Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

[Tribune] Authentification forte : risques et opportunités du premier grand bouleversement de la DSP2

Tribune Les premiers grands bouleversements liés à la DSP2 sont en vue avec, pour horizon très proche, la date du 14 septembre 2019 qui doit marquer la généralisation du système d’authentification forte pour les paiements en ligne, même si l’Autorité bancaire européenne (ABE) vient d’annoncer la possibilité d’accorder un délai supplémentaire au-delà de cette date pour permettre la mise en place d’un plan de migration des e-commerçants. Entre inquiétude et impréparation, les banques, les prestataires de services de paiement (PSP), les e-commerçants, tous s’inquiètent. A raison, dans une certaine mesure... Par Christophe Mariette, Directeur Commercial de Lyra.
Twitter Facebook Linkedin Flipboard Email
×

[Tribune] Authentification forte : risques et opportunités du premier grand bouleversement de la DSP2
[Tribune] Authentification forte : risques et opportunités du premier grand bouleversement de la DSP2 © D.R.

Nouvelles solutions, nouvelle cryptomonnaie, Instant Payment… le paiement ne cesse d’être au coeur de l’actualité de cette année 2019. Et c’est loin d’être fini. Car ce qui nous occupe beaucoup depuis quelques mois, nous, acteurs du paiement, c’est l’application de la DSP2 et tout particulièrement de l’authentification forte, ou 3DSecure 2. Les premiers grands bouleversements liés à la DSP2 sont donc en vue avec, pour horizon très proche, la date du 14 septembre qui doit marquer la généralisation du système d’authentification forte pour les paiements en ligne, même si l’Autorité bancaire européenne (ABE) vient d’annoncer la possibilité d’accorder un délai supplémentaire au-delà de cette date pour permettre la mise en place d’un plan de migration des e-commerçants. Entre inquiétude et impréparation, les banques, les prestataires de services de paiement (PSP), les e-commerçants, tous s’inquiètent.

 

A raison, dans une certaine mesure. Car ceux qui n’auront pas anticipé cette évolution risquent de voir leur taux de conversion affecté par une baisse potentielle de 10 à 20% selon les estimations, contrairement aux autres qui auront une longueur d’avance. Mais dans toute cette effervescence actuelle autour de l’authentification forte, il faut aussi garder à l’esprit les objectifs premiers de la DSP2, à savoir : limiter la fraude et faciliter l’expérience utilisateur.

 

3DS2, de la théorie à la pratique

En théorie, le 14 septembre prochain signe la fin de la seule décision du e-commerçant de déclencher l’authentification de l’acheteur en ligne grâce au code à usage unique qui lui est envoyé par SMS. Désormais, pour finaliser son paiement, il faudra au moins deux éléments d’authentification parmi "ce que le client sait" (mot de passe, code PIN…), "ce qu’il possède" (téléphone, appareil connecté…), et "ce qui le caractérise"(empreinte digitale, reconnaissance faciale ou vocale…), à moins d’être dans un cas d’exemption.

 

En pratique, pour que la mise en oeuvre de cette disposition soit effective, il faut que les trois acteurs suivants soient prêts :

- le prestataire technique qui doit en premier lieu obtenir la certification EMVCo avant d’obtenir les agréments des différents schémas de carte (Visa, Mastercard et CB)
- l’acquéreur, donc les différentes banques ou le PSP si c’est lui qui fait l’acquisition des transactions
- l’émetteur, c’est-à-dire la banque du client, puisqu’au final, c’est elle qui décidera si oui ou non il faut déclencher une action du porteur pour l’authentification forte.

 

A quelques mois de l’échéance, il semble qu’on soit encore loin du compte… d’où cette période de transition demandée par de nombreux acteurs pour se mettre en conformité et s’adapter progressivement à ces nouvelles mesures de sécurité.

 

La quête du frictionless

Avec le 3DS2, le choix de déclencher ou non une authentification forte reviendra désormais à la banque émettrice (celle de l’acheteur) et non plus à celle de l'e-marchand, et se fera en fonction de son analyse des risques. Des exemptions sont prévues pour les montants inférieurs à 30 euros voire 500 euros en étant en dessous de certains taux de fraude, les opérations récurrentes et les bénéficiaires de confiance (si le commerçant est inscrit par le client sur une "liste blanche").

 

Pour les autres transactions non éligibles aux exemptions, ce sera donc l’authentification forte systématique, au risque d’augmenter les abandons de panier et donc de générer une baisse du taux de conversion pour les marchands. Une perspective qui vient confirmer l’importance du paiement frictionless ! Au centre des attentions se trouve alors la qualification du niveau de risque des transactions, seule exemption sur laquelle les PSP et les e-commerçants peuvent véritablement avoir une influence pour réduire les frictions. Le principe est simple : plus l’émetteur disposera d’informations complètes et pertinentes sur le e-commerçant, la transaction, le client, le panier, la carte (des données évidemment traitées en conformité avec le RGPD et PCI DSS !), moins il exigera la mise en oeuvre d’une authentification forte.

 

En pratique, les e-commerçants et les plateformes de paiement vont devoir transmettre aux banques émettrices un maximum d'informations permettant de faciliter la qualification du niveau de risque des transactions. Cela nécessite des développements complémentaires pour les PSP et là encore, une préparation minutieuse des commerçants pour être en mesure de fournir ces données. Mais les bénéfices sont évidents pour ceux qui sauront en tirer partie : des transactions "frictionless" offriront un parcours client plus fluide favorisant in fine la transformation de clients potentiels en acheteurs.

 

Risques et opportunités

Comme tout changement, le 3DS2 s’accompagne de son lot d’inquiétudes, particulièrement légitimes pour les petits e-commerçants et ceux de taille moyenne qui ont tout intérêt, pour "limiter la casse", à s’adosser à un acquéreur et à un PSP capables de garantir cette mise en conformité. Cela implique un investissement en temps certain et, évidemment un investissement financier ! Mais il faut aussi mettre dans la balance la volonté de réduire la fraude sur les transactions en ligne, encore beaucoup trop élevée et qui coûte cher à l’ensemble des acteurs concernés (en 2017, la fraude en ligne représentait 1 euro de fraude pour 620 euros de paiement selon l’Observatoire de la sécurité des moyens de paiement). L’équilibre n’est donc pas aisé à trouver mais parions à plus ou moins court terme sur une adéquation entre parcours client optimisé, rentabilité et sécurité, qui nous permettra de transformer les contraintes actuelles en opportunités.

 

Les avis d'experts sont publiés sous l'entière responsabilité de leurs auteurs et n'engagent en rien la rédaction de l'Usine Digitale.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale