Payer en toute sécurité sur Internet

Les clients ne sont plus obligés de retenir des mots de passe et il leur suffit de confirmer les paiements depuis une application mobile. Avec 3-D Secure 2, l'authentification du client est complètement intégrée dans le déroulement de la vente. La responsabilité en cas de transactions frauduleuses incombe entièrement à l'émetteur de la carte.

3-D Secure 2 s'appuie sur un procédé d'authentification fondé sur les risques et prend en compte des données de transaction supplémentaires qui permettent aux commerçants et aux émetteurs de carte de vérifier si le paiement est demandé par le titulaire de la carte et si le processus de paiement est autorisé ou interrompu. La vérification implique aussi d'autres facteurs d'authentification forte du client, comme les habitudes de paiement ou les empreintes digitales. Dans le Frictionless Flow, les transactions comportant des risques faibles sont identifiées. Il n'y a alors pas d'authentification réelle du client et le passage en caisse se fait sans interruption pour le titulaire de la carte. 

• Les paiements se déroulent de manière fluide (Frictionless Flow)
• Votre taux de conversion augmente
• Il y a moins d'interruptions de paiement grâce à l'authentification basée sur le niveau de risque
• Intégration parfaite dans les boutiques en ligne et les applications
• Mécanismes intelligents de reconnaissance des tentatives de fraude pour réduire les escroqueries par carte de crédit
  

Assurez-vous avec vos fournisseurs de solutions que le protocole de sécurité 3-D Secure 2 est correctement mis en place :

• Pour l'intégration technique du nouveau protocole sécurisé, contactez votre prestataire de services de paiement.
• Assurez-vous avec votre fournisseur de boutique en ligne de la bonne intégration via votre prestataire de services de paiement (il est possible que l'interface entre votre prestataire de services de paiement et votre boutique en ligne doive être actualisée ou bien que d'autres modifications doivent être effectuées).
• Peu contraignantes pour les titulaires de carte et fondées sur les risques, les authentifications à l'aide de 3-D Secure 2 utilisent dix fois plus de données (du titulaire de la carte et de la boutique en ligne). Cela permet d'avoir plus de points de vérification et de réduire le taux de fraudes. Parmi ces données, il y a des données à caractère personnel, comme le nom, le numéro de téléphone, l'adresse e-mail du titulaire de la carte, son adresse IP, ainsi que les adresses de facturation et de livraison. Pour cette raison, nous vous recommandons d'adapter votre déclaration de confidentialité conformément au règlement général sur la protection des données (RGPD).
• Pensez aussi à remplacer les noms et logos de Mastercard SecureCode enregistrés sur votre boutique en ligne par Mastercard Identity Check, et ceux de Verified by Visa par Visa Secure.
• Vous êtes client de Worldline et vous utilisez Saferpay pour votre boutique en ligne ? Consultez notre FAQ pour vérifier si vous avez besoin de faire quelque chose.

• Vous n'utilisez pas encore 3-D Secure ? Dans ce cas, vous n'êtes pas conforme à la norme DSP 2. N'hésitez pas à contacter nos spécialistes pour qu'ils vous conseillent sur les étapes à suivre pour implémenter 3-D Secure 2.

La seconde directive sur les services de paiements (Payment Services Directive 2, PSD2) est définie par l'Autorité bancaire européenne et vise à réglementer les nouveaux acteurs et à améliorer la sécurité des échanges. Parmi ces règles figure la règle RTS-SCA (Regulatory Technical Standard – Strong Customer Authentication, à savoir la norme technique réglementaire concernant l’authentification forte du client), qui exige une authentification forte du client à partir du 14 septembre 2019.

Alors que la date butoir du 14 septembre 2019 approchait, de plus en plus de pays européens ont constaté qu'une grande partie de leurs entreprises nationales du secteur de l'e-commerce et du secteur bancaire n'étaient pas en mesure de respecter cette date, qui avait pourtant déjà été reportée.

Il fut estimé que les boutiques en ligne européennes perdraient en moyenne 20 % de leurs revenus si elles ne parvenaient pas à respecter cette date. C’est pourquoi l'Autorité bancaire européenne (EBA), responsable des normes de réglementation techniques, a finalement décidé de reporter une nouvelle fois cette échéance.

La nouvelle échéance définitive, annoncée dans une prise de position de l'EBA, a été fixée au 31 décembre 2020 et les autorités nationales responsables (NCA) ont communiqué cette date dans toute l'Europe aux acteurs nationaux concernés, à savoir les banques, PSP et commerces en ligne dans leurs pays respectifs.

Cependant, afin que la prolongation du délai ne se traduise pas par un manque de réaction de certaines parties jusqu'à l'échéance imminente, l'EBA a demandé aux parties, par la voix des autorités nationales (NCA), des stratégies concrètes de mise en œuvre des SCA comme condition à ce report. En d'autres termes, l'EBA s'est assurée de ne pas se retrouver une nouvelle fois dans la même situation à l'approche de la date butoir.

Enfin, il est important de souligner que les commerçants et leurs PSP doivent être techniquement prêts à la fin du premier semestre 2020 afin d’avoir suffisamment de temps pour tester l'ensemble de la chaîne des processus avec leurs acquéreurs, les schémas et leurs émetteurs. Il n'est pas à exclure que les nouveaux règlements feront l'objet d'interprétations différentes et que l'ajustement prenne du temps ; toutefois il devra être achevé au plus tard avant l'activité de Noël.

A compter du 1er janvier 2021, Worldline ne traitera plus de transactions non conformes à la PSD2.

Non, les paiements suivants sont exclus : Les transactions de vente à distance de type MOTO (Mail Order Telephone Order), les paiements initiés par le commerçant et non liés au client ainsi que les transactions entre titulaires de carte ou commerçants acquéreurs hors de l'espace économique européen ne sont pas soumis à cette règle RTS-SCA.

L'objectif de l'authentification forte du client au moyen de 3-D Secure 2 est de réduire la fraude au paiement à distance, tout en améliorant fortement la convivialité pour le titulaire de la carte, notamment en fournissant à l'émetteur (la banque du titulaire de la carte) davantage d'informations sur le contexte de la transaction, afin de permettre à ce dernier de décider s'il doit ou non procéder à une authentification forte du client pour son titulaire de carte.

1. Si vous utilisez déjà 3-D Secure 1.0 pour toutes vos transactions, le passage à 3-D Secure 2 permettra à certaines de vos transactions de se dérouler « Frictionless » (sans demande d'authentification supplémentaire). Cela augmentera votre taux de conversion tout en vous protégeant contre la fraude.
2. Si vous n'utilisez pas du tout 3-D Secure 1.0 (transactions SSL uniquement) ou si vous l'utilisez partiellement (dynamic 3-D Secure), la mise en œuvre de 3-D Secure 1.0 ou 3-D Secure 2 est obligatoire pour respecter le principe de la SCA. Sinon, vous devez vous attendre à ce qu'un grand nombre de transactions qui ne sont pas 3-D Secure soient refusées par les émetteurs. 3-D Secure 2 vous offre un meilleur taux de conversion que 3-D Secure 1.0.
   

Les principaux ajouts de 3-D Secure 2 sont les suivants :

• Une expérience client plus fluide et plus intégrée, en particulier pour les applications mobiles.
• De nouvelles méthodes d'authentification du côté de la banque du titulaire de la carte.
• La gestion des exemptions et une plus grande fluidité (Frictionless).

Frictionless Flow signifie une transaction de paiement sans demande d'authentification supplémentaire.

En fonction du contexte et des informations fournies dans la demande de paiement, l'émetteur de la carte effectue une analyse des risques et peut décider de ne pas authentifier la transaction. Si l'initiative Frictionless vient de l'émetteur, le commerçant bénéficiera du transfert de responsabilité. En revanche, si le commerçant a effectué sa propre analyse de risque et demande le Frictionless à l'émetteur, il ne bénéficiera pas du transfert de responsabilité.

La RTS prévoit 2 options d'exemption pour les paiements de gré à gré :

• Transactions sans contact de faible valeur

L'exemption peut être invoquée pour une transaction sans contact

➔ Si le montant de l'opération ne dépasse pas EUR 50.
➔ Si, depuis la dernière transaction avec authentification forte du client par le titulaire de la carte, le montant maximal de transactions sans contact, quel que soit le commerçant, ou le nombre de transactions sans contact n'ont pas dépassé un certain seuil (critère de vitesse) défini par la RTS-SCA (max. EUR 150 ou 5 transactions, à la discrétion de l'émetteur, qui peut également baisser ces plafonds).

• Transactions sur terminal non surveillé pour le stationnement ou le transport

• Transactions récurrentes

Une exemption de l'authentification forte du client est appliquée pour une série de transactions à distance d'un même montant pour un même bénéficiaire. Toutefois, l'authentification forte du client est requise pour la première transaction (le contrat) ou pour chaque modification des conditions de la série.

• Transactions de faible valeur

Une exemption de l'authentification forte du client pour un paiement à distance de faible valeur peut être invoquée :

➔ Si le montant de l'opération ne dépasse pas EUR 30.
➔ Si, depuis la dernière transaction avec authentification forte du client par le titulaire de la carte, le montant maximal de transactions à distance de faible valeur, quel que soit le commerçant, ou le nombre de transactions à distance de faible valeur ne dépassent pas un certain seuil (critère de vitesse) défini par la RTS-SCA (max. EUR 100 ou 5 transactions, à la discrétion de l'émetteur, qui peut également baisser ces plafonds).

• Analyse des risques transactionnels

L'exemption d'authentification forte du client pour une transaction à distance appelée « analyse des risques » peut être invoquée par l'acquéreur (au nom du commerçant) et par l'émetteur si les deux conditions suivantes sont remplies :

➔ La transaction est déclarée sûre (par exemple, aucune infection de l'utilisateur par un logiciel malveillant, aucun déboursement anormal par le payeur, localisation du payeur, historique des transactions, etc.).
➔ Le taux de fraude (pour les transactions à distance) de l'établissement de paiement (pour l'acquéreur de la banque et pour l'émetteur de la banque, mais pas pour le commerçant ou son prestataire de services de paiement) est inférieur aux plafonds prédéfinis :

➩ 0,13% si le montant de l'opération est inférieur à EUR 100.
➩ 0,06% si le montant de l'opération est inférieur à EUR 250.
➩ 0,01% si le montant de l'opération est inférieur à EUR 500.
➩ L'exemption ne s'applique pas aux transactions de plus de EUR 500.

Les exemptions ne sont pas courantes et même si les conditions d'exemption sont remplies, la décision finale appartient à l'émetteur (la banque du titulaire de la carte) qui peut ou non l'accorder. L'émetteur enverra un refus progressif pour le paiement, ce qui entraînera une nouvelle présentation du paiement et une demande d'authentification forte du client auprès du titulaire de la carte.

La mise en œuvre de 3-D Secure 2, qui nécessite des modifications tout au long de la chaîne de paiement électronique, se fera progressivement en fonction des différents acteurs du paiement (module de paiement, banques d'affaires, réseaux, banques émettrices). Nous vous conseillons de contacter votre fournisseur de passerelle PSP dès que possible pour savoir s'il est déjà en mesure de vous aider à mettre en œuvre 3-D Secure 2.

La fin de 3-D Secure 1.0 est annoncée pour décembre 2020 pour Visa et Mastercard. 

Worldline, en tant qu'acquéreur, ne bloquera pas les transactions ultérieures d'une transaction initiale qui a eu lieu avant le 31 décembre dans un premier temps et continuera à accepter les transactions ultérieures. Pour les paiements récurrents effectués après le 31 décembre, Worldline recommande d'effectuer une SCA pour le premier et de faire référence à celui-ci dans la transaction suivante afin de conserver le même taux d'approbation.

Les régulateurs nationaux supervisent les activités des acquéreurs et des émetteurs locaux. Le plus important pour le commerçant est cependant la localisation de son acquéreur, car elle déterminera si une phase de transition peut être appliquée. De plus, les commerçants qui font des affaires à l'échelle internationale doivent examiner la réglementation des pays dans lesquels ils travaillent. En effet, certains émetteurs en Europe seront obligés de se conformer à la SCA d'ici le 14 septembre. Cela signifie que ces émetteurs refuseront probablement les transactions par carte traitées sans 3-D Secure.