Les 3 choses à retenir sur la DSP2

Vous savez que la Directive sur les Services de Paiement 2 (DSP2) impacte le e-commerce, mais avez du mal à vous y retrouver dans la multitude d’informations sur le sujet ? On vous a sélectionné les 3 informations capitales à retenir sur la DSP2 pour les e-commerçants.

A quoi sert la DSP2 ?

La DSP2 lutte contre la fraude bancaire et le blanchiment d’argent. Son objectif est de donner un cadre législatif aux nouveaux usages apparus sur le marché des paiements, notamment face à la croissance du e-commerce et le développement du m-commerce. Elle vise donc à garantir la sécurité aux marchands et consommateurs lors des transactions en ligne. Elle introduit notamment la notion d’authentification forte pour mieux protéger les citoyens européens en cas de vol de carte bancaire. L’authentification est dite « forte » lorsqu’elle intègre deux facteurs parmi la possession (ce que le client possède), la connaissance (ce qu’il connaît) et l’inhérence (ce qu’il est).

La mise en application de la DSP2 est en cours : la date limite pour implémenter le 3DSv2 est le 15 mai 2021 en France, avec une tolérance pour les transactions en 3DSv1 jusqu’en 2022.

Quelles sont les évolutions majeures apportées par la DSP2 ?

La DSP2 introduit des évolutions importantes dans la lutte contre la fraude aux paiements en ligne :

• L’obligation de moyens qui était en vigueur cède la place à une obligation de résultats, avec des seuils de taux de fraude à respecter (pour en savoir plus sur les taux à respecter, consultez notre article.
• Le déclenchement de l’authentification forte, précédemment à l’initiative des commerçants, passe aux mains des banques émettrices (celles des clients).
• Le protocole de sécurité 3D Secure évolue : les commerçants doivent migrer vers la version 2, qui permet d’échanger davantage de données avec l’émetteur.

Les exemptions possibles à l’authentification forte

Les textes d’application de la DSP2 précisent les exemptions possibles à l’authentification forte :

• les paiements récurrents ;
• les petits montants (moins de 30 €) dans la limite de 100 € cumulés ou 6 transactions de suite ;
• les personnes considérées comme « bénéficiaires de confiance » (inscrites sur une liste blanche) ;
• les cartes non nominatives (paiements initiés par des payeurs « personnes morales » ;
• les exemptions dites « TRA » (Transaction Risk Analysis), c’est-à-dire justifiées par une analyse de risques ;
• les transactions qui ne sont pas dans le périmètre de la DSP2, à savoir : MOTO (par téléphone ou courrier), MIT (à l’initiative du marchand), et one-leg (inter-régionales)

Dans les cas présentés ci-dessus, le consommateur n’aura pas besoin de s’authentifier et aura donc une expérience utilisateur plus fluide.

Pour en savoir plus sur les exemptions « TRA » et comment les demander à l’émetteur, téléchargez le Guide pratique de la migration DSP2.