Le 14 septembre 2019, l’authentification forte est entrée en vigueur. Cette authentification est le résultat direct de l’adoption de la réglementation Directive Européenne sur les Services de Paiement (appelée DSP2).
La sécurité des données des consommateurs est au centre des problématiques des E-commerçants, notamment depuis l’adoption de RGPD et de la DSP2. L’Union Européenne introduit ces règlements afin de limiter la fraude en e-commerce, 10 fois plus importante que sur les paiements de proximité. Elle a donc pour objectif de protéger le consommateur et les boutiques en ligne contre la fraude lors des paiements.
Bien qu’entrée en vigueur en Septembre 2019, il y a une période de tolérance pour son application. Le nouveau processus d’authentification forte (3DSecure Version 2) introduit avec la DSP2, est en cours de déploiement par l’ensemble des acteurs du paiement (commerçants, banques acquéreurs, banques émettrices de cartes, prestataires de paiement, …) et doit être généralisé à l’ensemble des paiements e-commerce progressivement d’ici le 31 mars prochain. Les paiements non authentifiés seront progressivement rejetés (au-delà de 2 000 € depuis octobre, de 1 000 € en janvier, de 500 € en février).
Qu’est-ce que l’authentification forte ?
L’authentification forte permet à la solution de paiement de s’assurer que l’acheteur est bel et bien le propriétaire de la carte sollicitée lors de la validation du panier d’achat. Elle s’appuie sur un minimum de deux éléments sur les trois possibles :
- Un élément connu du client : par exemple le mot de passe, un code PIN, …
- Un élément détenu du client: par exemple un téléphone, un ordinateur, … ;
- Un élément définissant le client: par exemple l’empreinte digitale, reconnaissance faciale ou vocale, …
Le système avec lequel nous sommes le plus familier et utilisé massivement dans le cadre du 3D Secure 1 est basé sur simple envoi d’un code temporaire par SMS.
Néanmoins, cette pratique n’est pas considérée comme authentification forte, et donc n’est pas considérée dans le cadre de la DSP2. De plus en plus de banques proposent maintenant de valider le paiement en se connectant sur son application bancaire.
A savoir:
Cette authentification ne sera néanmoins pas demandée pour chacun des paiements. Par exemple, les opérations ne dépassant pas 30€ (dans la limite de 5 transactions ou de 100€ cumulés dans la journée) pourront être réalisées sans authentification forte comme le sont les paiements sans contact en magasin par exemple. Ce scénario est appelé Frictionless. D’autres cas sont possibles, ils sont appelés les cas d’exemption :
- Transactions à risque faible
- Paiement récurrent
- Les e-commerçants déclaré comme bénéficiaires de confiance
Pourquoi l’authentification forte ?
Comme mentionné précédemment, le 3D Secure 2, avec l’authentification forte, ont pour objectif de protéger le consommateur et les e-commerçants contre la fraude. En 2019, cette fraude représentait un total de 173,3 millions d’euros.
Certains secteurs sont plus impactés que les autres par la fraude en ligne, ainsi :
- Les commerces généralistes et semi-généralistes ;
- Les services aux particuliers et aux professionnels ;
- Les fournisseurs voyage et transport ;
- Les fournisseurs en téléphone et communication.
A eux seuls, ces secteurs représentent 74% du montant total de la fraude sur la vente à distance.
Quels sont les changements apportés par le 3D Secure 2?
Pour le consommateur, peu de choses changent. Effectivement, l’acheteur ne remarquera qu’une simple évolution du système d’authentification, déjà appliqué lors de certains paiements.
Du côté du E-commerçant, les changements sont plus impactants.
Certains E-commerçants faisaient le choix de demander à leurs banques de désactiver l’option de la 3D Secure 2.0, afin d’assurer un parcours client fluide. A partir du 31 mars, ce ne sera plus possible. La banque du propriétaire de la carte aura alors la main sur la potentielle activation de l’authentification forte, en fonction du niveau de risque évalué par celle-ci.
Le tout en s’assurant que l’expérience utilisateur reste optimale, fluide, tout en assurant la sécurité de leurs acheteurs.
C’est ici que les actions des prestataires de paiement prennent toute leur importance. Effectivement, ils doivent être certifiés 3D Secure 2.0 pour l’ensemble des réseaux de cartes de paiement afin de garantir à leur client e-commerçant que leurs paiements ne seront pas rejetés pour faute de compatibilité 3D Secure 2. Ainsi les prestataires de paiement doivent avoir fait évoluer leurs offres pour supporter les authentification 3D Secure 2 : affichage de la fenêtre d’authentification sur la page du site marchand, support des données complémentaires pour l’analyse de risque afin de favoriser au maximum les paiements en mode frictionless, enrichissement des échanges avec les différentes banques acquéreurs, …
Le mécanisme frictionless
Ce mécanisme est un procédé d’authentification ne nécessitant pas d’interaction systématique avec le consommateur, ne créant ainsi pas d’étape supplémentaire, et donc de potentielles frictions.
En effet, lorsque la banque émettrice estime avec les données reçues que le niveau de risque est faible, l’authentification forte ne sera pas déclenchée. Le paiement pourra se dérouler en mode frictionless c’est-à-dire sans action de la part de l’acheteur.
A savoir que dans ce cas, la garantie de paiement pour le commerçant est maintenue même en cas de fraude sauf s’il a expressément demandé un paiement frictionless et que la banque émettrice l’a acceptée.
Le 3D secure 2 chez Lyra
Cela fait maintenant 3 ans que le prestataire de paiement Lyra travaille sur la mise en application du 3D Secure 2. C’est pour cela que Lyra (solution PayZen et Lyra Collect) a été la première plateforme en France à être certifiée par EMVco, organisme international de sécurité qui regroupe les émetteurs de carte suivants :
- American Express
- Discover
- JCB
- Mastercard
- VISA
- UnionPay
L’objectif de Lyra est d’offrir aux E-commerçants une mise en place la plus transparente possible du nouveau standard 3DSecure 2. Ainsi les clients utilisant les paiements en redirection ou en champs embarqués, peuvent bénéficier du 3DSecure 2 sans modification de leur côté. Les vendeurs en ligne proposant le paiement en webservice ou présentant des spécificités ont, eux, bénéficié d’un accompagnement sur-mesure.
Les solutions Lyra supportent les données nécessaires pour favoriser le mode frictionless. Si ces données ne sont pas transmises par le e-Commerçant, un éventuel enrichissement permettra d’augmenter le taux d’authentification sans interaction avec le propriétaire de la carte.
Enfin, Lyra apporte une visibilité et une traçabilité totale sur les détails des traitements de chaque paiement effectué. Cela permet notamment aux E-commerçants de suivre clairement l’état des transactions, les garanties associées et leurs impayés.
Crédit image : Jemis Mali
