De fortes exemptions d'authentification client peuvent améliorer votre expérience client

"Difficile."

Ce doit être le mot le plus populaire concernant la mise en œuvre de toutes les exigences de la directive révisée sur les services de paiement (PSD2).

Nous en avons entendu parler: des ressources dédiées à l'adaptation de la technologie aux exigences légales; difficulté à naviguer dans le domaine des règles incluses dans la directive et des normes techniques; craintes de ne pas pouvoir respecter les délais fixés par les régulateurs; des inquiétudes quant à l'impact potentiel sur l'expérience client et, par conséquent, sur l'entreprise.

Ce dernier défi a donné lieu à de nombreuses conversations intéressantes. PSD2 a certainement un impact sur l'expérience client en raison des exigences d'authentification sécurisée et d'autorisation de transaction. Pour répondre à ces exigences, les institutions financières (IF) doivent appliquer par défaut l'authentification forte du client (SCA) pour une multitude d'actions utilisateur dans les canaux distants. Selon la façon dont il est mis en œuvre, cela peut ajouter des frictions à l'expérience utilisateur, ce qui peut à son tour conduire à l'abandon du client.

Face aux délais de mise en œuvre de la SCA, certaines IF peuvent s'être initialement concentrées sur la conformité, reportant la conversation sur l'expérience client. Cette conversation gagne maintenant en importance alors que les IF recherchent des améliorations dans le parcours de l'utilisateur - à savoir, pour limiter les frictions au minimum nécessaire. Dans ce blog, nous examinons le rôle que les exemptions SCA peuvent jouer.

Expérience client positive

Tout d'abord, définissons ce que signifie une expérience client positive. Les canaux bancaires numériques ne peuvent pas être comparés à l'expérience en agence. Au lieu de cela, les IF sont en concurrence avec d'autres acteurs de l'espace numérique: plateformes de vente au détail, géants des médias sociaux, néobanques, startups fintech, etc. Une partie du défi pour les IF est la nécessité de développer rapidement une expertise dans le domaine des applications mobiles: réduire le nombre clics, repenser les flux d'utilisateurs ou trouver de nouvelles façons d'interagir avec le client.

Les institutions financières comprennent que les clients ont une faible tolérance aux frictions. Attirer et fidéliser les clients signifie offrir une expérience numérique transparente et intuitive, y compris un processus d'authentification rationalisé. Un client passant par le flux de paiement ne devrait rencontrer un défi d'authentification que lorsque le risque est supérieur à un certain seuil. Dans de nombreux cas, comme les transferts d'argent de grande valeur, les défis d'authentification renforcent la confiance du client dans la mise en place de mesures de sécurité protectrices. Cependant, dans le cas d'opérations de routine de faible valeur, demander une authentification multifacteur (MFA) peut devenir frustrant.

Le temps et la facilité d'utilisation comptent plus que jamais. Des flux d'authentification trop compliqués et rigides créent de la frustration, d'autant plus que le canal mobile devient un élément essentiel de l'expérience bancaire. Dans de nombreuses régions, la banque mobile l'est déjà. Selon Forrester dans L'état de la banque numérique, 2021 , 68% des adultes en ligne britanniques utilisent leur téléphone au moins une fois par mois pour leurs opérations bancaires, tandis qu'en Asie, «les services bancaires mobiles sont le point de contact bancaire le plus populaire».

Révolution PSD2

PSD2, avec ses exigences strictes autour de la SCA et de la sécurité des transactions, est arrivé comme une révolution pour les services financiers et en particulier, le commerce électronique et les paiements. Tout en améliorant la sécurité, il était évident dès le début que cela affecterait l'expérience client, en ajoutant des étapes et des contrôles supplémentaires au flux de paiement. Le problème est que, dans l'ensemble, ces exigences conduiraient à une augmentation de l'abandon des transactions et du taux de désabonnement de la clientèle.

Pour comprendre l'impact de la PSD2, rappelons-nous rapidement les changements les plus significatifs pour les consommateurs. Premièrement, la directive révisée sur les services de paiement donne aux gens un aperçu de leurs données financières en permettant un partage d'informations sécurisé entre les IF. En posant les bases de l'Open Banking, il permet l'échange de données entre différents opérateurs bancaires, ce qui signifie que, dans certains cas, les consommateurs peuvent gérer tous leurs comptes bancaires à partir d'une seule application mobile. Il s'agit d'un formidable pas vers une meilleure expérience bancaire.

Deuxièmement, PSD2 établit certaines normes de sécurité pour protéger les interactions financières en ligne. Entre autres, la SCA a été introduite dans les normes techniques réglementaires (RTS) de PSD2 pour améliorer la sécurité des paiements et réduire la fraude. Il oblige les IF à authentifier les clients en utilisant au moins deux facteurs d'authentification mutuellement indépendants . Cela élève la barre pour les fraudeurs: même s'ils parviennent à pirater le mot de passe, ils devront toujours comprendre l'autre facteur, ce qui diminue les risques de fraude.

Exemptions strictes d'authentification client

La SCA est obligatoire pour la plupart des méthodes de paiement en ligne à travers l'Espace économique européen. Cela peut être un défi car il introduit plus d'étapes dans certains scénarios d'authentification. S'il est trop tôt pour évaluer l'impact (la date limite pour la mise en œuvre complète de la SCA était le 31 décembre 2020), une étude estime que Le commerce électronique européen pourrait perdre 57 milliards d'euros dans la première année après l'application de la SCA en raison de la friction supplémentaire à la caisse.

D'un autre côté, les commerçants qui ne respectent pas les exigences de la SCA seront également confrontés à de graves problèmes, car les banques devront refuser de telles transactions. Selon la récente mise à jour de CMSPI , près de 89 milliards d'euros dans le commerce de détail sont «menacés d'échec des transactions, d'erreurs techniques, et finalement de bons clients obligés d'annuler leurs achats».

Cela signifie-t-il que les IF et les commerçants sont obligés d'intégrer la SCA dans tous les scénarios? Les consommateurs doivent-ils toujours passer par une authentification en plusieurs étapes (comme la saisie du code PIN lors de l'achat d'un café)? Heureusement non.

Le chapitre III des normes techniques de réglementation introduit le mot magique: SCA exemptions . Ces exemptions ont été créées pour compenser l'impact négatif attendu sur le taux de transactions traitées avec succès. En général, certains critères s'appliquent pour qu'une exemption de SCA soit autorisée. Tandis que surveillance des transactions est obligatoire pour tous, l'éligibilité à certains cas d'exemption est soumise à l'application d'une surveillance et d'un signalement accrus de la fraude.

Exemples de cas d'utilisation d'exemptions:

• Transactions récurrentes : Ceux-ci peuvent être exemptés de SCA si la valeur, le destinataire et le cycle récurrent sont les mêmes, comme dans le cas des abonnements.
• Transactions de faible valeur: Une dérogation peut être appliquée à un certain nombre de transactions de faible valeur (moins de 30 €) ou sans contact comme celles des parkings.
• Bénéficiaires de confiance (bénéficiaires) : Ceci est intéressant pour les services bancaires en ligne, lorsque le client met en sécurité un destinataire spécifique. Il est également intéressant pour le commerce électronique, si le client, après avoir authentifié son paiement, demande à la banque émettrice de marquer un commerçant spécifique comme étant de confiance. Dans un tel cas, SCA ne sera pas obligatoire pour les transactions ultérieures si la banque accepte d'appliquer cette exemption.
• Transactions à faible risque: Un autre exemple est celui des transactions à faible risque, avec le label «faible risque» déterminé par la banque sur la base d'un analyse des risques de transaction en temps réel de plusieurs points de données (comme le modèle de dépenses, l'emplacement anormal du payeur, etc.). Cette exemption est la plus délicate car elle nécessite une analyse supplémentaire, en plus des exigences générales de surveillance des transactions. Par exemple:
  • Le taux de fraude doit être équivalent ou inférieur au taux de fraude de référence.
  • Le montant de la transaction ne peut pas dépasser la valeur du seuil d'exemption.
  • Les normes d'analyse des risques de transaction (TRA) ont été respectées, ce qui signifie que l'EMR en temps réel devrait être en mesure d'identifier les facteurs suivants: dépenses ou comportement anormaux, accès aux appareils et logiciels, logiciels malveillants ou scénarios de fraude connus, localisation anormale du payeur, et le niveau de risque de l'emplacement du bénéficiaire.

Une description détaillée des exigences, ainsi que les fonctionnalités d'un système de surveillance de la fraude pouvant aider à répondre à ces exigences, sont disponibles dans notre livre blanc: Activation de la surveillance des fraudes conforme à PSD2 .

Amélioration de la sécurité et de l'expérience client grâce aux exemptions SCA

L'application réussie d'exemptions SCA à des flux d'authentification flexibles et adaptatifs est l'une des solutions pour réduire les frictions et résoudre le défi de l'expérience client. En lisant la liste des exemptions, vous remarquerez qu'elles sont toutes basées sur l'analyse des données, même si la gamme de données diffère d'un cas d'exemption à l'autre.
Il est important de prendre en compte les éléments suivants lors de la planification des flux basés sur les exemptions:

• Données de qualité suffisante: Les canaux numériques dotent les équipes d'analystes de la fraude d'une arme puissante: les données. Cela va des données collectées sur l'appareil de l'utilisateur aux données contextuelles concernant l'utilisateur et son compte (y compris les actions historiques et les modèles de dépenses). Le but est de créer une image complète et précise du contexte autour de la transaction.
  
  Un certain périmètre de suivi des transactions est obligatoire pour tous les paiements (selon Article 2 du RTS ). C'est pourquoi, lors de la collecte de données, les IF ne peuvent pas uniquement examiner le champ d'application répertorié sous une exemption spécifique. Ils ont besoin de données pour pouvoir évaluer à tout moment le risque de fraude d'une transaction
• Analyse fiable des données: Une solution fiable de surveillance de la fraude est nécessaire pour toutes les transactions, qu'elles soient exemptées ou non. Idéalement, pour fournir un résultat correct, il combinera des politiques axées sur les activités et les risques, alimentées par un moteur de règles et l'apprentissage automatique. Par exemple, dans le cas de l'exemption «bénéficiaire de confiance», un système de surveillance de la fraude ne reliera pas seulement le niveau de confiance du destinataire avec les exigences de SCA qui lui sont associées. Grâce à l'apprentissage automatique, il doit également évaluer le niveau de risque de chaque transaction, même pour les bénéficiaires «de confiance». La banque sera notifiée en temps réel si le niveau de risque associé à une transaction à un certain destinataire change.
• Actions et workflows appropriés en fonction des résultats de l'analyse: La collecte et l'analyse des données fournissent un résultat qui peut être intégré dans des flux de travail d'authentification avancés et flexibles. La transaction sera libérée si son niveau de risque est suffisamment bas. Des exemptions de SCA peuvent être incluses dans ces flux de travail flexibles, le moteur de gestion des risques analysant constamment les données en arrière-plan en temps réel. Ce processus ne retarde pas l'exécution de la transaction. De plus, cela profite à l'expérience client d'autres manières. Si les critères d'exemption sont remplis, le client suivra le processus en un clin d'œil. Si le moteur anti-fraude marque une transaction avec un score de risque dépassant un seuil défini, un flux de travail différent sera appliqué, intensifiant le défi d'authentification afin qu'il soit proportionné au risque.
• Rapports: L'établissement de rapports sur les taux de fraude est une exigence pour les exemptions fondées sur les risques. Par conséquent, il est essentiel de mettre en œuvre un outil de reporting complet qui détecte à la fois un niveau de risque de transaction accru et quand des changements dans la politique d'exemption doivent être appliqués. Dans l'idéal, un tel outil comprend un ensemble de modèles de rapport prédéfinis qui couvrent les exigences RTS et les directives sur le signalement de fraude sous PSD2.

Réflexions de clôture

Bien que nous n'ayons pas encore vu comment l'authentification forte du client changera le monde des paiements, nous nous attendons à ce que davantage d'IF et de commerçants en ligne mettent en œuvre des flux de travail d'authentification flexibles et intelligents qui guident le client tout au long de la transaction de manière transparente.

En tant que partenaire de sécurité de confiance des principales banques mondiales, OneSpan fournit des conseils spécialisés et techniques pour la conformité PSD2 SCA. Nous aidons les IF à comprendre la valeur des solutions d'authentification adaptatives basées sur l'analyse des risques, qui contribuent à la conformité PSD2 tout en éliminant les frictions de l'expérience client.