Qu’est-ce qui change pour les e-commerçants ?
Contexte
La réglementation européenne met en place des dispositions visant à renforcer la sécurité des paiements électroniques, notamment sur internet, et l’accès à des services de banque en ligne.
Ainsi, depuis le 14 septembre 2019, l’authentification des détenteurs de cartes bancaires pour valider leurs opérations en ligne est progressivement renforcée au moyen d’un dispositif conforme à la nouvelle réglementation, appelé « Authentification forte ».
Ce règlement s’applique à tous les paiements par carte réalisés en ligne au sein de l’Espace Économique Européen.
Qu’est-ce que l’authentification forte ?
On appelle authentification forte une authentification qui s’appuie sur un principe de validation d’au moins deux éléments d’identification indépendants parmi les trois suivants :
- « Ce que je sais » : mot de passe, code PIN, etc.
- « Ce que je suis » : biométrie (reconnaissance faciale, iris, empreintes digitales, etc.)
- « Ce que je possède » : token, téléphone, etc.
La nature de ces solutions d’authentifications peut varier en fonction de la banque de l’acheteur et/ou de la nature des opérations effectuées.
Quelle solution pour répondre à ces nouvelles exigences ?
Pour répondre aux exigences de la DSP2, l’activation du service d’authentification 3D-Secure (et plus particulièrement sa version 2) est un préalable pour les paiements cartes CB, Visa et Mastercard de vos transactions e-commerce et mobile.
Cela signifie que vous disposiez d’un contrat d’acquisition VADS 3D-Secure (Vente À Distance Sécurisée) auprès de votre banque.
Tout savoir sur le 3DS v2
Y a-t-il des exceptions à l’application de la DSP2 ?
Tous les acteurs, qu’ils soient e-commerçants, banques ou prestataires de solution de paiement, doivent se conformer à cette réglementation. Cependant certaines typologies de transactions ne sont pas incluses dans son périmètre d’application.
- Les paiements “one leg” : cas où la banque de l’acheteur et/ou du e-commerçant sont situées en dehors de la zone EEE.
- Les paiements “MO/TO” : cas où la transaction est réalisée par téléphone ou par mail.
- Les paiements “MIT” : cas où les transactions sont récurrentes ou fractionnées et réalisées sur internet.
Tous les paiements doivent-ils faire l’objet d’une authentification forte ?
La directive anticipe le besoin des commerçants de pouvoir passer outre cette étape dans des cas d’usages bien précis.
Dans cette optique, une liste d’exemptions est proposée dans les cas suivants :
- Petits montants (0 à 30 €) dans la limite d’un montant cumulé inférieur à 100 € ou de 5 transactions,
- En fonction des taux de fraude de la banque et de l’analyse du risque en temps réel sur la transaction,
- Les paiements récurrents et abonnements initiés par les e-commerçants de mêmes montants (sauf pour le 1er paiement qui nécessite une authentification forte).
Quel est le calendrier de mise en place ?
Depuis le 1er avril 2020, certaines typologies de transactions sont d’ores et déjà refusées par la banque de l’acheteur, qui les considère comme “à risque” si elles ne sont pas réalisées en 3D-Secure.
Dès le 1er janvier 2021, les paiements en ligne dont le montant sera supérieur à 1 000 € seront refusés sans application du 3D-Secure. Cela concernera l’ensemble des transactions éligibles à la DSP2 à partir du 1er avril 2020.
Il est donc urgent de réaliser la bascule au 3D-Secure pour votre site e-commerce dès maintenant !
Quel impact en cas de non-application de l’authentification forte ?
La non utilisation du 3D-Secure dans les conditions précisées ci-dessus risque de générer des refus de paiement de la part de la banque de l’acheteur et donc d’entraîner des abandons de panier et une baisse de vos ventes.