Le protocole EBICS est-il exempt d’authentification forte au sens de la DSP2?

La question nous a été posée maintes fois, que ce soit par des Institutions financières Françaises ou Européennes, et il ne fut pas toujours évident de fournir une réponse suffisamment formelle.

Et bien la Banque de France a récemment répondu de manière officielle en incluant le protocole EBICS dans la liste des procédures et protocoles exemptés d’authentification forte en application de l’article 17 du règlement délégué (UE) 2018/389. Celle-ci précise que « les prestataires de services de paiement sont autorisés à ne pas appliquer l'authentification forte du client à l'égard de personnes morales qui initient des opérations de paiement électronique au moyen de procédures ou de protocoles de paiement dédiés qui sont uniquement mis à la disposition de payeurs qui ne sont pas des consommateurs lorsque les autorités compétentes ont acquis la certitude que lesdits procédures et protocoles garantissent des niveaux de sécurité au moins équivalents à ceux prévus par la directive (UE) 2015/2366 ».

Le texte intégral peut être consulté à l’adresse suivante: https://www.banque-france.fr/stabilite-financiere/securite-des-moyens-de-paiement-scripturaux/2eme-directive-sur-les-services-de-paiement https://www.banque-france.fr/stabilite-financiere/securite-des-moyens-de-paiement-scripturaux/2eme-directive-sur-les-services-de-paiement
 
Attention cela ne signifie pas pour autant qu’EBICS ne supporte pas l’authentification forte, loin de là ! La certitude que le protocole EBICS garantit des niveaux de sécurité au moins équivalents à ceux prévus par la directive est acquise de longue date. D’ailleurs je vous invite à ce sujet à lire ou à relire l’article EBICS et DSP2 : comment vont-ils ensemble? publié dans ce blog il y a quelques mois.

Auteur: Marc Dutech
Réactions :

0 commentaires:

Publier un commentaire