L’usurpation d’identité est la technique privilégiée des fraudeurs. Et les préjudices financiers peuvent rapidement grimper : 14% des entreprises attaquées ont subi un préjudice supérieur à 100 000 euros. Face à cette menace, les autorités ont voulu proposer un cadre permettant d’assurer l’identification à distance. Ce cadre ou encore référentiel a été défini par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) en 2021 ; c’est le référentiel des Prestataires de Vérification d’Identité à Distance (PVID).
L’ACPR (Autorité de contrôle prudentiel et de résolution), dans le cadre de ses exigences d’entrée en relation à distance, a proposé aux établissements financiers et bancaires de s’appuyer sur ce référentiel.
Aujourd’hui, en France, tous les prestataires souhaitant répondre aux premières et cinquièmes mesures d’entrée en relation à distance du Code des Marchés Financiers sont concernés par cette certification : ils doivent répondre aux mêmes exigences et proposer le même parcours. Alors comment choisir parmi tous les prestataires PVID ?
Le référentiel PVID atteste que les prestataires répondent à des exigences précises pour réduire le risque d’usurpation d’identité en proposant un service certifié équivalent à un face à face.
Dans quel contexte le référentiel PVID est-il né ?
Le référentiel PVID est né du besoin de l’ACPR de se rassurer quant à l’usage de solutions de vérification de documents d’identité et de solutions biométriques dans l’identification d’un client à distance.
Elle a souhaité introduire dans les mesures de vigilance qu’elle acceptait l’usage de tels services à partir du moment où ils avaient fait l’objet d’une certification par l’ANSSI.
L’objectif ? Faire en sorte que les institutions financières et bancaires se conforment à la 5ème directive de la LCB-FT, à savoir la lutte contre le blanchiment d’argent et le financement du terrorisme, en utilisant des solutions dont la robustesse et la performance est attestée par l’ANSSI.
L’idée est de mettre en avant des solutions proposant un niveau de garantie substantiel (offrant la même fiabilité qu’une vérification d’identité en face à face) ou élevé (empêchant tout risque d’usurpation d’identité).
Comment recevoir la certification PVID ?
Aujourd’hui, tous les prestataires de vérification d’identité qui souhaitent répondre aux enjeux des mesures 1 et 5 du CMF concernant l’entrée en relation à distance doivent proposer une solution certifiée par l’ANSSI.
L’idée est, pour les sociétés de services, de se soumettre et d’attester que leurs services répondent en tout point aux exigences techniques et organisationnelles définies dans le standard établi par l’ANSSI en mars 2021.
Quelles sont les différentes étapes du processus de certification PVID ?
- Constitution du dossier : Le prestataire constitue un dossier qu’il transmet à l’ANSSI. Cette agence désigne un chargé de certification qui instruira cette demande.
- Evaluation : Plusieurs travaux d’évaluation sont menés tels que l’évaluation de la conformité du service, les tests informatiques et physiques pour la partie relative à la biométrie et les tests de l’efficacité du service pour la partie relative à l’identité.
A noter que l’ANSSI collabore avec le Bureau de la fraude documentaire de la DCPAF (Direction Centrale de la Police aux Frontières) et du département documents de l’IRCGN (Institut de Recherche Criminelle de la Gendarmerie Nationale). - Certification : Si le prestataire répond aux exigences, il se verra délivrer une certification par l’ANSSI qui atteste la conformité du service. Le prestataire sera donc en mesure de répondre à la demande des banques !
Pourquoi choisir une solution certifiée PVID ?
Plusieurs solutions conformes à la 5ème directive de la LCB-FT répondent aux obligations du processus d’entrée en relation à distance :
- La vérification d’un document d’identité et la réalisation d’un micro-paiement.
- La signature électronique qualifiée
- Une solution certifiée PVID, qui atteste de la conformité des services apportant une garantie équivalente au face à face. Elle répond à tous les cas d’usage.
Bien qu’elle ne présente pas les avantages d’une solution 100% digitale et instantanée, la solution certifiée PVID est la seule qui permette aux banques d’apporter une réponse aux populations non bancarisées. C’est pour cette raison qu’elle est d’abord et avant tout convoitée par les Banques.
Comment différencier chacun des prestataires PVID ?
Tous les prestataires certifiés PVID seront conformes aux exigences demandées : ils proposent une capture dynamique du titre d’identité, une capture vidéo et un contrôle manuel.
Alors quels sont les éléments à prendre en compte dans votre choix ?
- L’expérience utilisateur : quel est le prestataire qui propose le parcours le plus intuitif ?
IDnow accompagne et guide les clients dans ce parcours pour éviter les taux d’abandon. Des indications précises leur sont fournies jusqu’à la finalisation du process, ce qui fluidifie et simplifie le processus.
A titre d’illustration, nous pouvons citer le fait d’avoir introduit une capture statique en amont de la capture dynamique permettant à l’utilisateur : de ne pas avoir à typer le titre d’identité, de se voir refuser dès le début du parcours d’aller plus loin si la pièce est non éligible PVID ou non acceptée par le Commanditaire et d’intégrer de l’intelligence artificielle dans la capture de la vidéo du titre pour s’assurer de la capture de l’ensemble des éléments de sécurité visibles qui seront revus manuellement.
- Le temps de traitement : quel est le prestataire qui rend le verdict le plus rapidement possible ?
Si le temps de traitement d’une identification PVID est plus long (en raison des exigences plus strictes et de la revue manuelle effectuée),
IDnow garantit un résultat en maximum 6 minutes. A noter que ce temps est réduit en comparaison avec un face à face. - La capacité de traitement des différents documents : de quels documents le prestataire parvient-il à extraire les données ?
IDnow est en mesure de traiter les documents d’identité physiques à travers la vidéo du document mais aussi les documents d’identité électroniques afin d’en extraire les données depuis la puce.
Cette capacité permet de réduire le temps de traitement puisque dans ce cas, seule la vidéo de la personne devra être revue manuellement. - Le périmètre documentaire PVID : quelle est la couverture géographique proposée par le prestataire ?
IDnow couvre la totalité des documents d’identité, dans toute l’Europe afin de répondre aux exigences des autres pays.
Elle couvre par ailleurs les passeports tels que définis en annexe 2 du référentiel PVID. - La largeur du portefeuille produit des services connexes : quelles sont les autres solutions proposées par le prestataire ?
Les prestataires souhaitant obtenir la certification PVID doivent se conformer à des exigences techniques et organisationnelles en vue d’homogénéiser le niveau de service. Cinq éléments de différenciation sont cependant possibles : l’expérience utilisateur, le temps de traitement, la capacité de traitement des différents documents, la couverture géographique proposée et les services annexes.
Tout ce que vous devez savoir sur le référentiel PVID
Par
Rayissa Armata
Senior Head of Regulatory Affairs chez IDnow
Rejoignez Rayissa sur LinkedIn