Parlons commerce

Moyens de paiement


DSP2 : arrêt du SMS et authentification forte sont de rigueurs

Publié en octobre 2019

Nous y sommes ! La nouvelle Directive Européenne sur les services de paiement (DSP2) est entrée en vigueur depuis le 14 Septembre 2019. Avec obligation d’authentifier fortement toutes les opérations initiées par le payeur. Plus simplement : vérifier que la personne qui procède à un achat en ligne est sans aucun doute possible le propriétaire de la carte bancaire utilisée. Comment mettre en place la DSP2 ? Dans quels délais ? Cofidis Retail répond à toutes les interrogations des e-marchands.

 

100 milliards d’euros de recettes devraient être réalisés sur internet cette année, selon les prévisions de la Fevad. Un chiffre d’affaires qui grimpe d’années en années, ce qui explique pourquoi les instances bancaires se penchent de plus en plus sur la sécurisation des paiements.

 

100 milliards d’euros de recettes devraient être réalisés sur internet cette année.

 

0,07 % de fraude avec l’envoi de SMS

Depuis plusieurs années, c’est l’envoi d’un code à usage unique par SMS, méthode connue sous le nom de « 3D Secure » qui prévaut lors des transactions en ligne. Avec ce système, l’authentification ne repose que sur un seul élément indépendant : la possession du mobile du porteur. Selon l’Observatoire des moyens de paiement*, le taux de fraude des transactions authentifiées par ce moyen est de 0,07 %, contre 0,21 % (soit 3 fois plus) pour les transactions non authentifiées.

“Pas mal, mais on peut mieux faire” déclare l’Autorité Bancaire Européenne (ABE), qui impose aux cybermarchands de protéger encore mieux les e-acheteurs. D’autant qu’il n’est pas exclu que les fuites de données et les cyberattaques se multiplient dans les années à venir, d’où le principe de précaution appliqué par l’Autorité Bancaire Européenne.

 

2 éléments d’authentification distincts, 2 fois mieux protégés

Avec la DSP2, entre en vigueur le processus d’authentification multifacteur (MFA) pour la protection des paiements en ligne par des solutions plus avancées, reposant par exemple sur la saisie d’un code confidentiel ou d’une empreinte biométrique au travers de l’application mobile de banque en ligne. En clair, pour tout paiement en ligne supérieur à 30 euros, une double authentification – ou 3DSecure 2 – sera obligatoire et la responsabilité de l’authentification forte appartiendra aux émetteurs des moyens de paiement et aux banques acquéreurs.

 

Tout un écosystème impacté par cette mise en conformité

Au final, bon nombre d’acteurs sont concernés : les marchands bien sûr, mais aussi les acquéreurs, les réseaux de cartes, les émetteurs et les prestataires de services de paiement tiers (PSP). Ces derniers étant autorisés à accéder aux comptes, à agréger leurs données et à initier les services de paiement. Tous ces acteurs sont interdépendants. Ce qui fait que la mise en place des nouveaux dispositifs d’authentification et la migration de ces acteurs vers les infrastructures s’appuyant sur le protocole sécurisé de paiement sur internet, à savoir le 3D-Secure v2, vont prendre du temps. Une situation bien comprise par l’Autorité Bancaire Européenne qui a donné la possibilité au régulateur national d’organiser localement au-delà du 14 septembre une période de transition.

 

Un report de la DSP2, généralisé en Europe

En France, un plan de migration pour l’authentification forte (SCA, pour « Strong customer authentification ») est institué avec une période de transition jusqu’en mars 2021. Ce premier délai de 18 mois doit permettre aux acteurs d’être en règle pour la majorité de leurs transactions. Jusqu’à cette date, le recours aux codes SMS à usage unique perdurera. A compter de cette date, les transactions non 3DS seront donc refusées. Puis un second délai est prévu jusqu’en juin 2022, pour atteindre une conformité totale. Sachant que certaines transactions évaluées sans risque continueront à être exemptées d’authentification forte. Il n’y a pas que la France qui est concernée par ce report. Plusieurs pays européens ont reporté l’application de la directive DSP2, l’Italie, l’Espagne, l’Allemagne et le Royaume-Uni.

 

Le nouveau défi des e-commerçants sera de travailler avec les acteurs de leur chaîne de paiement pour rendre invisible l’authentification et faciliter au maximum la nouvelle expérience utilisateur.

 

Innover pour de nouvelles transactions « frictionless »

Reste que la mise en place de cette nouvelle directive va avoir une incidence sur les scénarios d’achats. En effet, qui dit plus de contraintes sous-entend plus de frictions sur le parcours d’achat… Ce qui fait chuter le taux de conversion. Par conséquent, le nouveau défi des e-commerçants sera de travailler avec les acteurs de leur chaîne de paiement pour rendre invisible l’authentification et faciliter au maximum la nouvelle expérience utilisateur. Favorisant ainsi la transformation de clients potentiels en acheteurs !

Source : * https://www.banque-france.fr/sites/default/files/medias/documents/819172_osmp2018_web_v2.pdf

_________________________________________________________________________

Ce sujet vous intéresse ? > Contactez-nous pour en discuter !

Retrouvez les autres articles sur notre blog > Parlons commerce

Suivez-nous sur Twitter > Cofidis_Retail

Suivez-nous sur Linkedin > Cofidis Retail

Cet article vous a plu ?
Inscrivez-vous à notre newsletter !

Encore plus d'informations à ce sujet ?