14 janvier 2021
Dans la continuité de la DSP2 et de l’uniformisation des opérations de paiement à l’échelle européenne, le système 3D-Secure Version 2 est devenu obligatoire pour tous depuis avril 2021. L’authentification, – auparavant optionnelle ou contrôlée par les marchands, les PSP ou les banques, – sera ainsi obligatoire et contrôlée à l’échelle de l’UE. Si le 3DS garantit davantage de sécurité pour les paiements en ligne, il inquiète les marchands qui s’interrogent quant à son déploiement et son impact sur leur activité. Que va changer le 3D-Secure Version 2 ? De quelle manière les banques et les établissements de paiement doivent-ils se préparer ? Quels changements pour les opérateurs de marketplaces ? Décryptage.
Protocole sécurisé de paiement en ligne, le 3D-Secure Version 2 a pour objectif de limiter les risques de fraude et de protéger les informations bancaires, en imposant la Strong Customer Authentification ou SCA aux internautes lors des transactions effectuées en ligne.
En septembre 2019, les Regulatory Technical Standards ou RTS, cadrées par l’Autorité Bancaire Européenne, définissent la Strong Customer Authentification par la combinaison d’au moins deux facteurs d’authentification. Ces facteurs peuvent être :
Tous les nouveaux outils de validation et d’authentification sont développés par les banques et non par les prestataires de service de paiement. A noter, le SMS comme facteur d’authentification devrait disparaître d’ici octobre 2021, pour être remplacé par la Digital Key.
Les RTS concernent ainsi tous les paiements en ligne par carte initiés par l’acheteur. Elles ne concernent cependant pas :
Dans le cadre des RTS, la Strong Customer Authentification devient ainsi obligatoire pour :
Si le 3DS-v2 a vocation à rendre la Strong Customer Authentification obligatoire pour tous les paiements en ligne (hormis les transactions précédemment citées et non concernées par les RTS), il s’avère plus « smart » que sa première version, puisqu’il prévoit des règles permettant des exemptions d’authentification. Les demandes d’exemption sont en effet possibles si :
Dans le cas d’une transaction ayant lieu sur une marketplace, la demande d’exemption et donc de la finalisation d’achat sans 3DS, est effectuée par Lemonway.
Suite à une demande d’exemption, c’est seulement la banque émettrice qui aura le dernier mot et qui décidera si la transaction peut avoir lieu sans SCA, et ce grâce à un algorithme qu’elle aura développée pour identifier le niveau de risque d’une transaction. On parlera alors de paiement frictionless.
Pour évaluer le niveau de risque d’une transaction, la banque émettrice basera sa décision sur un score calculé et généré par les schemes (CB, MasterCard, Visa, etc…), qui leur sera partagé, ainsi que sur un score qu’elle calculera elle-même.
Pour améliorer le score défini par les schemes, le marchand, et donc Lemonway par conséquent, devront fournir un maximum d’informations au moment de la transaction : nom du payeur, ID, adresse de livraison, infos sur le matériel utilisé, etc…
NB : à ce jour, la liste complète des informations requises par les schemes et les PSP n’a pas encore dévoilée. Dès que ces informations seront connues par Lemonway, une mise à jour de nos API sera effectuée pour garantir un meilleur scoring et une maximisation des exemptions.
Pour beaucoup, le déploiement progressif du 3DS-v2 suscite certaines appréhensions quant au parcours d’achat des utilisateurs. En effet, une authentification plus stricte semble aller de pair avec un risque d’abandon plus élevé pour valider une transaction, et donc une baisse des taux de conversion sur les sites marchands.
Cela étant, ce passage au 3DS-v2 est inévitable puisqu’il rentre dans le cadre d’une directive européenne. Il faut ainsi surtout retenir que la finalité première de l’authentification forte est d’apporter davantage de sécurité dans les paiements. Parallèlement, cette version 2, plus « smart », élargira les possibilités de demandes d’exemptions permettant d’éviter la SCA.
A ce jour, Lemonway applique déjà la Strong Customer Authentification sur l’ensemble des transactions réalisées, empêchant ainsi que des transactions soient refusées par des banques émettrices. Dès que les PSP et les banques seront prêts pour la mise en place du 3DS-v2, Lemonway améliorera automatiquement le taux de succès des transactions avec son système intelligent de gestion des exemptions.
Pour augmenter votre taux de transactions frictionless, sans authentification, nous vous recommandons de bien transmettre les informations optionnelles qui seront à votre disposition lors de la mise à jour de l’API pour l’implémentation du 3DS-v2.
En tant que prestataire de service de paiement, Lemonway accueille ces nouvelles règlementations de manière positive, puisqu’elles contribuent à une augmentation du niveau de sécurité des paiements, mais également à une amélioration de l’expérience de paiement. Conscient des enjeux liés au déploiement du 3DS-v2, Lemonway œuvre déjà pour accompagner ses partenaires dans cette transition.
