Una dintre consecințeleintrarea în vigoare a PSD2 (a doua Directivă privind serviciile de plată) la 13 ianuarie 2018 și publicarea normelor tehnice asociate (cunoscute sub denumirea de „RTS”), care vor fi aplicabile la 14 septembrie 2019), este moartea anunțată a SMS OTP („One Time Password”). Pe lângă constrângerile asupra sectorului bancar în ceea ce privește chestiunile legate de plăți, se pune și problema impactului textului asupra altor reglementări, în special cele care reglementează semnăturile electronice.
Sfârșitul SMS OTP?
De mulți ani, consumatorii sunt obișnuiți să se autentifice atunci când efectuează o plată online cu ajutorul unui cod primit prin SMS (un dispozitiv cunoscut sub numele de „3d-secure”). Această metodă de autentificare, menită să garanteze că titularul cardului este cel care efectuează plata, chiar dacă nu este infailibilă (un număr de telefon mobil poate fi folosit în mod greșit) și chiar dacă are un impact asupra ratei de conversie a tranzacțiilor clienților, este în prezent bine acceptată atât de clienți, cât și de comercianți.
Prin intermediul raportului său anual din 2018 al Observatoire de la sécurité des moyens de paiements, Banque de France a detaliat implicațiile operaționale ale intrării în vigoare a textului, în special în ceea ce privește modalitățile de acces la un cont de plăți online.
Acesta precizează că este necesară o metodă de autentificare puternică atunci când titularul dorește să își consulte contul, să efectueze un transfer, să facă o plată cu cardul bancar sau pentru un anumit număr de tranzacții sensibile.
Articolul 4 din PSD2 definește autentificarea puternică ca fiind „bazată pe două sau mai multe elemente care aparțin categoriilor: cunoaștere, posesie și inerență (biometrie) și care are ca rezultat generarea unui cod de autentificare”. Iar la articolul 9, directiva prevede că diferitele elemente trebuie să fie independente, pentru a garanta „că, în ceea ce privește tehnologia, algoritmii și parametrii, compromiterea unuia dintre elemente nu pune sub semnul întrebării fiabilitatea celorlalte”.
Cu toate acestea, OTP prin SMS reprezintă doar un singur factor, acela al posesiei telefonului mobil care primește codul. Deoarece codul primit nu este independent de mobil, acesta nu poate fi considerat ca un al doilea factor. Numărul cardului, valabilitatea și criptograma acestuia nu sunt considerate un factor de cunoaștere, deoarece apar „în clar” pe card și sunt, de fapt, ușor de copiat.
Către un nou mijloc de autentificare?
Prin urmare, băncile vor trebui să găsească o nouă modalitate de autentificare a clienților lor pentru tranzacțiile acoperite de PSD2, adică cele legate de gestionarea conturilor în sensul cel mai larg. Există un alt moment al vieții în care SMS OTP este foarte utilizat în prezent: atunci când se intră într-o relație pentru autentificarea la distanță a potențialilor clienți sau a clienților ca parte a semnării electronice a unui contract de deschidere a unui cont și a unei propuneri comerciale de credit, de exemplu.
Pentru a fi valabilă, o semnătură electronică necesită ca semnatarul să fie identificat și autentificat. În prezent, piața a adoptat două practici: colectarea (și analiza) unui document de identitate și capturarea unui OTP prin SMS.
Începând cu1 iulie 2016, semnăturile electronice sunt reglementate de Regulamentul european eIDAS. Acest lucru presupune ca mijloacele de semnare să se afle sub controlul exclusiv al semnatarului, iar în cazul unei semnături la distanță, această obligație ia forma unui cod unic trimis prin SMS pe care numai semnatarul îl poate introduce în momentul actului.
De ani de zile, acest cod de „activare” a fost un pas esențial în procesul de semnătură electronică. Întrebarea care se pune acum este dacă va supraviețui PSD2.
Un prim element de răspuns este armonizarea textelor europene care reglementează sectorul financiar, cu concepte care sunt transpuse în diferitele texte. De exemplu, sistemele de identificare definite de regulamentul eIDAS și-au găsit foarte repede locul în transpunerea celeide-a patra directive privind combaterea spălării banilor și a finanțării terorismului. Articolul R561-20 din Codul monetar și financiar menționează aceste mijloace de identificare ca fiind noi măsuri suplimentare de precauție la inițierea unei relații de afaceri la distanță (a 5-a și a 6-a măsură).
Principalul motor al acestor schimbări va fi, fără îndoială, aversiunea sectorului față de risc. Dacă un înlocuitor credibil pentru SMS OTP în ceea ce privește implementarea, ușurința de utilizare și securitatea apare pe piață pentru plățile securizate, acesta va fi foarte repede implementat și pentru alte utilizări, cum ar fi semnăturile electronice.
