.png)
La mise en place du protocole 3DS 2.0 est sans aucun doute une bonne nouvelle pour les plateformes de commerce électronique. Ses fonctionnalités répondent aux exigences de la deuxième directive de l'UE sur les services de paiement (PSD2), qui vise à renforcer la sécurité bancaire en Europe et à simplifier l'adoption de nouvelles technologies. L'amélioration de la sécurité et de l'expérience utilisateur devrait être le principal moteur du décollage des transactions en ligne.
3DS 2.0 : qu'est-ce que c'est ?
3DS ou 3D-Secure est un protocole d'authentification sécurisé pour les paiements sans carte (CNP). Il s'agit d'un ensemble de normes opérationnelles qui ajoute une couche de sécurité aux transactions de paiement en ligne ou numériques. Le protocole est appliqué dans le domaine de l'émetteur, le domaine de l'acquéreur et le domaine du réseau de paiement. D'où son nom, 3D, qui fait référence aux trois domaines concernés.
Il a été lancé en 1999 dans le but de protéger les utilisateurs contre d'éventuelles fraudes lors de leurs achats en ligne. Cependant, après deux décennies d'utilisation, le protocole s'est révélé insuffisant pour garantir des transactions pratiques et sécurisées.
Entre autres choses, l'authentification avec l'authentification 3D Secure 1.0 a été exécutée dans une fenêtre contextuelle. Cela a logiquement généré de la méfiance chez les utilisateurs, qui perçoivent les popups comme du marketing gênant ou des logiciels potentiellement malveillants, les amenant à renoncer et à abandonner le panier d'achat. De plus, il présentait des problèmes de compatibilité avec les appareils mobiles et la vitesse de chargement de la page d'autorisation était extrêmement lente.
Pour remédier à ces limites et répondre aux exigences de la PSD2, une version mise à jour connue sous le nom de 3DS 2.0 a été développée. Plus précisément, les modifications visent à faciliter des processus d'authentification des clients robustes et une communication sécurisée.
Quel est l'objectif de 3DS 2.0 ?
En résumé, l'objectif principal de 3DS 2.0 est d'optimiser les processus d'autorisation et de paiement. Ceci est conforme aux normes techniques réglementaires (RTS) de la PSD2, entrées en vigueur en septembre 2019. Les exigences de ces réglementations incluent une authentification forte des clients et une communication sécurisée.
Ces mesures visent à augmenter les niveaux de protection des données des comptes et à améliorer la sécurité des services de paiement. À cet égard, la RTS envisage des mesures visant à améliorer la compatibilité de l'authentification sur les appareils mobiles et l'intégration des portefeuilles numériques.
En particulier, l'utilisation de méthodes dynamiques est suggérée pour l'authentification forte des clients (SCA). Par exemple, remplacer les mots de passe statiques par des données biométriques ou par une authentification basée sur des jetons. Les méthodes dynamiques représentent une approche continue de la sécurité et de l'authentification, qui est plus difficile à contourner que de simples codes d'accès à usage unique ou une authentification basée sur des questions.
Comment fonctionne l'authentification forte des clients avec 3DS 2.0 ?
Supposons, par exemple, que vous souhaitiez effectuer un achat ou un paiement en ligne. Après avoir soumis vos informations de paiement, le commerçant transmettra ces informations à l'émetteur. L'expéditeur doit analyser la transaction et déterminer son niveau de risque afin de l'authentifier.
Il est probable que l'établissement demandera au titulaire de la carte de suivre des consignes de sécurité supplémentaires. Un protocole 3DS 2.0 demande généralement à l'utilisateur d'authentifier son identité en fournissant :
· Un mot de passe ou un code à usage unique envoyé par e-mail ou SMS
· Informations biométriques, telles qu'un scan du visage ou une empreinte digitale
L'émetteur et le vendeur peuvent également partager des données riches, ce qui facilite le processus d'approbation ou de refus de la transaction. Ces informations permettent de prendre des décisions d'authentification basées sur les risques.
Cela implique l'utilisation de données transactionnelles pour établir des critères d'analyse des risques. Cela peut inclure des facteurs tels que :
· Valeur de la transaction
· Historique des transactions et comportement d'achat
· Informations sur l'appareil
· Type de client (nouveau ou récurrent)
À terme, cela permettra à l'émetteur et au commerçant d'affiner leurs systèmes de détection des fraudes. L'évaluation des variables permet d'identifier les niveaux de risque en corrélant les approbations et les rejets d'authentification avec les taux de rétrofacturation.
D'autre part, cela améliore l'expérience utilisateur et, espérons-le, contribue à réduire l'abandon du panier d'achat.
Règles et exemptions strictes en matière d'authentification des clients
Les normes techniques réglementaires (RTS) PSD2 prévoient certaines exclusions pour la mise en œuvre d'une authentification forte des clients. Ainsi, ceux-ci excluent l'obligation d'utiliser les protocoles 3DS 2.0 :
- Les transactions entre commerçants ou clients non domiciliés dans l'Espace économique européen ou traitées par des émetteurs d'autres pays. C'est ce qu'on appelle « TRANSACTION EN UNE SEULE ÉTAPE ».
- Transactions initiées par le commerçant (MIT) sur la base d'une autorisation préalable du client (par exemple, collecte de abonnements). Cependant, pour classer un paiement de cette manière, il doit répondre aux exigences suivantes :
o L'objet de la transaction correspond au paiement de biens ou de services contractés par le client.
o Le commerçant doit avoir reçu un bon de commande du client.
o Autorisation de prélèvement automatique du paiement sans action spécifique de la part du client.
- Les achats de biens ou de services effectués par courrier ou par téléphone.
- Transactions d'entreprise avec des protocoles de sécurité via des canaux directs. Cela inclut les paiements par carte tant que le titulaire de la carte n'est pas un consommateur. L'autorité compétente doit certifier que les niveaux de sécurité des processus de paiement utilisés sont équivalents à ceux de la PSD2.
Une exemption d'authentification sécurisée des clients (SCA) peut également être demandée dans les cas suivants :
- Transactions de faible valeur
- Flux fluide (analyse des risques de transaction ou TRA)
- Bénéficiaires de confiance
Transactions de faible valeur
Pour l'application de cette exonération, il est indispensable que les opérations respectent certaines conditions :
- Le montant de la transaction est moins de 30 euros.
- La valeur cumulée des transactions de paiement électronique récurrentes ne dépasse pas 100 euros, comptabilisés depuis la dernière application du SCA.
- Applicable jusqu'à un maximum de quatre transactions de paiement électronique à distance consécutives. Au-delà de cette limite, l'émetteur doit à nouveau effectuer une authentification forte du client.
Flux fluide
Les émetteurs et les courtiers peuvent demander un flux fluide pour les transactions à faible risque (TRA). Cela implique une exemption de la SCA sur la base d'une analyse des risques de transaction. Il convient de prêter attention aux exigences qui doivent être remplies pour qu'une transaction soit éligible dans cette catégorie.
Les opérations à faible risque doivent présenter les caractéristiques cumulatives suivantes :
- Le prestataire de services de paiement doit démontrer que sa plateforme présente un faible niveau de fraude. Les taux de fraude sont déterminés en fonction du type de transaction sur une base trimestrielle continue. Le taux de fraude ne peut en aucun cas dépasser l'indice de référence.
- La valeur de la transaction ne dépasse pas le seuil d'exemption spécifié dans les normes techniques réglementaires sur la SCA. Ce montant est plafonné à 500 euros.
- Absence de conditions laissant penser à un risque accru de fraude. Cela inclut un comportement inhabituel du payeur, une localisation anormale ou un accès depuis des appareils qui n'ont jamais été utilisés auparavant.
Il convient de noter que l'exemption SCA pour les transactions à faible risque n'est pas automatique. Il doit être demandé et peut être refusé par l'émetteur même si les conditions sont remplies. Il convient également de garder à l'esprit qu'en cas de transactions frauduleuses, l'émetteur peut être exonéré de toute responsabilité si le commerçant a soumis la demande.
De même, lorsque le commerçant en fait la demande, l'émetteur peut s'exonérer de toute responsabilité si la transaction est frauduleuse. Il est donc conseillé de vérifier les règles du fournisseur de paiement avant de demander une exemption TRA. N'oubliez pas que les transactions frauduleuses ont une incidence non seulement sur la rentabilité de votre entreprise, mais également sur votre taux de fraude.
Bénéficiaires de confiance
La caractéristique la plus frappante de cette exemption est qu'elle est la seule qui puisse être demandée par le client. Son objectif est de faciliter la gestion des paiements récurrents ou des paiements à des fournisseurs de confiance. Les clients peuvent demander que la SCA soit supprimée pour les transactions effectuées auprès des commerçants auprès desquels ils effectuent habituellement leurs achats.
Il en résulte une plus grande facilité car des étapes de vérification supplémentaires sont évitées. Le fournisseur de paiement peut toutefois appliquer le SCA s'il estime qu'il existe un risque de fraude. En outre, les transactions doivent être conformes aux exigences générales des normes techniques réglementaires. Enfin, l'émetteur peut fixer des conditions particulières pour la création de ces listes.
L'émetteur ne peut en aucun cas créer une liste basée sur les achats récurrents du payeur, ni la modifier ou supprimer un bénéficiaire. De leur côté, les commerçants peuvent informer sur les avantages de cette exonération, mais ils ne peuvent pas en faire la demande au nom de leurs clients.
Le SCA est appliqué chaque fois que l'enregistrement d'un bénéficiaire de confiance est créé ou modifié.
Quels sont les délais de mise en œuvre et où en sommes-nous dans le processus ?
Comme toute réglementation impliquant des changements technologiques, la mise en œuvre de la 3DS 2.0 est un processus progressif. 2023 semble être la date ultime pour tourner la page et abandonner les protocoles 3DS 1.0.
Depuis la publication de la PSD2 RTS le 14 septembre 2019, les évolutions suivantes se sont produites :
2020
- Depuis le 14 mars 2020, les normes techniques réglementaires sont obligatoires dans l'UE, et 3DS 2.0 est le protocole recommandé aux émetteurs de paiements pour se conformer à la réglementation.
- En avril, Visa Corporation a commencé à mettre en œuvre le changement de responsabilité pour les transactions. La décision a affecté toutes les transactions dans les régions Asie-Pacifique, Europe, Moyen-Orient et Afrique. En août, le fournisseur de services de paiement a ajouté les États-Unis à cette liste de pays.
- En décembre, Mastercard a annoncé une augmentation des tarifs pour 3DS 1.0. L'objectif de cette initiative était de stimuler la migration vers 3DS 2.0.
2021
- Mastercard poursuit sa stratégie d'augmentation des tarifs pour l'authentification 3DS 1.0. En juillet, elle a étendu son application à la région APAC. En retour, il proposait une authentification gratuite avec 3DS 2.0.
- En octobre, cette PSP a cessé de prendre en charge l'authentification avec 3DS1. En conséquence, les émetteurs qui n'étaient pas encore passés à 3DS 2.0 ont été contraints de créer leurs propres solutions ACS.
- Pour sa part, Visa a continué à traiter les transactions avec 3DS 1.0, mais a cessé de prendre en charge le « serveur de tentative » pour cette solution.
2022
- Octobre 2022 sera un mois clé pour l'adoption finale de la 3DS 2.0. À partir du 14 octobre, American Express authentifiera les transactions uniquement avec 3D Secure 2.0 dans le monde entier. La prise en charge de SafeKey 1.0 sera maintenue uniquement en Inde.
- C'est également à cette date que Diners et Discover prévoient de ne plus prendre en charge ProtectBuy 1.0.2.
- Le 15 octobre, Visa cessera de traiter les demandes avec 3DS 1.0. De même, Mastercard cessera de prendre en charge 3DS 1.0, à l'exception des transactions dans des pays tels que l'Inde.
2023
- En 2023, les pays qui continuent à prendre en charge et à mettre en œuvre 3DS 1.0 devront migrer vers 3DS 2.0. D'ici octobre de la même année, Mastercard devrait mettre fin à la prise en charge de 3DS 1.0 en Inde et au Bangladesh.
- American Express ne sera plus compatible avec SafeKey 1.0.
À qui profite la 3DS 2.0 ?
Le protocole 3DS 2.0 est une solution vertueuse, offrant des avantages à tous les acteurs des opérations de commerce électronique. Tout d'abord, les utilisateurs seront mieux protégés contre les tentatives de fraude lors de leurs achats en ligne. L'expérience d'achat sera beaucoup plus pratique et plus simple, même lorsque vous utilisez des appareils mobiles tels que des smartphones ou des tablettes.
La 3DS2.0 s'intégrant nativement aux applications mobiles, elles n'auront pas à quitter le site du marchand pour s'authentifier. En outre, ils peuvent également recharger leurs portefeuilles électroniques grâce à cette authentification.
Les détaillants sont très optimistes quant aux effets que ces changements auront sur le taux d'abandon de leurs paniers d'achats. Les rétrofacturations et, par conséquent, les coûts qui y sont associés devraient également diminuer considérablement.
Enfin, les émetteurs seront en mesure de prendre de meilleures décisions concernant le risque de transaction. En effet, ils auront accès à un large éventail de données sur les titulaires de cartes et les transactions.
