LA MENACE DE L’« AUTHENTIFICATION SYSTÉMATIQUE »
Cette évolution réglementaire induit un profond changement de paradigme. En effet, avec le EMV 3DS 2.0 ou 3DS2, de nouvelles règles de transfert de responsabilité s’appliquent en Europe : les banques vont devoir désormais supporter l’obligation d’atteindre des seuils de fraude définis.
Afin de se donner la capacité de répondre à ces seuils, les banques auront l’opportunité d’exiger une authentification forte sur toutes les transactions (sauf exception réglementaire). Ainsi, cette potentielle friction en fin de parcours d’achat pourrait avoir un impact sur les taux de conversion des marchands en ligne et de fait sur leur chiffre d’affaires.
LE PARCOURS « SANS FRICTION »
Le 3-D Secure 2.0 introduit un nouveau parcours d’authentification, appelé « sans friction ». Ce parcours intervient lorsque le porteur de la carte n’est pas explicitement invité à s’authentifier, lors de sa navigation sur application ou navigateur.
Les étapes sont les suivantes :
1. L’authentification du paiement est initiée
2. Cette demande d’authentification est envoyée au serveur pour obtenir un accord /un refus
3. La réponse à cette authentification est alors communiquée au titulaire de la carte
4. L’autorisation bancaire est ensuite traitée avec acceptation/refus de l’opération.
L’authentification du client est ainsi faite sans intervention supplémentaire du porteur de la carte.
Les cas particuliers d’un parcours « sans friction » :
Certaines opérations de paiement spécifiques seront considérées hors du champ d’application des RTS et ne requerront pas d’authentification forte :
LES CONDITIONS POUR FAVORISER UN PARCOURS «SANS FRICTION»
LE PARCOURS AVEC FRICTION DIT « CHALLENGE »
Lorsqu’une authentification forte du client (SCA) est requise par l’Acquéreur ou l’Emetteur, le parcours s’agrémente d’une étape de « challenge ». Ce parcours d’authentification s’apparente à celui du 3-D Secure 1.0 actuel.
Les étapes 1, 2 et 3 sont identiques au parcours sans friction, puis :
4. Le porteur de la carte est soumis à une authentification forte après demande de l’Acquéreur et/ou l’Emetteur
5. Le résultat de l’authentification est transmis à l’Acquéreur et l’Emetteur
6. Le résultat de l’authentification est transmis au e-Commerçant
7. L’autorisation bancaire est ensuite traitée avec acceptation/refus de l’opération
Les conditions pour une authentification forte valide
Alors que les RTS entrent en vigueur le 14 septembre 2019 pour finaliser l’application de la DSP2 en Europe, l’authentification forte du client (SCA) sera attendue pour toutes les transactions en ligne. L’authentification forte est dite « valide », dès lors que la méthode employée combine au moins 2 des 3 critères suivants :
- Connaissance : Informations que seul l’utilisateur connaît (Code PIN, mot de passe, etc.)
- Possession : Quelque chose que seul l’utilisateur possède (Une carte, un téléphone portable, etc.)
- Inhérence : Informations de reconnaissance de l’identité de l’utilisateur, Identification biométrique (empreinte digitale, reconnaissance de l’iris ou de la voix, etc.)
Découvrez notre dossier pour préparer votre activité aux nouvelles exigences européennes et anticiper ainsi l'impact sur votre chiffre d'affaires.
