Authentification forte du client
L'authentification forte du client (Strong Customer Authentication - SCA) est une exigence réglementaire européenne imposant une vérification en deux facteurs minimum pour les paiements électroniques et l'accès aux comptes en ligne. Elle combine au moins deux éléments parmi la connaissance, la possession et l'inhérence.
Introduite par la directive PSD2/DSP2 et précisée par les normes techniques réglementaires (RTS) de l'Autorité bancaire européenne (EBA), la SCA impose que toute opération de paiement électronique ou accès sensible à un compte soit authentifié par au moins deux des trois facteurs suivants : un élément de connaissance (mot de passe, code PIN), un élément de possession (téléphone, carte à puce) et un élément d'inhérence (empreinte digitale, reconnaissance faciale). Ces facteurs doivent être indépendants les uns des autres.
La SCA s'applique aux paiements initiés par le payeur, aux accès aux comptes de paiement en ligne et aux opérations à distance présentant un risque de fraude. Certaines exemptions sont prévues pour fluidifier l'expérience utilisateur : transactions récurrentes de même montant, opérations de faible valeur (moins de 30 €, avec plafond cumulatif), bénéficiaires de confiance ou transactions à faible risque selon l'analyse en temps réel (TRA).
Pour les acteurs du KYC et de la vérification d'identité, la SCA représente à la fois un standard de sécurité complémentaire et un point d'intégration technique. La vérification biométrique utilisée dans le KYC (reconnaissance faciale, détection du vivant) peut servir de facteur d'inhérence pour la SCA, créant une synergie entre l'onboarding client et la sécurisation des transactions ultérieures.
Réglementations
Exemples concrets
- 1Un client effectue un virement de 500 € depuis son application bancaire : la banque lui demande de confirmer l'opération par son empreinte digitale (inhérence) après avoir saisi son mot de passe (connaissance), satisfaisant ainsi l'exigence SCA.
- 2Un e-commerçant intègre le protocole 3D Secure 2.0 pour les paiements par carte en ligne : le client reçoit une notification push sur son smartphone (possession) et valide par reconnaissance faciale (inhérence) pour les transactions supérieures à 30 €.
- 3Une plateforme de leasing applique l'exemption TRA pour les mensualités récurrentes de ses clients après une première authentification forte, réduisant les frictions tout en maintenant la conformité PSD2.