DSP2 & Instant Payment Basics – Authentification forte du client


Post Image

Authentification forte du client : Quelles sont les règles dictées par la DSP2?

Nous avons vu précédemment, sur notre infographie, les principales nouveautés introduites par la DSP2 (Directive des Services de Paiement 2) et l’Instant Payment. Dans cet article, nous allons traiter d’un aspect de la DSP2 ayant un impact direct sur les marchands : l’authentification forte du client (ou le SCA: Strong Customer Authentication) pour les paiements.

A partir du 1er janvier 2021, les marchands devront s’adapter à l’authentification forte du client (SCA), qui a pour but de renforcer la sécurité des paiements et de protéger les données sensibles de paiement des consommateurs. Chaque pays doit transposer les dispositions de l’UE dans leur législation nationale.

Quelles sont les caractéristiques d’une SCA?

Pour qu’une authentification réponde aux critères de la DSP2, elle doit combiner au moins 2 éléments parmi ces 3 différents types de facteurs :

Ainsi, pour s’authentifier fortement pour un paiement en ligne, il faudra par exemple que le payeur utilise son téléphone (possession) et qu’il s’authentifie avec son empreinte digitale (inhérence).

Le 3-D Secure, méthode d’authentification utilisée pour les paiements par carte bancaire, va également évoluer vers une version 2.0. Aujourd’hui, avant la validation d’un paiement par carte bancaire, le 3-D Secure prend en compte deux éléments qui sont le numéro de la carte bancaire, ainsi que le code envoyé par SMS au payeur. À partir du 1er janvier, le numéro de carte bancaire ne sera plus considéré comme un facteur d’authentification valide, car il peut être lu par une personne malveillante. Ainsi, ce facteur sera remplacé par un autre facteur qui répond aux exigences de la DSP2, comme la biométrie avec le protocole 3-D Secure 2.0.

Dans quels cas la SCA sera applicable ?

Le SCA deviendra obligatoire dans les cas suivants, que ce soit pour des particuliers ou des professionnels :

  • Pour la consultation d’un compte bancaire en ligne initiée par le consommateur ou un AISP (Account Information Service Provider)
  • Ajout d’un bénéficiaire sur l’espace de banque en ligne, car cela pourrait occasionner des opérations frauduleuses.
  • Lors d’un paiement en ligne initié par le consommateur ou un PISP (Payment Initiation Service Provider).

Quelles sont les exemptions du SCA ?

Pour les paiements en ligne, certaines exemptions ont été prévues par la DSP2 pour exclure le SCA du parcours client :

  • Petits montants :

Pour une transaction d’un montant inférieur à 30 euros, jusqu’à 100 euros cumulés ou jusqu’à 5 transactions depuis la dernière SCA. Au delà de 100 euros ou au delà de 5 transactions non authentifiées, un nouveau SCA est requis.

  • Transactions récurrentes de même montant pour le même bénéficiaire :

Un nouveau SCA n’est pas requis si le montant d’un abonnement à un service est exactement le même d’une échéance à l’autre.

  • Paiement à un bénéficiaire de confiance :

Le payeur peut déclarer auprès de sa banque des bénéficiaires de confiance, à mettre sur une liste blanche, pour lesquels il n’est pas requis d’avoir un SCA pour chaque paiement.

  • Un virement à soi-même :

Le SCA ne s’applique pas lorsqu’un virement est effectué pour soi-même, mais à condition que les deux comptes soient tenus par la même banque.

  • TRA – Transactional Risk Analysis

Pour les paiements en ligne d’un montant compris entre 30€ et 500€, le SCA peut être désactivée grâce à la TRA. 

Exemption à l’initiative de la banque émettrice: l’émetteur de la carte peut appliquer une exemption TRA (Transaction risk analysis) même si vous ne l’avez pas demandée. Nous vous conseillons d’envoyer des données supplémentaires dans votre requête de paiement afin d’augmenter les chances d’obtenir cette exemption.

Exemption à l’initiative du PSP:  Les prestataires de paiement peuvent avoir la possibilité d’appliquer ou non SCA à une transaction. Cependant, les prestataires de paiement doivent veiller à ce que leurs taux de fraude ne dépassent pas certains seuils prédéfinis.

  • Les transactions initiées par le marchand (ou MIT : Merchant Initiated Transaction)

Les transactions MIT sont soumises au SCA sauf dans le cas où un mandat est signé par le client. Par exemple, les prélèvements SEPA sont initiés par le marchand, mais disposent d’un mandat de prélèvement signé par le client. Ainsi, le SCA n’est pas applicable dans ce cas là et il n’existe pas de restrictions quels que soient la fréquence ou le montant.

Tout l’enjeu repose sur le bon équilibre entre la sécurité des paiements et une expérience client sans friction en évitant des étapes additionnelles qui pourraient avoir un impact sur le taux de conversion.