DSP2 et Authentification forte (SCA)

L'authentification forte dite « SCA » est une nouvelle exigence européenne, mise en place pour améliorer la sécurité des paiements en ligne. C'est un processus qui consiste à rajouter des niveaux d’authentification pour effectuer un achat.

Dans le passé, les clients pouvaient simplement entrer leur numéro de carte et le code CVC. Mais avec la directive DSP2, plus d'informations seront nécessaires. Il existe cependant des exemptions, que nous allons vous présenter dans cet article.

Plus récemment, l'outil d’authentification employé par les réseaux de cartes pour vérifier les transactions en ligne s'appelait 3D Secure 1.0. Vous le connaissez déjà : c'est l'outil qui vous redirigait vers une nouvelle page, où vous deviez saisir un code. Maintenant, il y a 3D Secure 2. Un nouveau moyen de faciliter la collecte d'informations SCA (Strong Customer Authentification) au moment de la transaction. Nous vous en parlons plus en détails à la fin de cet article.

Avant la mise en place de l'authentification forte et du protocole 3D Secure 2, les banques émettrices vérifiaient l'identité des acheteurs avec un mot de passe. Un mot de passe dont les clients devaient se souvenir. Et bien sûr, les mots de passe sont facilement oubliés.

Désormais, des données plus personnelles seront utilisées pour vérifier l'identité des acheteurs. Ainsi, au lieu de compter sur le traditionnel « Quelque chose que vous savez » (ce fameux mot de passe toujours oublié), vos clients peuvent combiner « Quelque chose qu'ils possèdent », comme leur smartphone, avec « Quelque chose qu'ils sont », comme une empreinte digitale. Cette approche est souvent appelée « l'authentification à deux facteurs ».

Résumons :

Le nombre de données d'authentification requises augmente, mais donner plus de choix aux clients signifie leur offrir de meilleures expériences d'authentification et ainsi moins d'abandons.

Même si la DSP2 vise à rendre obligatoire la SCA pour toutes les transactions en ligne, certaines exemptions sont prévues. Votre acquéreur sollicitera l’exemption la plus appropriée à chaque transaction. Ces exemptions permettent aux consommateurs de continuer à profiter d'expériences d'achat en ligne agréables, tout en renforçant la sécurité pour leurs paiements plus importants et moins fréquents.

Ces exemptions permettent aux consommateurs de continuer à profiter d'expériences d'achat en ligne agréables, tout en renforçant la sécurité pour leurs paiements les plus importants et moins fréquents.

Voici les exemptions les plus pertinentes :

Les paiements à faible montant et à risque faible exemptés de SCA

Les transactions d'un montant inférieur à 30 EUR seront exemptées d'authenfication forte (SCA).

Toutefois, la banque émettrice gardera une trace du montant des paiements effectués. Si, sur une période de 24 heures, le total des montants versés sans authentification SCA depuis une même carte est supérieur à 100 euros, celle-ci sera requise. Il en va de même par tranche de 5 transactions journalières.

Les transactions à risque faible sont également exemptées de SCA. Le niveau de risque d’un paiement est évalué en fonction du taux moyen de fraude chez l’émetteur de la carte et chez l’acquéreur qui traite la transaction.

Les abonnements et opérations récurrentes et la SCA

Tant qu'ils sont d'un montant constant, les frais d'abonnements et les transactions récurrentes seront exemptés à partir de la deuxième transaction. Seule la transaction initiale requiert une procédure SCA. Si le montant est modifié, l'authentification via 3D Secure sera demandée à chaque changement.

Cela pose un problème aux entreprises qui ont des rentrées d'argent fluctuantes et dont les montants varient au fil du temps : c'est le cas, par exemple, d’un abonnement dont le coût augmente au terme d'une période d'essai. Les organismes de réglementation ont donc confirmé que « les transactions initiées par le e-commerçant » ne sont pas du tout concernées par les exigences de la DSP2 en matière de SCA. Puisque la plupart des transactions récurrentes sont initiées par le commerçant et non par le titulaire de la carte, cela signifie que la plupart des versements d’abonnement ne seront pas concernés par la procédure SCA (Strong Customer Authentification).

Les marchands sur liste blanche exemptés de SCA

Les clients peuvent ajouter des « bénéficiaires de confiance » à une liste blanche, qui sera conservée par leur banque. Les commerçants sur liste blanche ne sont pas concernés par l'authentification via 3D Secure.

Les transactions MOTO

Les commandes de type MOTO (Mail Orders and Telephone Orders), qui sont passées par courrier ou par téléphone, seront systématiquement exemptées d'authentification via 3D Secure. En effet, ces transactions ne sont pas considérées comme des paiements en ligne et ne rentrent donc pas dans le cadre de la règlementation qui nous intéresse.

Les transactions inter-régionales

Lorsque l’émetteur d'un paiement ou l’acquéreur de la carte ne sont pas basés en Europe, la transaction est également considérée comme exemptée. Après l'entrée en vigueur de la législation, il ne sera donc pas problématique d'accepter en Europe des paiements venant d'acheteurs hors Europe.

Les paiements par carte d'affaires

Les paiements effectués par carte professionnelle ne sont pas concernés par la réglementation relative à la SCA (Strong Customer Authentification).

La liste des exemptions est longue et dépend largement de l'interprétation des banques et des réglementations.

La bonne nouvelle pour nos clients est que notre service Dynamic 3D Secure aidera les entreprises à naviguer dans ces complexités et à bénéficier automatiquement des exemptions lorsque cela est possible.

Cela signifie que vos clients n'auront besoin d'authentifier les transactions qu'en cas de nécessité absolue.

L'expérience proposée par 3D Secure 1.0 n’était pas particulièrement agréable pour vos clients, surtout depuis un appareil mobile. Malgré la sécurité qu'il offre, ce processus est susceptible de faire baisser les conversions et de vous coûter, en tant que retailers, du chiffre d'affaires.

Pour faire face aux nouvelles exigences de la DSP2 et améliorer l'expérience du 3DS 1.0, EMVco, un organisme regroupant des représentants des principaux réseaux de cartes et des leaders de l’industrie du paiement, a créé le protocole 3D Secure 2 avec un nouvel objectif : proposer une authentification plus dynamique et plus sûre.

Avec 3DS 2, on oublie la redirection. Vos clients peuvent s’authentifier du bout des doigts ou en souriant à la caméra. 3DSecure 2 utilise des SDK et des API certifiés pour partager les données d'authentification avec les banques, rendre transparents les flux d'authentification dans les sites internet et les applications, tout en répondant aux exigences SCA de DSP2.

Même si le processus SCA posera problème à certaines entreprises, notre nouvelle solution 3D Secure 2 a été conçue pour amortir le choc. Nous espérons qu'en comprenant comment la directive DSP2 définit l'authentification forte (SCA) et les dérogations associées, vous serez en mesure d'appréhender l'arrivée de la réglementation en toute sérénité avec l'assurance que nous sommes à vos côtés.