Dans la continuité de la DSP2 et de l’uniformisation des opérations de paiement à l’échelle européenne, le système 3D-Secure Version 2 est devenu obligatoire pour tous depuis avril 2021. L’authentification, - auparavant optionnelle ou contrôlée par les marchands, les PSP ou les banques, - sera ainsi obligatoire et contrôlée à l’échelle de l’UE. Si le 3DS garantit davantage de sécurité pour les paiements en ligne, il inquiète les marchands qui s’interrogent quant à son déploiement et son impact sur leur activité. Que va changer le 3D-Secure Version 2 ? De quelle manière les banques et les établissements de paiement doivent-ils se préparer ? Quels changements pour les opérateurs de marketplaces ? Décryptage.
3DS Version 2 : De quoi parle-t-on ?
Protocole sécurisé de paiement en ligne, le 3D-Secure Version 2 a pour objectif de limiter les risques de fraude et de protéger les informations bancaires, en imposant la Strong Customer Authentification ou SCA aux internautes lors des transactions effectuées en ligne. En septembre 2019, les Regulatory Technical Standards ou RTS, cadrées par l’Autorité Bancaire Européenne, définissent la Strong Customer Authentification par la combinaison d’au moins deux facteurs d’authentification. Ces facteurs peuvent être :
- De connaissance : mot de passe, question secrète, code secret…
- De possession: téléphone mobile, appareil connecté, carte à puce…
- D’inhérence: empreinte digitale, reconnaissance faciale, reconnaissance vocale
Tous les nouveaux outils de validation et d’authentification sont développés par les banques et non par les prestataires de service de paiement. A noter, le SMS comme facteur d’authentification devrait disparaître d’ici octobre 2021, pour être remplacé par la Digital Key. Les RTS concernent ainsi tous les paiements en ligne par carte initiés par l’acheteur. Elles ne concernent cependant pas :
- Les transactions initiées par le marchand, notamment les transactions de Rebill
- Les transactions impliquant un acheteur ou marchand situé hors de l’Union Européenne
- Les transactions de ventes à distance ou Mail Order Telephone Orders (MOTO)
Dans le cadre des RTS, la Strong Customer Authentification devient ainsi obligatoire pour :
- Toutes les transactions de plus de 2000€ depuis Octobre 2020
- Toutes les transactions de plus de 1000€ depuis le 5 Janvier 2021
- Toutes les transactions de plus de 500€ depuis le 15 Février 2021
- Toutes les transactions depuis le 1er avril 2021
Des exemptions possibles grâce à un protocole plus « smart »
Si le 3DS-v2 a vocation à rendre la Strong Customer Authentification obligatoire pour tous les paiements en ligne (hormis les transactions précédemment citées et non concernées par les RTS), il s’avère plus « smart » que sa première version, puisqu’il prévoit des règles permettant des exemptions d’authentification. Les demandes d’exemption sont en effet possibles si :
- L’opération de paiement est d’un montant inférieur à 30€ (jusqu’à 5 transactions ou jusqu’à un montant total de 100€)
- L’opération est sujette à une analyse de risque réalisée en temps réel, et le taux de fraude de la banque acquéreur ou émetteur ne dépasse pas les seuils imposés par la DSP2. Une demande d’exemption peut ainsi être faite :
- Si la transaction est de moins de 100€ avec un taux de fraude de moins de 0,13%
- Si la transaction est de moins de 250€ avec un taux de fraude de moins de 0,06%
- Si la transaction est de moins de 500€ avec un taux de fraude de moins de 0,01%
Dans le cas d’une transaction ayant lieu sur une marketplace, la demande d’exemption et donc de la finalisation d’achat sans 3DS, est effectuée par Lemonway. Suite à une demande d’exemption, c’est seulement la banque émettrice qui aura le dernier mot et qui décidera si la transaction peut avoir lieu sans SCA, et ce grâce à un algorithme qu’elle aura développée pour identifier le niveau de risque d’une transaction. On parlera alors de paiement frictionless. Pour évaluer le niveau de risque d’une transaction, la banque émettrice basera sa décision sur un score calculé et généré par les schemes (CB, MasterCard, Visa, etc…), qui leur sera partagé, ainsi que sur un score qu’elle calculera elle-même. Pour améliorer le score défini par les schemes, le marchand, et donc Lemonway par conséquent, devront fournir un maximum d’informations au moment de la transaction : nom du payeur, ID, adresse de livraison, infos sur le matériel utilisé, etc…
NB : à ce jour, la liste complète des informations requises par les schemes et les PSP n’a pas encore dévoilée. Dès que ces informations seront connues par Lemonway, une mise à jour de nos API sera effectuée pour garantir un meilleur scoring et une maximisation des exemptions.
L’impact pour Lemonway et ses partenaires ?
Pour beaucoup, le déploiement progressif du 3DS-v2 suscite certaines appréhensions quant au parcours d’achat des utilisateurs. En effet, une authentification plus stricte semble aller de pair avec un risque d’abandon plus élevé pour valider une transaction, et donc une baisse des taux de conversion sur les sites marchands. Cela étant, ce passage au 3DS-v2 est inévitable puisqu’il rentre dans le cadre d’une directive européenne. Il faut ainsi surtout retenir que la finalité première de l’authentification forte est d’apporter davantage de sécurité dans les paiements. Parallèlement, cette version 2, plus « smart », élargira les possibilités de demandes d’exemptions permettant d’éviter la SCA.
A ce jour, Lemonway applique déjà la Strong Customer Authentification sur l’ensemble des transactions réalisées, empêchant ainsi que des transactions soient refusées par des banques émettrices. Dès que les PSP et les banques seront prêts pour la mise en place du 3DS-v2, Lemonway améliorera automatiquement le taux de succès des transactions avec son système intelligent de gestion des exemptions. Pour augmenter votre taux de transactions frictionless, sans authentification, nous vous recommandons de bien transmettre les informations optionnelles qui seront à votre disposition lors de la mise à jour de l’API pour l’implémentation du 3DS-v2. En tant que prestataire de service de paiement, Lemonway accueille ces nouvelles règlementations de manière positive, puisqu’elles contribuent à une augmentation du niveau de sécurité des paiements, mais également à une amélioration de l’expérience de paiement. Conscient des enjeux liés au déploiement du 3DS-v2, Lemonway œuvre déjà pour accompagner ses partenaires dans cette transition.
Partager l'article
Envie de faire
le plein d’idées ?
Tous les mois, recevez nos conseils, bonnes pratiques et tendances phares du paiement pour marketplaces.