La The DSP2 (Directive sur les services de paiement version 2) est une directive européenne visant à encourager l'innovation, améliorer la protection des consommateurs et renforcer la sécurité des services de paiement. La réglementation RTS (Standards Réglementaires et Techniques) liée à la DSP2 impose l’utilisation du processus d’authentification pour l’ensemble des paiements e-commerce initiés par le porteur de carte. L’objectif est de répondre aux exigences de l'authentification forte du client Second Payment Services Directive) is a European directive aimed at encouraging innovation, improving consumer protection, and enhancing the security of payment services. The RTS (Regulatory Technical Standards) related to DSP2 mandates the use of the authentication process for all e-commerce payments initiated by the cardholder. The goal is to meet the requirements of strong customer authentication (Strong Customer Authentication - SCA) pour minimiser le risque pour le commerçant tout en simplifiant et fluidifiant le parcours des utilisateurs.
Glossaire autour du 3DSV2
to minimize risk for merchants while simplifying and streamlining the user journey.
Glossary on 3DSV2
...
Strong Customer Authentication (SCA)
L'authentification forte du porteur (client) est une exigence réglementaire introduite dans le cadre de la DSP2. Lors d'un paiement en ligne, une authentification forte à 2 facteurs peut être demandée au porteur de la carte de paiement, permettant de confirmer que la personne effectuant le paiement est bien le titulaire de la carte.
Une authentification est considérée comme forte lorsqu’elle réunit deux des trois facteurs d'authentification suivants :
- Un élément connu du porteur (un mot de passe, un code secret, etc.)
- Un élément possédé par le porteur (téléphone mobile via l’application de la banque, une carte bancaire, etc.)
- Une caractéristique biométrique (une empreinte digitale, la reconnaissance vocale, etc.)
Frictionless
Le marchand a la possibilité de demander une exemption d'authentification du porteur lors du paiement en ligne. La décision finale est laissée à la banque émettrice.
Lors d'une transaction "frictionless", une authentification passive du porteur est effectuée, sans aucune action de sa part. En résumé, il s'agit d'un processus qui réduit l'intervention de l'acheteur au cours du processus de paiement.
En cas de transaction frictionless, le transfert de responsabilité dépend de la marque de la carte. Pour plus de détails, consultez notre documentation sur le Transfert de Responsabilité et Matrices 3D-Secure.
Préférences du Marchand : no Preference / challenge / mandate
Le commerçant peut solliciter l’émetteur pour demander ou non une exemption d’authentification forte. Plusieurs choix se présentent à lui :
- Le commerçant ne prend aucune action (no preference) : Le choix d’exemption est laissé à l’émetteur.
- Le commerçant demande une authentification forte (challenge) :
- Obligatoire (mandate) : L’émetteur doit authentifier l’acheteur (par exemple pour la première transaction d’un abonnement).
- Préférentielle (request) : Le commerçant souhaite authentifier l’acheteur. Le choix final reste à l’émetteur.
- Le commerçant demande une exemption d’authentification forte (no Challenge - Frictionless) : L’émetteur va accepter ou non la demande du commerçant selon les informations transmises par celui-ci (données à transmettre).
Le transfert de responsabilité dépend du choix du commerçant et de la marque de la carte. Pour plus de détails, consultez notre documentation sur le Transfert de Responsabilité et Matrices 3D-Secure.
Soft Decline
En cas de transaction réalisée sans SCA (Authentification forte 3DS), les émetteurs peuvent répondre par des Soft Decline. Cela signifie que la demande d'autorisation de transaction est refusée par l'émetteur, cependant, la même transaction peut être initiée à nouveau. La principale raison pour laquelle des Soft Decline apparaissent dans le contexte de 3D Secure est que les émetteurs n'acceptent pas les exemptions de SCA demandées par le commerçant lorsqu'il demande un paiement sans que l'authentification soit réalisée au préalable.
Avec la fonctionnalité de gestion automatisée des Soft Decline, basée sur la configuration, la plateforme Axepta BNP Paribas réagira à la réponse de Soft Decline en redémarrant automatiquement le paiement en forçant l'authentification forte. La plateforme Axepta BNP Paribas activera ensuite automatiquement un nouveau paiement au nom du commerçant et inclura le flux 3-D Secure.
Important :
Strong customer authentication (SCA) is a regulatory requirement introduced under DSP2. During an online payment, strong two-factor authentication may be requested from the cardholder, confirming that the person making the payment is indeed the cardholder. An authentication is considered strong when it combines two of the following three authentication factors:
Something known to the cardholder (a password, a secret code, etc.)
Something possessed by the cardholder (mobile phone via the bank's application, a bank card, etc.)
Something inherent to the cardholder (a fingerprint, voice recognition, etc.)
Frictionless
The merchant has the option to request an exemption from cardholder authentication during online payment. The final decision is left to the issuing bank.
In a "frictionless" transaction, passive authentication of the cardholder is performed without any action on their part. In summary, this is a process that reduces buyer intervention during the payment process.
In the case of a frictionless transaction, liability shift depends on the card brand. For more details, refer to our documentation on Liability Shift and 3D-Secure Matrices.
Merchant Preferences: no Preference / challenge / mandate
The merchant can request the issuer to grant or not grant an exemption from strong authentication. Several options are available:
The merchant takes no action (no preference): The choice of exemption is left to the issuer.
The merchant requests strong authentication (challenge):
Mandatory (mandate): The issuer must authenticate the buyer (e.g., for the first transaction of a subscription).
Preferred (request): The merchant wishes to authenticate the buyer. The final choice remains with the issuer.
The merchant requests an exemption from strong authentication (no Challenge - Frictionless): The issuer will accept or reject the merchant's request based on the information provided (data to be transmitted).
Liability shift depends on the merchant's choice and the card brand. For more details, refer to our documentation on Liability Shift and 3D-Secure Matrices.
Soft Decline
In the case of a transaction made without SCA (3DS Strong Authentication), issuers may respond with a Soft Decline. This means that the transaction authorization request is refused by the issuer; however, the same transaction can be initiated again. The main reason why Soft Declines occur in the context of 3D Secure is that issuers do not accept SCA exemptions requested by the merchant when they request a payment without prior authentication.
With the automated Soft Decline management feature, based on configuration, the Axepta BNP Paribas platform will react to the Soft Decline response by automatically restarting the payment by forcing strong authentication. The Axepta BNP Paribas platform will then automatically initiate a new payment on behalf of the merchant and include the 3-D Secure flow.
Important:
From the user's perspective, customers will notice no difference and will not need to re-enter their credit card details. The entire process is managed by the Axepta BNP Paribas platform.
- Du point de vue de l'utilisateur, les clients ne remarqueront aucune différence et n'auront pas besoin de saisir à nouveau leurs données de carte de crédit. Le processus entier est géré par la plateforme Axepta BNP Paribas.
- Veuillez noter que cette solution n'est pas disponible pour les intégrations serveur-à-serveur, car la plateforme Axepta BNP Paribas n'a pas le client (navigateur) sous contrôle pour débuter le processus 3-D Secure. Pour l'intégration serveur-à-serveur, le commerçant est responsable de réactiver le paiement avec le flux 3-D Secure et, surtout, de forcer la SCA via le paramètre JSON disponible
Please note that this solution is not available for server-to-server integrations, as the Axepta BNP Paribas platform does not control the client (browser) to initiate the 3-D Secure process. For server-to-server integration, the merchant is responsible for reactivating the payment with the 3-D Secure flow and, above all, forcing SCA via the available JSON parameter
threeDSPolicy (challengePreference = mandateChallenge).
Transactions
...
Not Subject to SCA
Under this new regulation, some payment cases may be exempt from strong customer authentication:
Recurring payments (
...
Dans le cadre de cette nouvelle réglementation, certains cas de paiements peuvent bénéficier d’exemption à l’authentification forte du client :
- Les paiements récurrents (transactions
MIT - Merchant Initiated Transactions):
Le paiement initial nécessite une authentification forte, cependant les paiements suivants seront exemptés. Dans le cas d’un changement de montant de l’abonnement, l’acheteur devra de nouveau passer par une procédure d’authentification forte.The initial payment requires strong authentication; however, subsequent payments will be exempt. In the case of a change in the subscription amount, the buyer will need to go through a strong authentication procedure again.
- Les transactions
MoTo (Mail Orders and Telephone Orders) transactions:
CeThis type
de transaction n’est pas considéré comme un paiement électronique.
Les Exemptions
Le marchand peut demander une exemption d'authentification pour certaines transactions soumises à l'authentification forte :
of transaction is not considered an electronic payment.
Exemptions
The merchant can request an exemption from authentication for some transactions subject to strong authentication:
Low-value transactions (less than €30): Banks must, however, request authentication if the exemption has been used five times since the last successful authentication of the cardholder or if the sum of previously exempted payments exceeds €100.
Low-risk transactions
- Les transactions à faible montant (inférieur à 30€) : Les banques doivent toutefois demander une authentification si l’exemption a été utilisée cinq fois depuis la dernière authentification réussie du titulaire de la carte ou si la somme des paiements exemptés précédemment dépasse 100 €.
- Les transactions à faible risque
(TRA: Transaction Risk Analysis):
Une dérogation à l’obligation d’authentification forte peut être accordée. Pour cela, il faut l'accord préalable de l'acquéreur (sur la base d’une analyse de risque en temps réel de chaque opération).
Favoriser les Paiements 'Frictionless'
An exemption from the strong authentication obligation may be granted. For this, prior agreement from the acquirer is required (based on a real-time risk analysis of each operation).
Promoting 'Frictionless' Payments
Several parameters can be added to the payment request to promote frictionless payments. For more details, refer to our documentation on Frictionless Payments and Plusieurs paramètres peuvent être ajoutés à la requête de paiement afin de favoriser les paiements frictionless. Pour plus de détails, consultez notre documentation sur les Paiements 'Frictionless' et Exemptions.