Imposée par la directive sur les services de paiement (DSP2) entrée en vigueur en janvier 2018, l’authentification forte est une nouvelle réglementation européenne visant principalement à réduire la fraude et à sécuriser les paiements en ligne et sans contact. En effet, le système 3DS via lequel les utilisateurs recevaient un code de vérification via SMS au moment du paiement s’avère désormais obsolète. La mise en place de l’authentification forte des paiements est obligatoire depuis mai 2021.
Alors de quoi s’agit-il exactement ? Dans quels cas s’applique le système d’authentification forte ? Quelles sont les obligations pour les e-commerçants ?
Qu’est-ce que l’authentification forte du client ?
L’authentification forte est un dispositif de vérification d’identité destiné à renforcer la sécurité des opérations en ligne et sans contact. Elle est l’une des directives intégrées dans la directive sur les services de paiement (DSP2). Mise en vigueur à l’échelle européenne, la DSP2 a pour objectif d’harmoniser un ensemble de réglementations sur les paiements au sein de l’Union Européenne pour les consommateurs ainsi que pour les commerçants.
Les principaux objectifs de la DSP2 sont les suivants :
Le boom du E-Commerce a engendré des fraudes de plus en plus fréquentes. Selon Jean-Michel Chanavas, délégué général de Mercatel, une association professionnelle spécialiste des questions liées au paiement, « le taux de fraude est 20 fois plus élevé en e-commerce (0,16% des montants) que dans les commerces de proximité ».
L’authentification forte vise donc à rassurer les clients et protéger les commerçants. Concrètement, elle prévoit une identification à deux facteurs au moins des utilisateurs au moment de tout achat dès 30 euros :
– Un mot de passe ou code numérique (appelé élément de connaissance)
– Le numéro de portable de l’utilisateur ou sa ligne téléphonique (appelé élément de possession)
– L’empreinte digitale, faciale ou vocale (dit élément d’inhérence)
L’authentification forte des paiements facilite l’ouverture des systèmes d’information des banques et de leurs données clients à des tiers. L’Open Banking se voit ainsi en mesure d’émerger plus facilement et place, sur le marché du paiement, des acteurs innovants et compétitifs.
Dans quels cas s’applique la SCA ?
L’authentification forte des paiements s’applique dans 3 types de situations :
– La validation de la plupart des paiements en ligne auprès de commerçants de l’Union Européenne
– La connexion à l’Espace client d’une application bancaire (tous les 90 jours). Les utilisateurs peuvent ici accéder à leurs données bancaires de manière plus simple et rapide via des services tiers tels que Bankin’.
– La réalisation d’opérations en ligne dites sensibles (modification de l’adresse, ajout d’un bénéficiaire de virement, commande de chéquier etc.)
L’authentification forte des paiements implique l’ensemble de l’écosystème des paiements : banques, prestataires de paiements, réseaux de carte (Visa, Mastercard), e-commerçants etc. pour tous les achats de plus de 30 euros. Tous les prestataires de services de paiement et pas uniquement les banques doivent demander une authentification forte lorsqu’ils vous proposent de réaliser une opération sauf lors de cas d’exemptions prévues par les textes.
Généralement, les clients possèdent l’application de leur banque sur leur téléphone portable. Ces applications intègrent le service d’authentification forte (SécuriPass, Certicode Plus, Clé Digitale etc.). Ceci permet la combinaison d’un élément de possession avec un élément de connaissance ou d’inhérence. Ainsi, au moment du check-out, le client reçoit une notification qui le dirige vers son application bancaire. Il doit alors saisir son mot de passe ou son empreinte biométrique pour valider le paiement. D’autres options d’authentification sont bien évidemment disponibles dans le cas où le client ne désire pas ou ne possède pas de téléphone intelligent.
L’authentification forte ne s’applique pas dans certains cas :
– Achats de plus de 30 euros jugés peu risqués
– Abonnements / dépenses régulières sur un même site (authentification forte demandée uniquement la première fois)
– Paiements effectués chez un e-commerçants identifié par le client comme un bénéficiaire de confiance
– Paiements effectués chez un e-commerçant affichant un faible taux de fraude
L’authentification forte des paiements vient donc considérablement renforcer la sécurité des paiements en ligne et sans contact tout en ajoutant une pierre à l’édifice de la lutte contre la fraude.
Quelles sont les obligations des entreprises marchandes ?
L’authentification forte des paiements est devenue obligatoire depuis mai 2021 dès 30 euros lors d’un achat en ligne. Les entreprises marchandes se doivent donc de l’implémenter au sein de leur parcours d’achat. Bien comprendre son fonctionnement est impératif afin d’éviter d’éventuels désagréments que l’authentification forte pourrait engendrer.
L’accompagnement des commerçants par un prestataire de paiement est généralement une option sûre afin d’assurer une mise en place réussie et l’adaptation optimale d’un site e-Commerce. En effet, en observant les statistiques d’un site (abandons, échecs, taux de conversion etc.), des ajustements peuvent être réalisés et/ou des exemptions peuvent être acquises.
Les entreprises marchandes sont invitées à vérifier auprès de leur banque que leur contrat de vente à distance supporte bien les transactions 3D Secure v2 pour s’assurer de la conformité du site e-Commerce à l’authentification forte.
Enfin, vérifier avec le prestataire informatique d’un site e-Commerce pour garantir que les nouveaux champs de transaction exigés par la DSP2 sont correctement intégrés dans le processus de paiement.
L’authentification forte des paiements entonne une phase plus sécuritaire pour les paiements en ligne et entend bien réduire considérablement les risques de fraude. En rassurant les utilisateurs ainsi qu’en protégeant les commerçants, l’authentification forte conforte également le rôle d’acteurs tiers innovants tels que les solutions de l’Open Banking.
