La DSP2 (Directive sur les services de paiement version 2) est une directive européenne qui a pour objectif d'encourager l'innovation, améliroer la protection des consommateurs et renforcer la sécurité des services de paiement.

La réglementation RTS (Standards Réglementaires et Techniques) liée à la DSP2 impose l’utilisation du processus d’authentification pour l’ensemble des paiements e-commerce initiés par le porteur de carte.

L’objectif est de répondre aux exigences de l'authentification forte du client (Strong Customer Authentication) pour minimiser le risque pour le commerçant tout en veillant à simplifier et fluidifier le parcours des utilisateurs.



Glossaire autour du 3DSV2


Authentification forte / Strong Customer Authentication (SCA)

L'authentification forte du porteur (client) est un exigence réglementaire d'authentification introduite dans le cadre de la DSP2.

Lors d'un paiement en ligne, une authentification forte à 2 facteurs peut être demandée au porteur de la carte de paiement, elle permet de confirmer que la personnance effectuant le paiement en ligne est le porteur de la carte de paiement utilisée.

Une authentification est considérée comme forte lorsqu’elle réunit deux des trois facteurs d'authentification suivants :

  • un élément connu du porteur (un mot de passe, un code secret, etc.)
  • un élément possédé par le porteur (téléphone mobile via l’application de la banque, une carte bancaire, etc.)
  • une caractéristique biométrique (une empreinte digitale, la reconnaissance vocale, etc.)



Frictionless

Le marchand a la possibilité de demander une exemption d'authentification du porteur lors du paiement en ligne. La décision finale est laissée à la banque émettrice.

Lors d'une transaction "frictionless" une authentification passive du porteur est effectuée, il n'a aucune action à effectuer.

En résumé, il s'agit d'un processus qui réduit l'intervention de l'acheteur au cours du processus de paiement.

En cas de transaction frictionless, le transfert de responsabilité dépend de la marque de la carte : Transfert de reponsabilité et Matrices 3D-Secure



Préférences du marchand : no Preference / challenge / mandate

Le commerçant peut solliciter l’émetteur pour demander ou non une exemption d’authentification forte. Plusieurs choix se présentent à lui :

  • Le commerçant ne prend aucune action (no preference) : le choix d’exemption est laissé à l’émetteur.
  • Le commerçant demande une authentification forte (challenge) :
    • Obligatoire (mandate) : l’émetteur doit authentifier l’acheteur (par exemple pour la première transaction d’un abonnement)
    • Préférentielle (request) : Le commerçant souhaite authentifier l’acheteur. Le choix final reste à l’émetteur.
  • Le commerçant demande une exemption d’authentification forte (no Challenge - Frictionless) : L’émetteur va accepter ou non la demande du commerçant selon les informations transmises par celui-ci (données à transmettre).


Le transfert de responsabilité dépend du choix du commerçant et de la marque de la carte : Transfert de reponsabilité et Matrices 3D-Secure



Soft decline

La DSP2 permet aux banques émettrices de refuser une transaction si une authentification forte 3D Secure n'a pas été effecutée. Ce mécanisme s'appelle le Soft Decline.

Dans ce cas, la plaforme Axepta effectue un 'retry' automatique, la transaction est rejouée et l'authentification forte est proposée à l'acheteur / porteur de la carte.




Transactions non concernées par la SCA


Dans le cadre de cette nouvelle réglementation, certains cas de paiements peuvent bénéficier d’exemption à l’authentification forte du client tels que :

  • Les paiements récurrents (transactions MIT - Merchant nitiated Transactions) : Le paiement initial nécessite une authentification forte cependant les paiements suivants seront exemptés. Dans le cas d’un changement de montant de l’abonnement, l’acheteur devra de nouveau passer par une procédure d’authentification forte.
  • Les transactions MoTo (Mail Orders and Telephone Orders): ce type de transaction n’est pas considéré comme un paiement électronique.



Les exemptions


Le marchand peut demander une exemption d'authentification pour certaines transactions soumises à l'authentification forte :
  • Les transactions à faible montant (inférieur à 30€) : Les banques doivent toutefois demander une authentification si l’exemption a été utilisée cinq fois depuis la dernière authentification réussie du titulaire de la carte ou si la somme des paiements exemptés précédemment dépasse 100 €.
  • Les transactions à faible risque (TRA : Transaction Risk Analysis) : une dérogation à l’obligation d’authentification forte peut être accordée. Pour cela, il faut l'accord préalable de l'acquéreur (sur la base d’une analyse de risque en temps réel de chaque opération).



Favoriser les paiements 'Frictionless'


Plusieurs paramètres peuvent être ajoutées à la requête de paiement afin de favoriser les paiements frictionless.

Pour plus de détails : Paiements 'Frictionless' et exemptions

  • No labels