Centre d'aide SlimPay

Comprendre le 3D Secure

La fraude en ligne représente une menace pour le business des marchands. Celle-ci compte pour environ 60 à 70% de la fraude carte.
Les marchands doivent protéger efficacement leur activité tout en offrant une expérience de paiement fluide, avec le moins d'étapes possible pour l'utilisateur, afin de maximiser sa probabilité de conversion.

Le challenge auquel font face les marchands est de trouver le bon compromis entre lutte contre la fraude et optimisation de l'expérience utilisateur.

 

Qu'est ce que le 3D Secure

3D Secure est un processus d'authentification de vos clients, dont le but est de protéger contre l'utilisation frauduleuse des cartes bancaires sur votre site ou plateforme, et sécuriser les données de paiement de votre client. Ce niveau d'authentification additionnel permet de réduire le risque de chargebacks.

 

L'authentification forte avec le 3D Secure 2.0

Dans le but d'améliorer la sécurité des clients dans les parcours en ligne, la DSP 2 impose l'authentification forte, ou authentification à 2 facteurs, en Europe.

L'authentification forte du client (Strong Customer Authentication, SCA), exige au moins deux de ces 3 facteurs :  

1.png   2.png   3.png
Inhérence   Connaissance    Possession
 Un élément définissant le client (e.g. empreintes digitales, reconnaissance facile)             Un élément que le client connaît (e.g. PIN, mot de passe)            Un élément que le client possède (e.g. téléphone, token)   

La DSP 2 stipule que dans certains cas, il y aura des exemptions à l'authentification forte.

Lorsqu'elle sera adoptée par les clients, cette méthode d'authentification contribuera à réduire les taux de fraude dans les paiements en ligne.

 

L'impact de la SCA sur votre activité

La DSP 2 s'adresse aux banques émettrices. Cela veut dire que les banque doivent se mettre en conformité avec ces nouvelles règles au risque de s'exposer à des sanctions.

Aujourd'hui, 3D Secure 1.0 , est l'outil d'authentification des paiements en ligne. 3D Secure 2 deviendra le nouveau moyen d'authentification des paiements à partir de 2021 pour la plupart des banques en Europe. Cette nouvelle version s'enclenchera ou pas en fonction du niveau de risque de chaque transaction, offrira une meilleure expérience utilisateur, et permettra de réduire la friction dans les parcours de paiements.

Tant que les nouvelles formes d'authentification telle que l'authentification biométrique, ne sont pas disponibles, le 3D Secure consistera en un simple 3D Secure 1 avec authentification par SMS. Cependant ces nouvelles formes devraient être disponible à partir de Janvier 2021.

 

Les étapes clés de la migration vers la SCA et le 3D Secure 2.0

La Banque de France ainsi que l'Autorité bancaire européenne (ABE) ont approuvé une mise en production progressive d'une nouvelle infrastructure afin d'assurer une conformité à la DSP 2. Après déploiement, pour chaque transaction, cette nouvelle infrastructure assurera les points suivants :

  • Vérifier la nécessité d'une authentification forte sur la transaction
  • Stocker la nature de la transaction et les besoins du marchand
  • Gérer les cas d'exemption (tels que définis par les normes techniques de réglementation - NTR) et le transfert de responsabilité en cas d'authentification

 

Les étapes clés de l'implémentation de la SCA: 

timeline.png

Selon le plan d'implémentation de l'authentification forte définit, à partir du 1er Avril 2020, il y aura : 

  • Un enclenchement systématique du 3D Secure 1 pour toutes les transactions soumises à la SCA
  • Une montée en cadence progressive du volume de transactions soumis au SCA : Afin de tester cette nouvelle infrastructure tout en gardant un risque minimale, ainsi que pour réduire les risques d'échec de paiement, les banques vont progressivement exiger la SCA sur les transactions.

 

Les transactions hors scope

Les paiements qui rentrent dans le cadre des normes techniques de réglementation (NTR) de l'authentification forte sont les paiements qui vérifient ces deux conditions :

  • Les paiement électroniques
  • Les paiements initiés par le porteur de carte

 L'Autorité bancaire européenne (ABE) a explicitement désigné ces trois types de paiements comme étant hors scope par rapport au NTR de la SCA : 


mit.png
Transactions initiées par le marchand (y compris les abonnements variables)
Paiements pour lesquels le montant n'est pas initialement connu. Ce sont des paiements réalisés lorsque le porteur de card n'est pas présent, à l'aide d'une carte sauvegardé.
Pour bénéficier de cette exemption, Le marchand doit authentifier la carte lors de son enregistrement ou lors du premier paiement. Le marchand doit aussi obtenir l’accord du client (mandat) pour être autorisé à débiter sa carte ultérieurement. 

 

leg.png
Les paiements One leg
Lorsque la banque du client ou la banque du commerçant se trouve en dehors de l'UE, aucune authentification ne sera effectuée.

 

moto.png
Les paiements de type Mail Order Telephone Order (MOTO)
Les commandes par courrier et par téléphone ne sont pas considérées comme des paiements électroniques.

   

Les exemptions à la SCA

La DSP 2 prévoit des cas d'exemption à l'authentification forte du client. En tant que fournisseur de paiement, SlimPay est en mesure de demander ces exemptions lors du traitement du paiement. La banque du titulaire de la carte recevra la demande, évaluera le niveau de risque de la transaction, puis décidera si elle peut bénéficier d'une exemption. L'authentification dans le parcours de paiement des marchands introduira une étape supplémentaire qui ajoute de la friction et peut diminuer la conversion des clients. Tirer profit des exemptions vous permettra de réduira le besoin d'authentifier votre client et ainsi réduire la friction.

 

 

low.png
Les paiements de moins de 30 €
Tous les paiements inférieurs à 30 € seront soumis à cette exemption. Nous estimons qu'environ 50% de toutes les transactions en ligne relèveront de cette exemption.
Cependant, ces exonérations ne seront pas valables si le montant total tenté sur la carte depuis la dernière authentification est supérieur à 100 € ou plus de cinq transactions ont été tentées sur la carte depuis la dernière authentification.

 

fixed.png
Les Abonnements à montant fixe
Le client effectue au même commerçant, une série de paiements récurrents ayant le même montant.
Une authentification forte sera requise pour le premier paiement du client uniquement. Il n'y aura pas d'authentification pour les paiements suivants

 

trusted.png
Les bénéficiaires de confiance 
Un client peut choisir de d'ajouter un marchand à sa liste de bénéficiaires de confiance afin d'éviter l'authentification pour les paiements futurs

 

risk.png
Les paiements à faible risque / Analyse de risque
Exemption à l'initiative de la banque émettrice:
l'émetteur de la carte peut appliquer une exemption TRA (Transaction risk analysis) même si vous ne l'avez pas demandée. Nous vous conseillons d'envoyer des données supplémentaires dans votre requête de paiement afin d'augmenter les chances d'obtenir cette exemption.
Exemption à l'initiative du PSP:  Les prestataires de paiement peuvent avoir la possibilité d'appliquer ou non SCA à une transaction. Cependant, les prestataires de paiement doivent veiller à ce que leurs taux de fraude ne dépassent pas certains seuils prédéfinis.

 

Transfert de responsabilité en cas de fraude

Lorsque SlimPay gère la conformité PSD2 pour vous, nous demandons automatiquement des exemptions en votre nom chaque fois que cela est possible et demandons au client une authentification forte à chaque fois que la banque l'exige.

Selon le Conseil européen des paiements : « La DSP2 prévoit que le payeur peut réclamer un remboursement total de la part du fournisseur de services de paiement en cas de paiement non autorisé, si aucune mesure de SCA n’était mise en place et si le payeur n’a pas commis d’acte frauduleux. » Cela signifie qu'en cas de Fraude sur des transactions qui ont bénéficié d'une exemption, vous serez responsable des chargebacks liés ces transactions. Il n'y a pas de transfert de responsabilité vers l'émetteur

  

Être conforme avec la SCA

SlimPay vous assurera de tirer le meilleur parti de l'authentification forte du client: réduire la fraude sur les transactions à risque tout en évitant les abandons de clients spécialement pour les transactions à faible risque. Nous veillerons à ce que vous bénéficiez d'exemptions à chaque occasion que cela est possible.

Notre API et notre Checkout seront conformes à la SCA au 1er juin 2020.

Si vous êtes déjà en production, nous avons établi un plan de migration qui explique comment commencer à utiliser 3D Secure. Selon le scénario de paiement de votre entreprise, Il se pourrait que vous ayez à mettre à jour l'intégration de notre API.

Dates importantes à retenir:

  • Avril 2020: La SCA devient obligatoire pour les transactions de plus de 500 euros. 
  • Juillet 2020: SlimPay activera le 3D Secure 2 pour tous les marchands.
  • November 2020 : La SCA devient obligatoire pour les transactions de moins de 500 euros. 
  • 2021 : Les banques migreront progressivement vers les nouvelles formes d'authentification (empreintes, push notification ...) .
Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 0 sur 0