La mise en œuvre du protocole 3DS 2.0 est sans aucun doute une bonne nouvelle pour les plateformes de commerce électronique. Ses fonctionnalités répondent aux exigences de la deuxième directive européenne sur les services de paiement (DSP2), qui vise à renforcer la sécurité bancaire en Europe et à simplifier l'adoption de nouvelles technologies. Les améliorations en matière de sécurité et d'expérience utilisateur devraient être le moteur définitif de l'essor des transactions en ligne.
3DS 2.0 : Qu'est-ce que c'est ?
3DS ou 3D-Secure est un protocole d'authentification de sécurité pour les paiements par carte non présentée (CNP). Il s'agit d'un ensemble de normes opérationnelles qui ajoute une couche de sécurité aux transactions de paiement en ligne ou numériques. Le protocole est appliqué dans le domaine de l'émetteur, de l'acquéreur et du réseau de paiement. D'où son nom, 3D, qui fait référence aux trois domaines concernés.
Il a été lancé en 1999 dans le but de protéger les utilisateurs contre d'éventuelles fraudes lors de leurs achats en ligne. Cependant, après deux décennies d'utilisation, le protocole s'est avéré insuffisant pour garantir des transactions pratiques et sûres.
Entre autres, l'authentification avec 3D Secure 1.0 était exécutée dans une fenêtre pop-up. Cela a logiquement généré de la méfiance chez les utilisateurs, qui perçoivent les popups comme du marketing gênant ou des logiciels potentiellement malveillants, ce qui les conduit à renoncer et à abandonner le panier d'achat. En outre, elle présentait des problèmes de compatibilité avec les appareils mobiles et la vitesse de chargement de la page d'autorisation était terriblement lente.
Pour remédier à ces limites et répondre aux exigences de la DSP2, une version actualisée connue sous le nom de 3DS 2.0 a été développée. Plus précisément, les changements visent à faciliter les processus d'authentification forte des clients et la communication sécurisée.
Quel est l'objectif de 3DS 2.0 ?
En bref,l'objectif principal de 3DS 2.0 est d'optimiser les processus d'autorisation et de paiement. Cette démarche est conforme aux normes techniques réglementaires (RTS) de la DSP2, en vigueur depuis septembre 2019. Les exigences de cette réglementation incluent une authentification forte du client et une communication sécurisée.
Ces mesures visent à augmenter les niveaux de protection des données des comptes et à améliorer la sécurité des services de paiement. À cet égard, les RTS envisagent des mesures visant à améliorer la compatibilité de l'authentification sur les appareils mobiles et l'intégration des portefeuilles numériques.
En particulier, l'utilisation de méthodes dynamiques est suggérée pour l'authentification forte du client (SCA). Par exemple, le remplacement des mots de passe statiques par des données biométriques ou une authentification par jeton. Les méthodes dynamiques représentent une approche continue de la sécurité et de l'authentification, qui est plus difficile à contourner que les simples codes d'accès à usage unique ou l'authentification basée sur des questions.
Comment l'authentification forte du client fonctionne-t-elle avec 3DS 2.0 ?
Disons, par exemple, que vous souhaitez effectuer un achat ou un paiement en ligne. Après avoir soumis les détails de votre paiement, le commerçant transmet ces informations à l'émetteur. L'émetteur doit analyser la transaction et déterminer son niveau de risque afin de l'authentifier.
Il est probable que l'établissement demande au titulaire de la carte de suivre des directives de sécurité supplémentaires. Un protocole 3DS 2.0 demandera généralement à l'utilisateur d'authentifier son identité en fournissant :
- Un mot de passe ou un code à usage unique envoyé par courrier électronique ou par SMS.
- Informations biométriques, telles qu'un scan du visage ou une empreinte digitale.
L'émetteur et le vendeur peuvent également partager des données, qui soutiennent le processus d'approbation ou de refus de la transaction. Ces informations permettent de prendre des décisions d'authentification fondées sur le niveau de risque.
Il s'agit d'utiliser les données transactionnelles pour établir des critères d'analyse des risques. Elle peut inclure des facteurs tels que :
- Valeur de la transaction
- Historique des transactions et comportement d'achat
- Informations sur l'appareil
- Type de client (nouveau ou ancien)
En définitive, cela permettra à l'émetteur et au commerçant d'affiner leurs systèmes de détection des fraudes. L'évaluation des variables permet d'identifier les niveaux de risque en mettant en corrélation les approbations et les rejets d'authentification avec les taux de chargebacks.
D'autre part, elle améliore l'expérience de l'utilisateur et contribue, espérons-le, à réduire l'abandon du panier d'achat.
Règles et exemptions relatives à l'authentification forte des clients
Les normes techniques réglementaires (RTS) de la DSP2 prévoient certaines exclusions pour la mise en œuvre de l'authentification forte du client. Ainsi, celles-ci excluent l'obligation d'utiliser les protocoles 3DS 2.0 :
- Transactions entre commerçants ou clients non domiciliés dans l'Espace économique européen ou traitées par des émetteurs d'autres pays. C'est ce que l'on appelle la "ONE LEG TRANSACTION".
- Les transactions initiées par le commerçant (MIT) sur la base d'une autorisation précédente avec le client (par exemple, l'encaissement des abonnements). Cependant, pour qu'un paiement soit classé de cette manière, il doit répondre à ces exigences :
o L'objet de la transaction correspond au paiement de biens ou de services contractés par le client.
o Le commerçant doit avoir un bon de commande du client.
o Autorisation de débit automatique du paiement sans action spécifique du client.
- Les achats de biens ou de services effectués par courrier ou par appel téléphonique.
- Transactions d'entreprise avec des protocoles de sécurité par des canaux directs. Cela inclut les paiements par carte pour autant que le titulaire de la carte ne soit pas un consommateur. L'autorité compétente doit certifier que les niveaux de sécurité des processus de paiement utilisés sont équivalents à ceux de la PSD2.
Une exemption d'authentification sécurisée du client (SCA) peut également être demandée dans les cas suivants :
- Transactions de faible valeur
- Flux sans friction (analyse du risque de transaction ou TRA)
- Bénéficiaires de confiance
Transactions de faible valeur
Pour l'application de cette exemption, il est indispensable que les opérations respectent certaines conditions :
- Le montant de la transaction est inférieur à 30 euros.
- La valeur cumulée des opérations de paiement électronique récurrentes (abonnements) ne dépasse pas 100 euros, comptabilisés depuis la dernière application de la SCA.
- Applicable jusqu'à un maximum de quatre transactions consécutives de paiement électronique à distance. Au-delà de cette limite, l'émetteur doit à nouveau procéder à une authentification forte du client.
Flux sans frottement
Les émetteurs et les courtiers peuvent demander à bénéficier d'une circulation fluide pour les transactions à faible risque (TRA). Il s'agit d'une exemption du SCA basée sur une analyse du risque de transaction. Il convient de prêter attention aux exigences qui doivent être satisfaites pour qu'une transaction puisse être classée dans cette catégorie.
Les opérations à faible risque doivent présenter les caractéristiques cumulatives suivantes :
- Le prestataire de services de paiement doit démontrer que sa plateforme présente un faible taux de fraude. Le taux de fraude est déterminé en fonction du type de transaction sur une base trimestrielle glissante (mobile). En aucun cas, le taux de fraude ne peut dépasser le taux de référence.
- La valeur de la transaction n'excède pas le seuil d'exemption spécifié dans les normes techniques réglementaires sur les SCA. Ce montant est de 500 euros maximum.
- Absence de conditions qui suggéreraient un risque accru de fraude. Il s'agit notamment d'un comportement inhabituel du payeur, d'une localisation anormale ou d'un accès à partir de dispositifs qui n'ont pas été utilisés auparavant.
Il convient de noter que l'exemption de la SCA pour les transactions à faible risque n'est pas automatique. Elle doit être demandée et peut être refusée par l'émetteur même si les conditions sont remplies. Il convient également de garder à l'esprit qu'en cas de transactions frauduleuses, l'émetteur peut être exonéré de toute responsabilité si le commerçant en a fait la demande.
De même, lorsque c'est le commerçant qui fait la demande, l'émetteur peut s'exonérer de toute responsabilité si la transaction est frauduleuse. Il est donc conseillé de vérifier les règles du prestataire de paiement avant de demander une exemption d'EMR. N'oubliez pas que les transactions frauduleuses affectent non seulement la rentabilité de votre entreprise mais aussi votre taux de fraude.
Bénéficiaires de confiance
La caractéristique la plus marquante de cette exonération est qu'elle est la seule à pouvoir être demandée par le client. Elle a pour but de faciliter la gestion des paiements récurrents ou des paiements à des fournisseurs de confiance. Le client peut demander l'exonération du SCA pour les transactions effectuées chez les commerçants où il effectue habituellement ses achats.
Il en résulte une plus grande facilité car des étapes de vérification supplémentaires sont évitées. Toutefois, le prestataire de paiement peut appliquer le SCA s'il estime qu'il existe un risque de fraude. En outre, les transactions doivent être conformes aux exigences générales des normes techniques réglementaires. Et enfin, l'émetteur peut fixer des conditions particulières pour la création de ces listes.
En aucun cas, l'émetteur ne peut créer une liste basée sur les achats récurrents du payeur, ni la modifier ou en retirer un bénéficiaire. De leur côté, les commerçants peuvent informer des avantages de cette exemption, mais ils ne peuvent pas la demander au nom de leurs clients.
Le SCA est appliqué chaque fois que l'enregistrement d'un bénéficiaire de confiance est créé ou modifié.
Quels sont les délais de mise en œuvre et où en sommes-nous dans le processus ?
Comme toute réglementation impliquant un changement technologique, la mise en œuvre de 3DS 2.0 est un processus progressif. 2023 semble être la date limite pour tourner la page et laisser derrière soi les protocoles 3DS 1.0.
Depuis la publication des RTS DSP2 le 14 septembre 2019, les développements suivants ont eu lieu :
2020
- À partir du 14 mars 2020, les normes techniques réglementaires sont obligatoires dans l'UE, et 3DS 2.0 est le protocole recommandé aux émetteurs de paiements pour se conformer à la réglementation.
- En avril, Visa Corporation a commencé à mettre en œuvre le changement de responsabilité pour les transactions. La décision a touché toutes les transactions dans les régions Asie-Pacifique, Europe, Moyen-Orient et Afrique. En août, le prestataire de services de paiement a ajouté les États-Unis à cette liste de pays.
- En décembre, Mastercard a annoncé une augmentation des tarifs pour la 3DS 1.0. L'objectif de cette mesure était de stimuler la migration vers la 3DS 2.0.
2021
- Mastercard poursuit sa stratégie d'augmentation des tarifs pour l'authentification 3DS 1.0. En juillet, elle a étendu son application à la région APAC. En contrepartie, elle a offert une authentification gratuite avec 3DS 2.0.
- En octobre, ce PSP a cessé de prendre en charge l'authentification avec 3DS1. En conséquence, les émetteurs qui n'étaient pas encore passés à la 3DS 2.0 ont été contraints de générer leurs propres solutions ACS.
- Pour sa part, Visa a continué à traiter les transactions avec 3DS 1.0, mais a cessé de prendre en charge le "serveur de tentative" pour cette solution.
2022
- Octobre 2022 sera un mois clé pour l'adoption définitive de 3DS 2.0. À partir du 14 octobre, American Express authentifiera les transactions uniquement avec 3D Secure 2.0 dans le monde entier. Elle ne maintiendra le support de SafeKey 1.0 qu'en Inde.
- C'est également la date à laquelle Diners et Discover prévoient de ne plus supporter ProtectBuy 1.0.2.
- Le 15 octobre, Visa cessera de traiter les demandes avec 3DS 1.0. De même, Mastercard cessera de prendre en charge la 3DS 1.0, à l'exception des transactions dans des pays comme l'Inde.
2023
- En 2023, les pays qui continuent à soutenir et à mettre en œuvre 3DS 1.0 devront migrer vers 3DS 2.0. En octobre de cette année-là, Mastercard devrait cesser de prendre en charge le système 3DS 1.0 en Inde et au Bangladesh.
- American Express ne supportera plus SafeKey 1.0.
Qui bénéficie de 3DS 2.0 ?
Le protocole 3DS 2.0 est une solution vertueuse, offrant des avantages à tous ceux qui participent aux opérations de commerce électronique. Tout d'abord, les utilisateurs seront mieux protégés contre les tentatives de fraude lors de leurs achats en ligne. L'expérience d'achat sera beaucoup plus pratique et plus simple, même en utilisant des appareils mobiles tels que des smartphones ou des tablettes.
Comme 3DS2.0 s'intègre nativement aux applications mobiles, ils n'auront pas à quitter le site du commerçant pour s'authentifier. De plus, ils pourront également recharger leurs portefeuilles électroniques, grâce à cette authentification.
Les détaillants sont très optimistes quant aux effets que ces changements auront sur les taux d'abandon de panier. Les chargebacks et, par conséquent, les coûts qui y sont associés, devraient également diminuer considérablement.
Enfin, les émetteurs seront en mesure de prendre de meilleures décisions concernant le risque de transaction. En effet, ils auront accès à un large éventail de données sur les titulaires de cartes et les transactions.