Le 3D Secure 2.0 : ce qui change concrètement
Suite aux derniers RTS publiés (Standards techniques et réglementaires) de la DSP2, les paiements en ligne devront, sauf exceptions, bénéficier d’une authentification forte. En lien avec ces directives, le 3D Secure, dans sa mouture initiale lancée en 2010, est en pleine mutation. Commerçants et émetteurs devront prochainement échanger davantage de données contextuelles pour confirmer l’identité du porteur. Cette version enrichie du 3DS est appelée 3DS 2.0.
En plus d’exiger une transmission conséquente d’informations, l’application systématique de ce nouveau protocole généralisera le transfert de risque côté émetteur. Les banques émettrices devront prendre la décision finale de débrayer ou non l’authentification forte de leurs clients.
Dans le calendrier réglementaire, les standards techniques devront être appliqués en septembre 2019. Les e-commerçants et leurs partenaires de paiement devront avoir déployé l’ensemble du protocole technique. Pour les banques émettrices et les acquéreurs, le sujet fait déjà l’objet de toutes les attentions. Leur challenge aujourd’hui : adresser l’enjeu réglementaire, en capitalisant sur les expertises et les investissements déjà engagés en matière de lutte contre la fraude.
Le risque du 3DS 2.0 : les conséquences de la nouvelle version du 3D Secure
Si le recours à l’authentification forte impliquera bientôt davantage les banques émettrices, elles ne dicteront pas seules la définition des données nécessaires à l’analyse de risques. Les solutions de paiement, intermédiaires entre marchands et émetteurs, auront un rôle stratégique. En plus du poids et du secteur d’activité des marchands, la typologie des informations partagées influencera l’arbitrage des émetteurs. L’acquéreur en mesure de se prévaloir d’une analyse par les risques (Transaction Risk Analysis), qui combine efficacement les données collectées et émises sur l’ensemble de la chaîne de valeur (commerçant, PSP, acquéreur, émetteur), aura une place à prendre.
Rappelons que le 3D Secure, tel qu’il est opéré actuellement et s’il était appliqué systématiquement, pourrait potentiellement faire perdre aux e-commerçants une part conséquente de leurs ventes en ligne.
Un durcissement de l’authentification, avec une action systématique du consommateur, pourrait alors engendrer une perte considérable de chiffre d’affaires côté marchand. Pour se prémunir de la fraude, certaines banques émettrices pourraient décider d’appliquer une sécurité permanente en choisissant une approche « zéro risque » au risque d’indisposer leurs clients les plus actifs et fidèles en ligne. D’autres acteurs, comme le PSP/acquéreur Dalenys, prônent quant à eux l’établissement d’un dialogue constructif avec le commerçant d’une part et la banque émettrice d’autre part pour évaluer le niveau de risque réel d’une transaction. Par sa position clé et son expertise des problématiques des marchands, l’acquéreur est alors en capacité d’agir sur la décision de l’émetteur pour procéder à une exemption.
La prise en main du 3D Secure 2.0 : un sujet commercial aujourd’hui, technique demain
En définitive, le renforcement de la sécurité au moment du paiement est clairement moins un sujet technique que stratégique. L’implémentation technique du 3DS 2.0 ne permet ni de répondre aux problématiques business des marchands, ni de forcer les banques émettrices à s’abstenir de déclencher une authentification forte de manière systématique. Ce traitement opérationnel adresse simplement le respect des obligations réglementaires. Seule une collaboration étroite entre PSP/ acquéreurs et banques émettrices peut apporter une réponse solide et pérenne conforme à l’intérêt des marchands.
Dalenys, qui fait partie intégrante des solutions de paiement de Natixis, dispose d’une relation étroite avec le groupe BPCE. Ensemble, les deux structures ont amorcé depuis plus de 9 mois des travaux dont l’enjeu principal est de préserver l’intérêt des e commerçants et l’expérience d’achat des utilisateurs. A la fois PSP et acquéreur,
Dalenys met déjà en oeuvre au quotidien des mécanismes (analyse de risque, arbitrage du 3DS, supervision à 360° des transactions...) qui seront clé dans ce nouveau cadre réglementaire. Natixis Payments, qui traite les transactions de plus de 20% des porteurs de carte en France et Dalenys, qui accompagne les stratégies de paiement des grands marchands, ont ainsi clairement un rôle à jouer dans ce paysage protocolaire.
En réunissant leurs expertises complémentaires, Natixis Payments, Dalenys et ses partenaires marchands tendent à s’accorder sur l’usage des données les plus critiques et ce afin d’établir des analyses de risques pertinentes et efficaces, et de maintenir une application choisie de l’authentification forte. L’action commune de Natixis Payments et Dalenys pourrait ainsi être rapidement en mesure de relever le challenge rencontré par les marchands, en adressant plus de 20% du parc français, clients BPCE ! Par ailleurs, une fois mené, ce type de travaux devrait permettre aux marchands de poursuivre l’exercice et d’obtenir des exemptions de la part d’autres émetteurs.