Dans les jours précédant le commerce électronique, avant que les intrusions de données ne touchent tout, des numéros de sécurité sociale aux mots de passe, avant que les fraudeurs ne commencent à créer des identités synthétiques, une authentification forte des clients était plutôt simple. Vous avez remis votre permis de conduire à la caissière, qui a apparié vos signatures et regardé la photo – et vous vous êtes assuré, en temps réel, que vous étiez bien ce que vous aviez dit.
Le mandat de PSD2 a été retardé dans la mesure où les entreprises de commerce électronique adoptent un processus de vérification en deux étapes pour les achats en ligne d’un montant supérieur à 30 euros.
Bien que différée, la migration aura lieu. Et dans ce contexte, dans une interview accordée à Karen Webster par PYMNTS, le PDG d’Ekata, Rob Eleveld, a expliqué les subtilités de la mise en place d’un système de vérification robuste – et des défis à venir pour les marchands et les fournisseurs de services de paiement lorsque SCA finira les aubes.
Comme le monde le sait désormais, SCA demande aux clients de procéder à la vérification en deux étapes en proposant l’un des éléments suivants: quelque chose dont ils disposent; quelque chose qu'ils savent; ou quelque chose qu'ils sont (via l'identifiant biométrique, par exemple).
La mécanique mise à part, a déclaré Eleveld, il est nécessaire de réunir les attributs numériques et physiques du monde pour offrir aux commerçants une meilleure expérience d'authentification, une expérience qui offre également aux consommateurs une meilleure expérience, ce qui stimule à son tour les conversions.
«Nous vivons dans un monde numérique», a déclaré Eleveld. "Il est facile de perdre de vue le fait que ce que nous essayons vraiment de faire est simplement de déterminer s’il ya ou non une personne physique derrière cette transaction."
Identifiant Identité
Pour élaborer une stratégie d’authentification réussie, a déclaré Eleveld, il est important que les marchands et les prestataires de services de paiement réalisent que l’identité est composée de plusieurs attributs différents, reflétant bien différents sites centralisés et décentralisés.
À propos d’Ekata, il a déclaré: «Nous faisons partie d’un écosystème décentralisé qui tente de fournir des informations numériques pour authentifier une personne.»
Dans le modèle décentralisé, a-t-il déclaré, les marchands et les fournisseurs de services de paiement utilisent des données qu'ils assemblent eux-mêmes, ou peut-être se connectent-ils avec un fournisseur pour collecter les données des consommateurs, en les faisant suivre à un modèle d'apprentissage automatique .
Les données elles-mêmes peuvent être centralisées ou décentralisées, a déclaré Eleveld.
En ce qui concerne les conduits centralisés, certains des attributs qui nous viennent à l’esprit pour identifier les individus incluent ceux rassemblés, stockés et utilisés par les organismes gouvernementaux.
Eleveld a déclaré que partout en Europe et aux États-Unis, les autorités centralisées recueillent et diffusent des informations d'identification personnelle (PII) telles que les numéros de sécurité sociale et d'autres variantes d'identificateurs nationaux. Ces points de données, dit-il, relèvent de la désignation de statique PII.
"Le problème avec les données centralisées est qu’elles sont très compromises", a-t-il déclaré à Webster, "et parce qu’elles ne changent pas (car elles sont statiques), une fois qu’elles sont compromises, elles ne fonctionnent pas aussi bien pour l’authentification. Les données sont là-bas et quelqu'un d'autre peut les utiliser pour l'authentification ou la fraude. "
Les données compromises incluent bien sûr les mots de passe. Eleveld a déclaré à Webster que le mot de passe constituait peut-être le maillon faible du mandat de SCA, car les mots de passe sont souvent oubliés par les consommateurs ou sont déjà accessibles aux fraudeurs.
PII dynamique
Dans le monde de plus en plus mobile et de plus en plus axé sur la technologie, les individus sont liés à différents types de données personnelles, et si nous nous abstenons d'utiliser des données personnelles statiques, nous devrons commencer à utiliser ce que nous appelons des données personnelles dynamiques. "
Selon Eleveld, ce type de données comprend des adresses électroniques, des adresses IP et des adresses physiques, dont beaucoup sont fluides et peuvent changer fréquemment. Dans un exemple, a-t-il déclaré, 20% de la population américaine déménage chaque année et la connaissance de nouvelles adresses peut être utilisée pour garder une longueur d’avance sur les fraudeurs.
Ces pièces de puzzle peuvent être liées pour former une image composite d’un individu. À titre d'exemple, il a déclaré qu'Ekata dispose d'une base de données de portée mondiale contenant 5 milliards d'attributs, tous liés aux personnes.
D'autres fournisseurs, a-t-il déclaré, se concentrent sur les identifiants de périphériques, vérifiant si une personne a déjà utilisé un navigateur pour effectuer une transaction ou se connecter à son compte bancaire par le passé.
Comme Eleveld l'a dit, «Si j'ai toutes ces informations liées à moi et que je suis sur un appareil qui a déjà été utilisé, ce sont des choses qui aident à construire une image. [for merchants] que «c’est probablement cet individu».
Les données comportementales sont également utiles, a-t-il déclaré, et peuvent embrasser le plus infime nombre de détails, tels que la manière dont une personne appuie sur un clavier ou un écran. Un retour sur l'historique des transactions peut permettre de détecter des erreurs ou des anomalies – par exemple, il est peu probable qu'un consommateur effectue des transactions avec des dizaines de marchands en un jour ou deux.
Avec un cryptage crypté (une méthode dans laquelle les données sont converties en chaînes de texte uniques), des transactions anonymisées sur le «réseau d’identité» d’Ekata, a déclaré Eleveld, donnent une image claire du comportement du consommateur.
«Nous commençons à voir des tendances entre la fréquence à laquelle ce numéro de téléphone a été utilisé, l'adresse de livraison ou la fréquence à laquelle une adresse électronique a été associée à ce numéro de téléphone ou à une adresse IP», a-t-il déclaré.
Le besoin d'apprentissage automatique
Selon Eleveld, ces modèles ne peuvent être découverts qu’avec des modèles axés sur l’apprentissage automatique.
«Il existe plusieurs éléments de ces données décentralisées», a-t-il déclaré à Webster. "La plupart des commerçants et des prestataires de services de paiement obtiennent ces données de plusieurs sources de manière décentralisée et, dans certains cas, ils les obtiennent de leurs propres clients."
Mais comme les fraudeurs ont tiré parti de la puissance de calcul et ont saisi des données, a-t-il déclaré, la précision requise pour reconnaître tous les modèles et les lier entre eux en informations exploitables nécessite l'automatisation et l'intelligence artificielle (IA).
Pourquoi ça ne suffit pas
Même avec toutes ces données, statiques et dynamiques, avec l'apprentissage automatique, les moteurs d'identité cherchant à vérifier les transactions et les consommateurs légitimes, Webster a posé la question suivante: Ce que nous avons en jeu est-il déjà assez bon? Avons-nous vraiment besoin des exigences de la SCA proposez-vous?
Eleveld a déclaré que le jury était toujours absent. L'image mentale que de nombreux marchands ont pu avoir pour l'authentification des clients peut concerner des services, tels que Vérifié par Visa, où les fenêtres contextuelles demandent aux consommateurs de plus amples détails. Au-delà de l'invite contextuelle, a-t-il dit, jusqu'à présent, aucun intérêt particulier n'a été porté à SCA, car les régulateurs ne l'avaient pas demandé jusqu'à ce que PSD2 fasse ses débuts.
«De nombreux acteurs, y compris nous, tentent de comprendre comment aider les commerçants et les prestataires de services de paiement et l’écosystème à respecter les exigences de la réglementation sans pour autant créer des frictions dans le processus», a-t-il déclaré. «C’est une cible mouvante en ce moment. Personne ne comprend vraiment ou n'a une bonne idée de la façon dont cela va se dérouler. "
Même avec les retards, certaines questions fondamentales concernant SCA persistent, a déclaré Eleveld. Il a souligné le fait que, pour le moment, il n'y a pas de précédent sur la question de savoir si la présence d'identifiants de périphériques peut être «assez bonne» pour satisfaire à l'exigence «de ce que vous avez» des lois d'authentification.
En l'absence de normes codifiées sur ce qui est «assez bon», il a déclaré qu'Ekata travaillait avec des entreprises clientes pour développer et affiner des modèles de base fonctionnant avec des lots de transactions, ainsi que pour examiner les rétrofacturations et les faux positifs afin de déterminer si les données étaient compatibles. En fait, être utilisé est «assez bon» pour SCA et pourrait résister à l'épreuve des audits des régulateurs.
Il existe au moins une feuille de route pour les régulateurs en place, a-t-il déclaré, soulignant le fait que les modèles de notation du crédit sont en place depuis des décennies et constituent un exemple réussi de gouvernance de modèle.
Mais pour l’instant, il a déclaré: «Il n’existe pas de« jurisprudence »permettant de codifier ce qui répond aux normes. Le défi, c’est que les régulateurs vont devoir prendre les devants et prendre des engagements quant à ce qu’ils vont juger «assez bon» et ce qui ne l’est pas. »
