Lyra payment

3D Secure 2.0 et DSP2 en e-commerce : des conseils pour bien vous préparer

Lyra, société spécialisée dans la sécurisation des paiements de proximité et en ligne, était présente en septembre dernier au salon Paris Retail Week. Christophe Mariette, Directeur commercial et Muriel Serres, Responsable produit e-commerce, sont revenus sur l’histoire du paiement 3D Secure en e-commerce.

Lyra, acteur majeur du paiement, gère 4 millions de TPE (terminaux de paiement électronique) et 55 000 sites e-commerce dans le monde. En 2018, la société a sécurisé plus de vingt milliards de transactions et a atteint 60 millions d’euros de chiffre d’affaires. Lyra propose également sa plateforme de paiement en ligne directement aux commerçants ou en marque blanche pour de nombreux groupes bancaires. Elle entend garantir un paiement fiable, sûr et fonctionnel.

Le passage de la DSP1 à la DSP2

Historiquement, la DSP1 (Directive sur les services de paiement) a été lancée en 2007, dans le but de créer un espace unique de paiements en euro (SEPA).

Rapidement, la version est dépassée par de nouveaux usages et les avancées technologiques. La fraude en ligne est dix fois plus importante que sur le paiement de proximité : rien qu’en 2017, on recense 3,4 millions de tentatives de fraude à la carte bancaire en ligne. Aujourd’hui, le taux d’acceptation de paiement reste plus élevé pour les achats physiques que pour les achats digitaux.

Les évolutions de la directive DSP2

Cette nouvelle directive met en place deux volets majeurs : l’introduction de nouveaux acteurs et l’authentification forte (SCA).

Parmi les nouveaux acteurs, on retrouve :

  • Les AISP (Agrégateurs de comptes) qui permettent d’accéder en toute sécurité aux informations bancaires d’un utilisateur qui a plusieurs comptes.
  • Les PISP (Initiateurs de paiement) qui initient les paiements depuis le compte bancaire d’un client au travers de leur plateforme.

L’authentification forte doit garantir la sécurité des paiements en ligne tout en évitant d’alourdir le parcours du client, car selon Christophe Mariette, il importe que

« le paiement se passe bien, de manière sécurisée, mais que le commerçant qui a réussi à envoyer son acheteur jusqu’au bout du tunnel finisse par faire une vente. ».

L’authentification forte doit répondre à plusieurs objectifs :

  • Réduire le taux de fraude.
  • Augmenter le taux de conversion des achats. Par exemple, le groupement CB en France vise à terme 85% de paiements frictionless (sans effort).
  • Améliorer le taux d’acceptation des paiements, les taux de refus étant encore trop élevés.

Le retard de la mise en place de la directive DSP2

Tous les acteurs de l’écosystème de paiement sont concernés par ce passage à la directive DSP2. La complexité des normes techniques et le nombre d’acteurs impliqués expliquent les difficultés pour atteindre la date initiale du 14 septembre.

Faute d’acteurs prêts, l’EBA (Autorité Bancaire Européenne) a donné un délai supplémentaire.

En décembre 2020, les infrastructures devront avoir achevé la migration de la 3D Secure 1 à la 3D Secure 2. En revanche, les banques émettrices auront jusqu’en juin 2022 pour mettre en conformité leurs méthodes d’authentification.

Ce délai accordé par l’EBA s’accompagne d’un engagement de chaque pays à suivre l’atteinte de cet objectif au travers de reportings trimestriels qui doivent confirmer l’avancement progressif de la migration. Le suivi sera effectué par la Banque de France.

Il y a eu un consensus en Europe entre les différents pays sur ce planning.

L’authentification se renforce, sans effort pour le client

Dans le cadre de la DSP2, l’authentification forte se fait à l’aide de deux facteurs parmi les trois suivants :

  • La connaissance d’un code, d’un mot de passe ou d’une question secrète.
  • La possession du Smartphone ou de la carte bancaire.
  • L’empreinte digitale et/ou la reconnaissance faciale et/ou vocale.

Dans le cadre des paiements, l’authentification forte se traduit par la mise en œuvre systématique du processus 3D Secure. La grande nouveauté avec 3D Secure 2 est que la décision de demander ou non au porteur de s’authentifier revient à la banque émettrice.

De plus, avec la 3D Secure 2, les données véhiculées seront plus nombreuses provenant du porteur ou de la plateforme de paiement. Elles permettront d’augmenter les transactions frictionless, ainsi que le taux d’acceptation.

Certains cas d’exemptions ont également été définis pour favoriser le paiement sans authentification, par exemple les montants de moins de trente euros ou le paiement d’abonnement.

A noter que l’acheteur pourra inscrire des bénéficiaires de confiance pendant la phase d’authentification pour les sites marchands qu’il utilise fréquemment et pour lesquels il ne veut plus s’authentifier à chaque achat.

Lors de paiements récurrents, le premier se fera obligatoirement avec une authentification qui couvrira le montant de l’ensemble des échéances.

De plus, avec la directive DSP2, l’authentification forte répond aux spécificités d’un parcours d’achat sur Smartphone, si ces derniers le permettent ; 37% des commandes en ligne étant aujourd’hui passées sur mobile.

Progressivement avec la mise en place des différentes exemptions possibles dans la DSP2, le taux de paiement frictionless va augmenter. Bien que ce soit une contrainte réglementaire, cette migration doit être vue comme une véritable amélioration pour les commerçants grâce au mode frictionless qui apportera un haut niveau de sécurité en améliorant le parcours d’achat du client.

 

Dès mars 2020, des banques pourront invalider des paiements qui ne seraient pas émis en 3D Secure 2 avec, le cas échéant, un repli en 3D Secure 1. L’échéance de décembre 2020 pour avoir terminé la migration complète en 3D Secure 2 avance rapidement et les marchands qui pourront s’appuyer sur un prestataire de paiement comme Lyra, en mesure de les accompagner sur cette nouvelle réglementation, pourront aborder avec sérénité ce changement majeur.

Intervenants :

  • Christophe Mariette et Muriel Serres, Lyra