Update au 27/02/2017
Le 23 février, l’EBA a publié sa version finale du décret d’application de la DSP2 sur l’authentification des paiements (Standards Techniques de Régulation - RTS), prenant en compte les nombreuses critiques des parties prenantes.
Les règles strictes initialement prévues - authentification forte exigée pour tous les paniers supérieurs à 10€ - sont assouplies. Le seuil a été relevé aux transactions supérieures à 30€. De plus un système d’exemptions sera mis en place, avec une approche par les risques.
En savoir plus : http://www.eba.europa.eu/-/eba-paves-the-way-for-open-and-secure-electronic-payments-for-consumers-under-the-psd2
C’est une information passée plutôt inaperçue et qui devrait pourtant changer radicalement la donne pour les sites e-commerce ainsi que pour les paiements en magasin : la Directive sur les Services de Paiement (DSP2) annonce l’obligation d’une authentification forte pour tous les paiements mais laisse une ouverture à un débrayage maîtrisé avec une approche par les risques. Le projet de RTS – Regulary Technical Standard – proposé par l’Autorité Bancaire Européenne (ABE), vient préciser la directive en imposant une authentification forte à partir de 10€ pour tous les paiements en ligne et en points de vente.
Des impacts sur la fraude… et sur le chiffre d’affaires !
Le 3D Secure protège les consommateurs et les marchands contre la fraude. Cependant, il impacte également fortement la fluidité du parcours client. A chaque paiement, l’internaute doit s’assurer de garder son téléphone à portée de main, de bien capter, d’avoir de la batterie… pour enfin procéder à une étape de traitement supplémentaire dont la durée est variable. Chacun de ces points constitue un risque d’abandon ou d’échec de la transaction. C’est pour cette raison que beaucoup d’e-commerçants subissent une baisse de leur taux de conversion de l’ordre de 15% – et donc de leur chiffre d’affaires – après l’implémentation du 3DS. Alors que les paiements sans contact décollent enfin dans les magasins en France après que les commerçants ont perçu leur rapidité et donc leur impact sur l’attente en caisse, cela enterrerait définitivement ces bénéfices.
Approche par le montant vs. Approche par les risques
Avec ce seuil de 10€, c’est uniquement le montant du panier qui constitue la base de l’approche de l’ABE.
Chez Be2bill, nous avons toujours privilégié les cinématiques de paiement les plus fluides et calibrons le paramétrage de l’encaissement en vue d’un objectif unique : défendre exclusivement l’intérêt des marchands et des porteurs… pas celui des émetteurs de moyens de paiement ou des banques.
A ce titre, il existe des méthodes beaucoup plus fines et pertinentes d’utilisation du 3DS pour contrer la fraude, qui évitent de dégrader la conversion.
Une nouvelle fois et c’est le leitmotiv de Be2bill, notre approche pragmatique repose sur la collecte et l’analyse des données : données de navigation, données liées à la transaction, données comportementales, données contextuelles…. Autant de paramètres qui permettent après neutralisation des faux positifs de révéler le caractère potentiellement frauduleux ou non d’une transaction. Parmi les critères importants : la vélocité (plusieurs transactions réalisées en peu de temps sur des zones éloignées), l’adresse de livraison, ou encore le type de produit, l’e-réputation, etc.
Notre approche dite de « smart 3DS » revient à ne déclencher le 3DS que sur les transactions détectées risquées, et donc d’adopter une approche par les risques comme le recommande le MRC (Merchant Risk Council) dont nous sommes membre. Avec cette approche pragmatique et non dogmatique c’est près de 8% de conversion en plus et 30% à 50% de fraudes en moins constatées par nos clients.
La FEVAD s’est également positionnée fermement contre ce RTS :
« La DSP2 prévoit explicitement dans son article 98 des exemptions à l’authentification forte basées sur « le niveau de risque lié au service fourni ». Le texte de l’ABE est très loin de cette approche dite « par les risques », unanimement reconnue par le régulateur et les acteurs français de la chaîne de paiement. »
Lire l’intégralité du communiqué de la FEVAD
De son côté, Visa, premier réseau de paiement mondial, s’inquiète de la complexification des parcours clients que pourrait induire ce RTS s’il venait à être applicable avec la saisie obligatoire du code confidentiel aux péages, aux bornes des parkings, …
Lire la position de VISA (en anglais)
Sécuriser les transactions sans freiner la conversion, c’est le pari qu’a pris Be2bill depuis sa création en 2012, et qui se révèle extrêmement efficace chez nos clients. Be2bill partage le point de vue de la FEVAD et de VISA et encourage les autorités françaises à intervenir auprès de l’Union européenne pour revoir les critères de mise en place de l’authentification forte, et privilégier une approche par les risques, en ligne avec les nouvelles exigences des consommateurs.