À l’approche de la prochaine application des Normes Techniques de Réglementations, plusieurs médias se sont relayés pour annoncer l’absence de conformité du SMS de vérification (3D Secure) dans le cadre d’un paiement à distance.
Qu’en est-il vraiment ? Nous avons mené l’enquête pour vous délivrer une vision d’ensemble sur les impacts structurels et opérationnels à venir à partir du 14 septembre prochain.
En quoi le sms de vérification n’est plus jugé comme suffisamment sécurisé ?
Pour rappel, le SMS de vérification (3D Secure) utilisé par 71% des e-commerçants déclenche l’envoi d’un code temporaire de confirmation sur le mobile du client que ce dernier doit ensuite saisir sur la page de paiement. Si ce mécanisme a indéniablement contribué à diminuer la fraude, les cybercriminels se sont adaptés et ont trouvé de nouvelles méthodes pour contourner cette mesure de sécurité.
En effet, la principale faille de ce mécanisme est qu’il permet de vérifier uniquement un critère de sécurité : la possession du téléphone par son utilisateur, qui sert à recevoir le code de validation. Pour avoir un système considéré comme à authentification forte, il faut deux composants distincts qui opèrent indépendamment et qui limitent ainsi la fraude en cas d’éventuel usurpation.
Quelles sont les obligations de la directive des services de paiement n°2 (DSP2) ?
L’un des objectifs clé de la DSP2 consiste à renforcer la sécurité et la confiance des consommateurs dans le commerce électronique. Pour cela, la directive a confié le soin à l’ABE de rédiger les normes techniques de réglementation (RTS).
Ces normes définissent l’ensemble des mesures techniques à mettre en œuvre pour permettre une « authentification forte » des consommateurs selon la DSP2. Elles doivent être appliquées à chaque fois qu’un consommateur initie une opération de paiement en ligne en dehors d’un certain nombre de cas d’exemption sur lesquels nous reviendrons.
La notion d’authentification forte, plus connus sous le nom de « Strong Customer Authentification » requiert la combinaison d’au moins deux des trois facteurs d’authentifications suivants :
- Quelque chose que le consommateur sait (par exemple un mot de passe, un code PIN)
- Quelque chose que le consommateur possède (par exemple un téléphone portable, un objet connecté, une carte à puce…)
- Quelque chose que le consommateur est (par exemple une empreinte digitale, reconnaissance faciale, reconnaissance vocale…)
Par ailleurs, il est de plus en plus évoqué la notion d’un quatrième facteur pouvant être « quelque chose que je fais », lié à l’analyse du comportement du consommateur (utilisation de la souris, fréquence à laquelle il tape sur le clavier…).
A partir de septembre 2019, tous les paiements effectués par carte bancaire sur internet devront être soumis à une authentification forte.
Quelles sont les dérogations prévues à l’authentification forte ?
Les Normes Techniques de Réglementation prévoient un certain nombre de dérogations à l’authentification forte pour ne pas bouleverser les habitudes des internautes et ainsi continuer à proposer une expérience d’achat fluide pour des opérations dont le risque est maîtrisé.
Voici les dérogations les plus importantes à la procédure SCA :
- Les marchands qui sont inscrits sur la liste « bénéficiaire de confiance » du payeur ;
- Les opérations de faibles valeurs et à faible risque. A savoir, les opérations de paiement inférieur ou égal à 30€, dans la limite d’un montant cumulé de 100€ ou de 5 opérations consécutives ;
- Les abonnements et paiements récurrents ayant le même bénéficiaire, le même montant et dont le montant global maximum est déterminable. Seule la première transaction nécessitera une procédure SCA ;
- Les transactions MOTO (Mail Orders and Telephone Orders) qui ne sont pas considéré comme des paiements électroniques à distance ;
- Les paiements par carte professionnelle qui ne sont pas concernés par la procédure SCA ;
- Le recours à l’analyse de risque en temps réel (TRA : Transaction Risk Analysis) qui ne s’applique qu’aux transactions de mois de 500€. Pour en bénéficier, l’émetteur et l’acquéreur ne doivent pas dépasser un taux de fraude global fixé par la DSP2 ;
- Les transactions initiées par les marchands telles que le prélèvement automatique.
Qui est responsable des transactions en cas d’exemption à l’authentification forte ?
Lorsque le marchand choisit de bénéficier d’une exemption auprès de son acquéreur (monétique), il est fort probable que ce dernier transfère la responsabilité de la transaction (en dehors d’une entente contractuelle). Il est donc essentiel que les marchands maintiennent des programmes de détection et d’analyse de fraude afin de limiter leurs pertes financières.
D’autre part, les marchands qui détiennent un taux de fraude élevé risquent d’être discriminés par les acquéreurs. En effet, les acquéreurs peuvent utiliser l’analyse de risque en temps réel (et une possible exemption d’authentification forte) à condition de respecter certains seuils spécifiques de taux de fraude.
Maximiser votre taux de conversion grâce à SAFEDEBIT
Les normes techniques de régulation ne s’appliquent pas aux paiements de compte à compte SAFEDEBIT car les transactions sont initiées par le bénéficiaire et les mandats sont mis en place sans passer par la banque. Dans le but d’offrir une expérience de paiement en ligne fluide, l’e-commerçant peut également souscrire à SAFEDEBIT One-Click, une solution qui offre une expérience de paiement optimale pour les consommateurs récurrents et sans point de friction.
Avec les nombreux impacts à venir à partir du 14 septembre 2019, n’hésitez pas à nous contacter pour obtenir des informations sur notre solution de paiement SAFEDEBIT qui répond aux exigences de la DSP2 !
Sources :
https://www.fevad.com/paiement-ligne-authentification-forte-mieux-faire/
https://www.journaldunet.com/ebusiness/commerce/1206512-e-commerce-comment-dsp2-change-la-donne-de-l-authentification-forte/
https://blog.pradeo.com/fr/authentification-sms-securite
https://www.ecommercemag.fr/Thematique/techno-ux-1226/Breves/validation-paiement-SMS-pas-disparaitre-2019-335508.htm
https://www.fevad.com/paiements-ce-qui-vous-attend-en-2019/
https://www.adyen.com/fr_FR/blog/dsp2-lauthentification-forte-du-client
