Et bien la Banque de France a récemment répondu de manière officielle en incluant le protocole EBICS dans la liste des procédures et protocoles exemptés d’authentification forte en application de l’article 17 du règlement délégué (UE) 2018/389. Celle-ci précise que « les prestataires de services de paiement sont autorisés à ne pas appliquer l'authentification forte du client à l'égard de personnes morales qui initient des opérations de paiement électronique au moyen de procédures ou de protocoles de paiement dédiés qui sont uniquement mis à la disposition de payeurs qui ne sont pas des consommateurs lorsque les autorités compétentes ont acquis la certitude que lesdits procédures et protocoles garantissent des niveaux de sécurité au moins équivalents à ceux prévus par la directive (UE) 2015/2366 ».
Le texte intégral peut être consulté à l’adresse suivante: https://www.banque-france.fr/stabilite-financiere/securite-des-moyens-de-paiement-scripturaux/2eme-directive-sur-les-services-de-paiement https://www.banque-france.fr/stabilite-financiere/securite-des-moyens-de-paiement-scripturaux/2eme-directive-sur-les-services-de-paiement
Attention cela ne signifie pas pour autant qu’EBICS ne supporte pas l’authentification forte, loin de là ! La certitude que le protocole EBICS garantit des niveaux de sécurité au moins équivalents à ceux prévus par la directive est acquise de longue date. D’ailleurs je vous invite à ce sujet à lire ou à relire l’article EBICS et DSP2 : comment vont-ils ensemble? publié dans ce blog il y a quelques mois.
Auteur: Marc Dutech
