Dans le cadre de la directive européenne sur les services de paiement (DSP2), l’authentification forte de l’acheteur est devenue obligatoire depuis le début de cette année et est applicable à toutes les transactions en ligne, quel que soit leur montant, depuis le mois d’avril. Le protocole d'authentification forte requis est le 3DSv2, la nouvelle version du 3D Secure qui offre plus de souplesse d’utilisation. Afin de maximiser vos chances d’offrir un parcours d’achat sans frictions à vos clients, vous allez devoir maîtriser le vocabulaire de la 3DSv2 sur le bout des doigts ! Découvrez notre lexique des termes phares à bien connaître.
Le lexique du 3DSv2
DSP2
La Directive Européenne sur les Services de Paiement version 2 a pour objectif de renforcer la protection des consommateurs, promouvoir l'innovation et améliorer la sécurité des services de paiement dans toute l'Union européenne, grâce à une harmonisation et un renforcement de la sécurité des paiements en ligne. Entrée en vigueur début 2018, elle a notamment permis de diminuer la franchise restant à la charge du client en cas de paiement frauduleux, de raccourcir les délais de paiement et de supprimer les frais supplémentaires du consommateur lors d’un paiement par carte bancaire.
Regulatory Technical Standards
Les Regulatory Technical Standards (RTS) sont les normes techniques réglementaires qui définissent l’authentification forte des clients afin d’atteindre les objectifs de la DSP2. Ils doivent s’appliquer à tous les paiements en ligne initiés par l’acheteur et réalisés par carte bancaire.
Authentification forte / Strong customer Authentication (SCA)
Pour renforcer la sécurité des transactions en ligne, la DSP2 a rendu obligatoire l’authentification de l’acheteur à l’aide d’au moins deux facteurs d’authentification indépendants, c’est-à-dire que l’invalidité de l’un n’entraîne pas forcément celle de l’autre (par exemple, un mot de passe et une empreinte digitale), parmi 3 possibles : de possession, de connaissance ou d’inhérence.
Facteurs d’authentification
Un facteur d’authentification est un moyen qui permet de s’assurer que la personne qui effectue l’achat en ligne est bien le titulaire de la carte de paiement qui est utilisée. Il peut s’agir par exemple d’un code, d’un mot de passe ou d’une empreinte digitale. Il y a 3 types de facteurs d’authentification :
- Facteur d’authentification de connaissance: C’est une donnée que seul l’acheteur et l’organisme émetteur de la carte de paiement connaissent. Cela peut être un code, un mot de passe ou une question secrète
- Facteur d’authentification de possession: C’est une donnée qui ne peut être obtenue qu’à partir d’un appareil (smartphone) ou un support (carte à puce) qui appartient à l’acheteur, comme l’émission d’un code à usage unique. Il est à noter que la validation par SMS n’est pas reconnue comme une méthode d’authentification forte par l’ABE (autorité bancaire européenne).
- Facteur d’authentification d’inhérence: C’est une donnée qui n’appartient qu’à l’acheteur, comme ses données biométriques (empreinte digitale, reconnaissance faciale, etc.).
Soft Decline
Le soft decline est un mécanisme qui permet à l’émetteur d’une carte de paiement (l’Issuing Bank) de rejeter une transaction non conforme à la DSP2 (c’est-à-dire qui n’a pas fait l’objet d’une authentification forte) tout en laissant la possibilité au marchand de soumettre à nouveau la transaction, mais cette fois-ci avec une authentification forte.
Challenge & Frictionless
Le marchand a la possibilité de demander une exemption de 3DS. Deux scénarios peuvent alors se passer :
- Le challenge : le protocole 3DSv2 sera alors déclenché et la transaction devra être authentifiée fortement pour aboutir
- Le frictionless : la transaction est totalement fluide pour l’acheteur, en d’autres termes sans authentification forte.
Dans le cas d’une transaction frictionless suite à une demande d’exemption, c’est le marchand qui porte la responsabilité en cas de fraude.
No preference
Le marchand peut laisser à la banque le soin de décider si la transaction doit faire l’objet d’une authentification forte ou pas. La banque calcule le risque et émet le paiement ou demande une authentification forte. Dans ce cas c’est la banque qui porte la responsabilité en cas de fraude.
Cette nouvelle réglementation destinée à améliorer la sécurité des paiements en ligne est une opportunité pour les prestataires de services de paiement comme Lemonway pour innover et accompagner leurs clients vers des transactions en ligne toujours plus fluides et toujours plus sûres. Vous souhaitez en savoir plus ? Contactez-nous !
Partager l'article
Envie de faire
le plein d’idées ?
Tous les mois, recevez nos conseils, bonnes pratiques et tendances phares du paiement pour marketplaces.