Paiement numérique : les nouvelles règles de la RBI sur les méthodes de paiement avec authentification à deux facteurs pour plus de sécurité

La Reserve Bank of India a présenté un nouveau projet de Cadre sur les mécanismes d'authentification alternatifs pour les transactions de paiement numérique, axé sur les différents formulaires d'authentification requis lors des paiements en ligne. La banque centrale a fait de la sécurité des paiements numériques sa priorité absolue. Cette décision a été motivée par l'accent mis sur la nécessité d'un facteur d'authentification supplémentaire (AFA) lors de la réalisation des transactions de paiement. Il est important de noter que les processus d'authentification n'avaient auparavant aucun critère spécifique en place.

L'agrégation des facteurs d'authentification (AFA) fait référence à l'utilisation de plusieurs facteurs pour vérifier une instruction de paiement. Dans le paysage actuel des paiements numériques, la méthode AFA la plus répandue implique l'utilisation de mots de passe à usage unique (OTP) par SMS.

Dans un communiqué de presse publié le 31 juillet 2024, la RBI a déclaré : « La Reserve Bank of India a donné la priorité à la sécurité des paiements numériques, en particulier à l’exigence d’un facteur d’authentification supplémentaire (AFA) pour effectuer des paiements. Aucun facteur spécifique n’a été imposé pour l’authentification, mais l’écosystème des paiements numériques a principalement adopté l’OTP basé sur SMS comme AFA. Bien que l’OTP fonctionne de manière satisfaisante, les avancées technologiques ont rendu disponibles des mécanismes d’authentification alternatifs. »

La banque centrale a également déclaré : « Toute pièce d’identité saisie par le client et vérifiée dans le but de confirmer l’identité de l’expéditeur d’une instruction de paiement. Les facteurs d’authentification sont globalement classés comme suit :

> Quelque chose que l'utilisateur connaît (comme un mot de passe, une phrase secrète, un code PIN)
> Quelque chose que l'utilisateur possède (comme une carte matérielle ou un jeton logiciel)
> Quelque chose qui caractérise l'utilisateur (comme une empreinte digitale ou toute autre forme de biométrie)

Sauf indication contraire dans le présent cadre, toutes les transactions de paiement numérique seront vérifiées grâce à l’utilisation d’un facteur d’authentification supplémentaire (AFA).

Selon le projet de la RBI, lors de la détermination de l'AFA approprié pour une transaction, les émetteurs tels que les banques et les non-banques peuvent utiliser une méthodologie basée sur le risque qui prend en compte la valeur de la transaction, le canal d'origine, les profils de risque du client et/ou du bénéficiaire, entre autres facteurs. Les émetteurs doivent mettre en place un mécanisme pour informer les clients de toute transaction de paiement numérique éligible presque instantanément.

Selon le projet de cadre de la RBI, les paiements par carte sans contact de faible valeur, les mandats électroniques pour les transactions récurrentes, les paiements de services publics via certains instruments prépayés et les paiements numériques de faible valeur en mode hors ligne ne sont pas soumis aux exigences de l'AFA.

Transactions par carte de faible valeur pour des valeurs allant jusqu'à 5 000 roupies par transaction en mode sans contact aux terminaux de point de vente (PoS).

Les mandats électroniques pour les transactions récurrentes au-delà du paiement initial sont autorisés pour les catégories et limites de transaction suivantes :

a) Souscription à un fonds commun de placement : jusqu'à Rs 1 00 000.

b) Paiements des primes d’assurance.

c) Paiements de factures de carte de crédit.

Pour toutes les autres catégories de transactions, les mandats électroniques sont autorisés pour des valeurs allant jusqu'à 15 000 roupies.

Utilitaire via certains instruments prépayés / NETC :
Les catégories d’instruments/systèmes suivantes : Instruments prépayés (PPI) émis dans le cadre des PPI – Services de transport en commun et PPI cadeaux.
Transactions dans le système national de télépéage (NETC)

Lors de sa réunion de février, la banque centrale a mentionné qu'au cours des dernières années, les méthodes d'authentification alternatives ont augmenté en raison des progrès technologiques. Par conséquent, il existe un besoin croissant de mettre en œuvre une structure fondée sur des principes pour l'authentification des transactions de paiement numérique.

Le gouverneur de la RBI, Shaktikanta Das, a déclaré : « Grâce aux innovations technologiques, des mécanismes d'authentification alternatifs ont émergé ces dernières années. Pour faciliter l'utilisation de ces mécanismes pour la sécurité numérique, il est proposé d'adopter un « Cadre d'authentification des transactions de paiement numérique » fondé sur des principes. Des instructions à cet égard seront publiées séparément. »

La banque centrale a déclaré qu'elle publierait séparément des directives complètes qui décriront les spécificités de ce cadre d'authentification fondamentalement basé.