienne pour les paiements électroniques.

Beaucoup d'entre nous utilisent déjà la biométrie pour déverrouiller nos smartphones ou pour l'authentification dans les services bancaires mobiles, de sorte qu'il sera assez commun d'ici septembre 2019.

* Acuity Market Intelligence

Les cartes bancaires intégrant la biométrie

Le paysage bancaire et fintech

Le paysage bancaire est en train de changer. Beaucoup de nouvelles entreprises start-up et fintech offrent une variété de différentes solutions pour les banques. Une nouvelle vague de banques de challenger numériques offrent des services meilleurs et plus efficaces.

En 2017, nous avons commencé à voir ces banques traditionnelles commencer à reconnaître la menace et à reconnaître qu'elles ont besoin de se rattraper dans le monde numérique. Le processus a été lent car les cycles de déploiement pour l'adoption de nouvelles technologies ont plus que doublé au cours des deux dernières années avec tant de changements technologiques attendus et en partie, ils attendaient une meilleure compréhension de la nouvelle réglementation avant d'aller de l'avant. Il y a eu un certain nombre d'exceptions rares, où certaines petites et moyennes banques ont adopté ces nouvelles technologies et sont à la pointe de cette transformation numérique pionnière. Cela a attiré l'attention de tout le monde et maintenant de nombreuses banques devront s'adapter.

L'importance de ces nouvelles banques challenger ne peut être sous-estimée. Celles-ci sont uniquement numériques, avec une base de coûts plus légère et offrant de nouveaux services plus à la mode, en particulier avec leurs fonctionnalités d'applications mobiles. Les nouvelles banques numériques vont être des acteurs remarquables. Au cours des trois prochaines années, nous assisterons à l'émergence de ces nouvelles banques numériques, et même si elles sont petites maintenant, si elles survivent à un rachat, elles pourraient être une force avec laquelle il faut compter. 2018 verra beaucoup plus de challengers entrer sur le marché.

En ce qui concerne la sécurité, des représentants des banque et des fintech ont déploré la lourdeur des règles d'identification des clients lors d'une conférence organisée à Bercy en janvier 2018. Ils veulent éviter à leurs clients d'avoir à brasser de la paperasse. Ils ont appelé à une simplification des règles d'identification des consommateurs. Aujourd'hui le cadre applicable repose sur une base documentaire facilement falsifiable. La réglementation européenne sur l'identification électronique eIDAS - dont certaines obligations entrent en vigueur cette année - pourrait être un levier dans l'amélioration des dispositifs existants.