Une meilleure protection des consommateurs et des vendeurs contre la fraude en ligne.
DSP2 : quelques rappels
L’objectif principal de la Directive sur les Services de Paiement 2 (DSP2) entrée en application le 14 septembre 2019 est d’augmenter la sécurité des paiements en ligne en renforçant l’authentification des payeurs lors d’achats par carte bancaire.
Les principaux changements
L’authentification forte devient obligatoire pour toutes les transactions sauf cas d’exemptions ou transactions hors du périmètre des RTS (Regulatory Technical Standard).
Le déclenchement de l’authentification passe désormais aux mains des banques émettrices (celles de vos clients).
Un nouveau protocole 3D Secure V2 doit être utilisé pour véhiculer davantage de données et demander des exemptions.
Les conditions pour une authentification forte valide
L’authentification forte doit s’appuyer sur au moins 2 des 3 critères suivants pour être dite “valide” :
Connaissance
Information que seul l’utilisateur connaît (code PIN, mot de passe, etc.)
Possession
Information que seul l’utilisateur possède (une carte, un téléphone portable, etc…)
Inhérence
Informations de reconnaissance de l’identité de l’utilisateur, identification biométrique (empreinte digitale, reconnaissance de l’iris ou de la voix)
Les transactions qui ne sont pas concernées par l’authentification forte
- MIT – Merchant-Initiated Transactions : Paiements à l’initiative du marchand
- MOTO – Mail Order/Telephone Order : Paiements par courrier ou téléphone
- One-leg : Transactions inter-régionales
Authentification forte ou sans friction ?
Comment faire le bon choix
Avec l’instauration du nouveau protocole 3DS v2, ce sont les banques émettrices qui décideront de déclencher ou non l’authentification forte du client. Toutefois, en tant que commerçant, vous pouvez indiquer votre préférence.
Authentification : Vous souhaitez que la transaction soit authentifiée de manière forte.
Parcours sans friction : Vous souhaitez que la transaction ne subisse pas d’authentification forte, favorisant ainsi la conversion.
Si vous faites le choix du parcours sans friction, assurez-vous au préalable que la transaction ne comporte pas un risque de fraude.
En effet :
- c’est vous qui portez la responsabilité de l’impayé en cas de fraude,
- vous prenez le risque que la banque émettrice durcisse ses règles et refuse vos demandes d’exemptions futures
Plus vos demandes d’exemption seront le fruit d’une analyse de risques poussée et efficace en temps réel, plus vous serez perçu comme un partenaire de confiance aux yeux des banques émettrices. Une analyse de risques conforme aux RTS (Regulatory Technical Standards) et fiable assurera par la suite un meilleur taux de fraude et davantage d’exemptions.
Favoriser les parcours sans friction dits “frictionless”
Tous nos modules sont conformes à la DSP2 depuis 2019. Au quotidien, nous sommes très attentifs à tout changement impliqué par la directive et faisons le nécessaire pour que les transactions réalisées par nos marchands soient enrichies des points de données demandés dans le cadre du 3-D Secure 2. Nous mettons également à leur disposition un panel d’outils permettant de configurer simplement leur préférence.
Le Smart 3-D Secure utilise le machine learning pour cibler les paiements risqués et optimiser votre conversion, selon votre profil de risque. Cette technologie s’appuie sur un moteur de règles optimisé en continu et une analyse de risques effectuée sur chaque transaction afin de déclencher la bonne demande : “authentification forte” ou “parcours sans friction”.
Choisissez le montant en dessous duquel vous demandez un parcours sans friction (jusqu’à 250€ maximum).
Nous proposons aussi un ensemble de fonctionnalités vous permettant d’optimiser votre taux de fraude.
98%
de demandes de
frictionless acceptées
pour nos clients FastPass
sur leur flux BPCE
Glossaire technique
DSP2 (Directive européenne sur les Services de Paiement 2)
Directive comportant deux volets : l’un sur l’ouverture des données bancaires pour favoriser l’innovation et la concurrence ; l’autre sur la sécurisation des paiements en ligne pour minimiser la fraude.
RTS (Regulatory Technical Standards)
Exigences techniques instaurées dans le cadre de la DSP2, impliquant une évolution du modèle et de la méthode d’authentification utilisés pour sécuriser les paiements en ligne.
Authentification forte (SCA : Strong Customer Authentication)
Demande d’authentification forte devant se baser sur au moins deux éléments indépendants liés à l’acheteur : connaissance (ex : mot de passe), possession (ex : téléphone), inhérence (ex : biométrie)
3D Secure v2 (3DS v2)
Protocole technique venant remplacer le 3DS v1, avec de nouveaux champs à intégrer par le commerçant, le PAT/PSP et l’émetteur. Il permet entre autres de véhiculer vos demandes d’exemption.
TRA (Transaction Risk Analysis)
Analyse de risques de la transaction en temps réel devant aboutir à une recommandation (demande d’exemption ou authentification forte).
Frictionless (Sans friction)
Parcours consistant à ne pas ajouter d’étape supplémentaire au client lors du paiement. Les données échangées entre commerçants et banques suffisent à s’assurer de l’identité du client.