Qu’est ce que la DSP2 ?

Avec l’entrée en vigueur des Normes Techniques de Réglementation (RTS) découlant de la deuxième Directive sur les Services de Paiement (DSP2) le 14 septembre 2019, applicables à l’ensemble de l’Espace économique européen, de nouvelles exigences en termes d’authentification forte devront être appliquées à l’ensemble des transactions effectuées sur Internet.

Ces nouvelles exigences d’authentification auront un impact sur les parcours d’achat des utilisateurs finaux. La DSP2 vise avant tout à réduire la fraude liée aux paiements effectués en ligne, en y apportant plus de sécurité, tant pour les utilisateurs que pour les marchands. Avec la forte démocratisation du commerce en ligne, secteur connaissant une croissance toujours plus élevée chaque année, il s’avère primordial de renforcer la confiance des utilisateurs lors de leurs achats en ligne.

Tel est l’objectif de la DSP2 : renforcer et accroître la confiance des e-shoppers.

Vers une authentification forte systématique, à la charge des émetteurs

Aujourd’hui, il revient aux marchands d’appliquer ou non une authentification forte de leurs clients. En effet, ceux-ci, ou leur prestataire de paiement décident de recourir à l’authentification forte des transactions en fonction de leur politique de gestion de la fraude, via un déclenchement du 3-D Secure 1.0. Les clients finaux sont alors redirigés vers une page de leur banque, sur laquelle ils doivent, pour prouver leur identité, saisir un code à usage unique, généralement reçu par SMS.

Lorsqu’il est appliqué, ce système permet de protéger les commerçants du risque de fraude grâce au transfert de responsabilité vers la banque du client final (aussi appelée « banque du porteur » ou « émetteur »). Cependant, l’application du 3-D Secure 1.0 impacte de manière générale l’expérience utilisateur (mauvaise compatibilité avec les environnements mobiles et applications, non-réception du code SMS, etc.) diminuant le taux de conversion des marchands.

Avec la DSP2, les règles évoluent : la décision finale de déclencher (ou non) une authentification forte n’appartient plus au marchand, mais à l’émetteur, et ce, quelle que soit la demande initiale du marchand.

Cette décision sera prise en fonction de nombreux critères définis par la nouvelle réglementation et selon la capacité de l’émetteur à identifier clairement le client final. Pour faciliter cette identification, l’émetteur réalisera une analyse de risque fondée sur des données contextuelles d’achat collectées conjointement par les marchands et par HiPay.

Ce sont ainsi plus de 150 données collectées lors du processus d’achat qui seront envoyées et à partir desquelles les émetteurs pourront effectuer cette analyse de risque, et décider du statut à accorder à la transaction.

Lorsque les émetteurs jugeront que les données envoyées permettront d’identifier le porteur, ou que la transaction répond à certains critères d’éligibilité, le processus d’authentification sera complètement transparent pour l’utilisateur final, et donc sans friction. À l’inverse, lorsque les données ne permettront pas d’identifier le porteur, une authentification forte sera demandée à ce dernier. Dans tous les cas, le transfert de responsabilité vers l’émetteur sera appliqué.

L’authentification forte (Strong Customer Authentication ou SCA) doit appliquer deux facteurs d’authentification parmi les trois suivants :

Authentification Forte

Quelque chose de connu par le client final : mot de passe, question secrète, etc.

Authentification Forte

Quelque chose de possédé par le client final : smartphone, badge, carte à puce, token

Authentification Forte

Quelque chose d’inhérent au client final : empreinte digitale, reconnaissance faciale ou vocale, reconnaissance d’iris

Les nouveautés du protocole 3-D Secure 2.0

Le protocole 3-D Secure 2.0 a été développé pour bénéficier d’une authentification plus dynamique, plus sûre, et intégrant des méthodes innovantes d’authentification, comme les solutions d’authentification biométriques. Mais surtout, la version 2 du protocole permettra aux marchands de proposer des parcours d’achat davantage intégrés à l’environnement du marchand.

Le 3-D Secure 2.0 s’appliquera à tous les paiements électroniques, c’est-à-dire les paiements web, mobiles, in-app, ou ceux effectués via des objets connectés.

Les transactions hors périmètre et exemptées d’authentification forte

Certaines transactions pourront bénéficier d’une exemption d’authentification forte, ou seront tout simplement en dehors du périmètre de la DSP2.

Grâce aux outils de lutte anti-fraude de HiPay, nos équipes travailleront conjointement avec les marchands afin de permettre une mise en place optimale des exemptions, pour des parcours d’achat fluides, tout en luttant activement contre la fraude.

Transactions hors périmètre

Le transfert de responsabilité des transactions hors périmètre de la DSP2 ne s’applique vers l’émetteur que si le marchand décide d’authentifier fortement le client final (comme cela est le cas aujourd’hui lors du déclenchement du 3-D Secure 1.0)

Transactions initiées par le marchand : Toutes les transactions ou séries de transactions d’un montant et/ou d’une périodicité fixe ou variable dont le montant global n’est pas connu lors de l’initiation, sont considérées comme hors périmètre de la DSP2. Ces transactions ne sont par conséquent pas soumises à une authentification forte.

Exemples de transactions initiées par le marchand : abonnement, no-show (applicable au secteur de la location de biens et services), paiement fractionné en plusieurs fois.

→ Transactions MOTO (Mail Order, Telephone Order) : Les commandes par correspondance, téléphone ou autres moyens n’impliquant pas directement le client final dans le déclenchement de la transaction, sont en dehors du périmètre de la DSP2. Nota Bene : les transactions réalisées via SVI (serveur vocal interactif) sont considérées comme des transactions de paiement électronique et sont soumises aux exigences d’authentification de la DSP2.

→ Transactions inter-régionales (OLO : One Leg Out) : Toute transaction pour laquelle l’émetteur ou l’acquéreur se situe en dehors de l’Espace économique européen est considérée hors champs de la DSP2, et à ce titre ne peut faire l’objet d’une authentification forte.

Transactions exemptées d’authentification forte

Les marchands peuvent demander une exemption auprès des émetteurs pour les transactions telles que décrites ci-dessous. Même si l’exemption est acceptée par l’émetteur, le marchand portera la responsabilité en cas de fraude.

Il n’y a par conséquent pas de transfert de responsabilité vers l’émetteur. Toutefois, ce dernier peut décider de ne pas appliquer l’exemption demandée par le marchand.

→ Transactions à faible risque inférieures à 30 € : Les transactions d’un montant inférieur à 30 € pourront être exemptées d’authentification, sauf lorsque le montant cumulé d’achat du porteur depuis la dernière authentification forte est supérieur à 100 € ou si 5 transactions successives ont déjà fait l’objet d’une exemption.

→ Transactions à faible niveau de risque (Transaction Risk Analysis – TRA) Les transactions jugées par l’émetteur à faible niveau de risque pourront bénéficier d’une exemption d’authentification. Pour pouvoir bénéficier de ces exemptions, l’acquéreur et l’émetteur de la transaction devront respecter un taux de fraude moyen maximum. Ce taux dépend du montant de la transaction. Plus le montant est élevé, plus le taux moyen doit être bas.

Montant Taux de fraude de référence du PSP
30 - 100€ 0,13%
100 - 250€ 0,06%
250 - 500€ 0,01%

*ce taux de référence sera déclaré par les PSP à partir du 1er janvier 2020.

→ Transactions récurrentes de même montant auprès d’un même bénéficiaire :
Les transactions récurrentes d’un même montant et d’un même bénéficiaire seront exemptées d’authentification forte. Il sera en revanche obligatoire d’appliquer une authentification forte du client final lors de la première transaction, ou lors de la configuration de la série de transactions (à condition qu’elle soit initiée par le client final).

Les transactions suivantes seront techniquement chaînées, afin de pouvoir rattacher les transactions suivantes à la première transaction ayant fait l’objet d’une authentification forte.

→ Marchands déclarés comme bénéficiaires de confiance auprès des émetteurs : Un client final pourra déclarer auprès de sa banque un marchand comme bénéficiaire de confiance. Le marchand ou le prestataire de paiement ne pourront intervenir dans cet acte entre le client et sa banque. Dès l’inscription réalisée et validée, toutes les transactions futures passées sur ce site seront exemptées d’authentification forte. Une authentification forte devra cependant être effectuée lors de l’inscription. Les normes techniques liées à cette exemption ne sont pas encore finalisées. Les délais de mise en oeuvre par les émetteurs ne sont à ce stade pas déterminés.

→ Transactions effectuées à partir de moyens de paiement anonymes : Les moyens de paiement anonymes comme les cartes de paiement prépayées seront exemptés d’authentification forte.

Quel accompagnement pour une mise en conformité en toute simplicité ?

La mise en place du nouveau protocole ne modifie pas l’architecture actuelle entre le marchand et HiPay. Cependant, afin de maximiser le succès de vos transactions et de simplifier les parcours d’achat de vos clients, il est fortement recommandé d’intégrer les nouveaux champs découlant de la DSP2, pour les transmettre à HiPay.

Exemples de données nécessaires

dsp2
Previous authentication information
  • Méthode d’authentification de la dernière transaction
  • Date & heure de l’authentification de la dernière transaction
  • Référence de la dernière authentification
dsp2
Browser agent information
  • Java enabled
  • Adresse IP du client
  • Taille de l’écran
dsp2
Account information
  • Date d’ouverture du compte client
  • Date du dernier changement du mot de passe
  • Date de dernière modification du profil du client
dsp2
SDK information
  • SDK Interface
  • UI Type
  • App ID

HiPay accompagnera l’ensemble des marchands dans la mise en place des exemptions et dans l’utilisation adéquate d’un moteur intelligent de lutte contre la fraude.

Cet accompagnement permettra de poursuivre la mission de HiPay : aider les marchands à maximiser leurs taux de succès tout en luttant activement contre les tentatives de fraude.

Nous vous invitons à consulter notre Centre de support pour prendre connaissance des nouveaux champs à intégrer ou pour plus de détails techniques.