La DSP2, Directive Européenne sur les Services de Paiement 2, est une directive européenne mise en application depuis le 13 janvier 2018 dont l’objectif est d’augmenter la sécurité des transactions en ligne.

 

 

Cette directive comprend plusieurs obligations en matière de paiement en ligne. L’une d’entre elles,  la mise en place d’un nouveau standard de 3-D Secure (le 3-D Secure 2.0), devait être appliquée initialement le 14 septembre 2019.

 

L’Autorité bancaire européenne a publié un avis le 16 octobre 2019 officialisant l’octroi d’un délai supplémentaire permettant aux acteurs du marché de se conformer aux nouvelles dispositions de la directive, la nouvelle date butoir est donc fixé au 31 décembre 2020.

Cette mise en conformité des solutions d’authentification pour les paiements en ligne doit se faire sous la responsabilité des autorités nationales de supervision.

 

L’un des objectifs de la DSP2 est de lutter contre la fraude en renforçant l’authentification du payeur (Strong Customer Authentication – SCA) en vérifiant que la personne qui procède à un achat en ligne est sans aucun doute possible le propriétaire de la carte bancaire utilisée.

Le 3-D Secure 2.0

Actuellement le moyen le plus utilisé est le 3DSecure.

 

À partir du 14 septembre, l’authentification du porteur de carte bancaire se fera via le 3-D Secure 2.0 qui permet la gestion de deux modes d’authentification différents.

 

1ère méthode : l’authentification forte

La combinaison de deux éléments d’authentification indépendants l’un de l’autre parmi les trois domaines suivants :

• Possession , quelque chose que l’on possède : Smartphone / carte SIM / Clé physique…

• Connaissance, quelque chose que l’on connaît : Mot de passe / date de naissance d’un tiers / numéro d’identification…

• Inhérence, quelque chose qui caractérise : Reconnaissance faciale / vocale / empreintes digitales …

Le client confirme sont « authentification » en saisissant un code qui lui a été envoyé comme actuellement avec le 3DSecure.

 

 

2nd méthode : l’authentification sans friction

L’authentification se fera de manière transparente pour votre client, grâce aux données échangées automatiquement, le terminal utilisé lors d’une transaction, le lieu de livraison, la manière de naviguer sur le site, etc. (la DSP2 donne une liste d’informations obligatoires), entre la solution de paiement et la banque du client.
Dans ce cas le client ne sera pas soumis au 3-D Secure 2.0.

 

 

Lors du passage de commande ce sera la banque émettrice, c’est-à-dire celle du cyberacheteur, qui choisira de lancer un protocole d’authentification forte, ou non, qui décidera pour ce dernier quels sont les points de contrôles qui devront être utilisés dans le cadre de l’authentification, en fonction de sa propre analyse des risques.
Auparavant les marchands avaient l’initiative et la responsabilité de la gestion de la fraude. Maintenant, ils pourront juste envoyer des profils à risque en fonction de leur scoring et de leur connaissance des clients. Ils indiqueront alors à la banque émettrice une recommandation : pas d’authentification demandée, authentification souhaitée ou authentification demandée.

 

 

À noter : toutes les transactions ne sont pas concernées par la mise en place du 3-D Secure 2.0.

• Les paiements à faible montant

Les paiements inférieurs à 30€, dans la limite de 100€ par jour et 5 transactions consécutives.

• Les paiements récurrents (abonnements)

Tant qu’ils sont d’un montant constant, les frais d’abonnements et les transactions récurrentes seront exemptés à partir de la deuxième opération. Seule l’opération initiale requiert une procédure SCA. Si le montant est modifié, l’authentification via 3D Secure sera demandée à chaque changement.

• Les marchands sur liste blanche

Les clients peuvent ajouter des « bénéficiaires de confiance » à une liste blanche, qui sera conservée par leur banque. Les commerçants sur liste blanche ne sont pas concernés par l’authentification via 3D Secure. Ceci permet d’éviter aux clients qui achètent régulièrement sur un site d’entrer des SCA supplémentaires.

• Les paiements par carte d’affaires

Les paiements effectués par carte professionnelle ne sont pas concernés par la réglementation relative à la SCA ; le système 3D Secure ne sera donc pas nécessaire.

• Les ventes par téléphone

L’impact sur le process de commande

Pour éviter que les paiements ne soient refusés, les marchands devront créer une étape supplémentaire d’authentification pour les paiements en ligne par carte bancaire. Du fait de l’ajout de cette étape, on peut craindre une dégradation du taux de conversion.

Il est donc recommandé d’augmenter le taux d’utilisation de l’authentification sans friction en envoyant à la banque émettrice un jeu de données client, associé à la commande, exhaustif permettant l’identification du porteur et de définir ces critères d’éligibilité.

L’objectif des réseaux carte bancaire est d’obtenir à terme 85% des paiements sans authentification du porteur tout en maintenant le transfert de responsabilité.

Quelques points d’attention pour anticiper ce passage du 14 septembre

• Comprendre le fonctionnement du 3-D Secure 2.0,
• Evaluer si vous pouvez bénéficier d’une exemption lors de chaque transaction,
• Prendre contact avec votre(vos) banque(s) acquéreur(s) et votre (vos) PSP pour comprendre comment seront gérées, en fonction de votre contexte, les authentifications fortes :
o Quelles données devez-vous transmettre pour enrichir le contexte de la transaction durant le process de paiement et permettre de limiter les recours à l’authentification forte ?
o Quelles sont celles qui sont obligatoires ou optionnelles ?
o Quelles sont vos critères pour demander ou pas une authentification forte dans le nouveau process ?
• Il faudra s’assurer que vos partenaires de paiements seront en mesure techniquement (acquéreurs, PAT …) de mettre en œuvre ces choix.
• Mettre à jour les contrats avec ces différents partenaires
• Faire une analyse d’impact du RGPD sur les données qui feront l’objet de ces nouveaux flux.
• Quelle mise à jour des CGV et/ou de la politique de confidentialité pour informer les clients de l’utilisation de données dans ce nouveau cadre.

Mise à jour

L’Autorité bancaire européenne a publié un avis le 16 octobre 2019 officialisant l’octroi d’un délai supplémentaire permettant aux acteurs du marché de se conformer aux nouvelles dispositions de la directive.

La date butoir est fixé au 31 décembre 2020.

Cette mise en conformité des solutions d’authentification pour les paiements en ligne doit se faire sous la responsabilité des autorités nationales de supervision.

By Tak-Shing

Directeur technique