Centre d'aide SlimPay

DSP2 et authentification forte sur les paiements carte

Sommaire

Contexte

La fraude sur les paiements existe en vaste majorité en ligne, en particulier sur les paiements effectués par carte bancaire.
L'objectif de tout l'écosystème de paiement est de protéger efficacement l'activité des marchands tout en offrant une expérience de paiement fluide aux consommateurs, afin de maximiser le taux de conversion tout en limitant la fraude.

Le challenge auquel font face les marchands est de trouver le bon compromis entre lutte contre la fraude et optimisation de l'expérience utilisateur.

Dans ce cadre, la deuxième version de la Directive des Services de Paiement (DSP2) entre en vigueur depuis septembre 2019 et vise entre autre ce double objectif.

Dans ce cadre, l’ensemble des transactions par carte bancaire devront se soumettre à l’authentification forte.

 

L'authentification forte (SCA)

L'authentification forte du client (Strong Customer Authentication, SCA) exige au moins deux de ces 3 facteurs :  

1.png   2.png   3.png
Inhérence   Connaissance    Possession
 Un élément définissant le payeur (e.g. empreintes digitales, reconnaissance facile)             Un élément que le payeur connaît (e.g. PIN, mot de passe)            Un élément que le payeur possède (e.g. téléphone, token)   

 

Un des pré-requis de la DSP2 est d'authentifier fortement toute création d'alias pour utilisation future.

Ceci a des implications fortes dans l'économie de l'abonnement puisque vos abonnés devront systématiquement authentifier fortement leur premier paiement, que ce soit avec 3D Secure 1 ou 3D Secure 2.

Pour ce qui est des paiements one-off (sans enregistrement des données carte pour utilisation future), la DSP2 stipule que dans certains cas, il y aura des exemptions à l'authentification forte.

 

3D Secure

3D Secure est un protocole sécurisé dont l'objectif principal est de limiter l'utilisation frauduleuse des cartes bancaires, en assurant que tout paiement en ligne par carte bancaire est bien effectué par son titulaire.

En 2021 deux versions de 3D Secure coexistent et répondent au prérequis d'authentification forte dicté par la DSP2 :

  • Le 3D Secure 1, la méthode existante basée sur l’envoi d’un code SMS sur le mobile du payeur : cette dernière méthode reste conforme à la DSP2 a minima jusqu’au 31 décembre 2021
  • Le 3D Secure 2, la nouvelle méthode de double authentification directement sur l’application bancaire du payeur

 

Les étapes clés de la migration vers la SCA

La Banque de France ainsi que l'Autorité Bancaire Européenne (ABE) ont opté pour une implémentation progressive d'une nouvelle infrastructure afin d'assurer une conformité à la DSP2. Après déploiement, pour chaque transaction, cette nouvelle infrastructure assurera les points suivants :

  • Vérifier la nécessité d'une authentification forte sur la transaction
  • Stocker la nature de la transaction et les besoins du marchand
  • Gérer les cas d'exemption (tels que définis par les normes techniques de réglementation) et le transfert de responsabilité en cas d'authentification

 

Les étapes clés de l'implémentation de l'authentification forte en France : 

3DS_timeline_France.png

 

Depuis la mise en place de ce plan, il est important de noter que seule une faible proportion des transactions concernées a subi un soft-decline (refus de la banque émettrice pour motif absence d'authentification)

Cependant une montée en cadence progressive de ces soft-declines est en cours afin de finaliser la migration vers l'authentification forte systématique prévue au 15 mai 2021.

 

Les transactions hors scope

Les paiements qui rentrent dans le cadre des normes techniques de réglementation (NTR) de l'authentification forte sont les paiements qui vérifient ces deux conditions :

  • Les paiement électroniques
  • Les paiements initiés par le porteur de carte

L'Autorité Bancaire Européenne (ABE) a explicitement désigné ces trois types de paiements comme étant hors scope par rapport aux normes de l'authentification forte : 


mit.png
Transactions initiées par le marchand (y compris les abonnements variables)
Paiements pour lesquels le montant n'est pas initialement connu. Ce sont des paiements réalisés lorsque le porteur de carte n'est pas présent, à l'aide de données carte enregistrées.
Pour bénéficier de cette dérogation, l'enregistrement des données carte doit être authentifié.
Le marchand doit aussi obtenir l’accord du payeur (mandat) pour être autorisé à débiter sa carte ultérieurement. 

 

leg.png
Les paiements One leg
Lorsque la banque du payeur ou la banque du marchand se trouve en dehors de l'UE, aucune authentification ne sera effectuée.

 

moto.png
Les paiements de type Mail Order / Telephone Order (MOTO)
Les paiements par courrier et par téléphone ne sont pas considérés comme des paiements électroniques.

   

Les exemptions

Dans le cas d'un paiement one-off uniquement, la DSP2 prévoit des cas d'exemption à l'authentification forte du payeur.

En tant que fournisseur de paiement, SlimPay est en mesure de demander ces exemptions lors du traitement du paiement : la banque du titulaire de la carte recevra alors la demande, évaluera le niveau de risque de la transaction selon certains critères, puis décidera ou non de la faire bénéficier d'une exemption.

Voici la liste des cas d'exemption :

low.png
Les paiements de moins de 30€
Tous les paiements inférieurs à 30€ seront soumis à cette exemption. Nous estimons qu'environ 50% de toutes les transactions en ligne relèveront de cette exemption.
Cependant, ces exonérations ne seront pas valables si le montant total débité sur la carte depuis la dernière authentification est supérieur à 100€, ou si plus de cinq transactions ont été effectuées sur la carte depuis la dernière authentification.

 

fixed.png
Les abonnements à montant fixe
Le payeur effectue une série de paiements récurrents de même montant, chez le même commerçant.
Une authentification forte sera requise pour le premier paiement du payeur uniquement : il n'y aura pas d'authentification pour les paiements suivants.

 

trusted.png
Les bénéficiaires de confiance 
Un payeur peut choisir de d'ajouter un marchand à sa liste de bénéficiaires de confiance afin d'éviter l'authentification pour les paiements futurs.

 

risk.png
Les paiements à faible risque / Analyse de risque
Exemption à l'initiative de la banque émettrice :
l'émetteur de la carte peut appliquer une exemption TRA (Transaction Risk Analysis) même si vous ne l'avez pas demandée. Nous vous conseillons d'envoyer des données supplémentaires dans votre requête de paiement afin d'augmenter les chances d'obtenir cette exemption.
Exemption à l'initiative du PSP : Les prestataires de paiement peuvent demander de ne pas authentifier fortement une transaction et obtenir raison, dans le cas où leur taux de fraude ne dépasse pas certains seuils prédéfinis.

 

Transfert de responsabilité en cas de fraude

Lorsque SlimPay gère la conformité PSD2 pour vous, une exemption est demandée en votre nom chaque fois que cela est possible et une authentification forte est demandée au payeur à chaque fois que la banque l'exige.

Selon le Conseil européen des paiements :

« La DSP2 prévoit que le payeur peut réclamer un remboursement total de la part du fournisseur de services de paiement en cas de paiement non autorisé, si aucune mesure de SCA n’était mise en place et si le payeur n’a pas commis d’acte frauduleux. »

Cela signifie qu'en cas de fraude sur des transactions qui ont bénéficié d'une exemption, vous serez responsable des chargebacks liés à ces transactions : il n'y a pas de transfert de responsabilité vers la banque émettrice.

Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 0 sur 0