3DSecure v2 : faire d’une contrainte une opportunité

L'authentification forte, qui est un volet de la directive sur les services de paiement, représente un gros chantier pour les marchands mais préserve avant tout le consommateur de la fraude.

Car oui, il y a une vie après 14 septembre 2019 ! Quand on lit les articles sur la DSP2 et le 3DSecure v2, on comprend que l’e-commerce va se sécuriser et que les commerçants vont être contraints d’utiliser du 3DSecure v2 pour toutes leurs transactions. Et que toutes les transactions sans authentification 3DSecure seront systématiquement refusées. Indéniablement, on se trompe !

La directive européenne sur les services de paiement était motivée par des objectifs clairs et compréhensibles : moderniser les services, favoriser l'innovation, la concurrence et l'efficience du marché et préserver le consommateur de la fraude.

Elle instaurait de nouvelles règles dont l'obligation d’une l'authentification forte pour les paiements en ligne : il faut alors deux facteurs au moins, entre un code ou un mot de passe que l'on connait, un appareil que l'on possède et une donnée biométrique telle que l'empreinte digitale ou l'iris.

Le dispositif d’authentification 3DSecure, bien qu’il ne soit pas le seul moyen, est alors annoncé comme LA solution à mettre en œuvre lors de chaque transaction. Et pour gommer les réticences liées à un taux d’abandon plus fort, synonyme d’un taux d’acceptation plus faible et une multiplication prévisible de problèmes techniques, une nouvelle version est créée (la version 2).

Voici donc les commerçants contraints d’appliquer une authentification 3DSecure sur toutes leurs transactions (ou presque).

C’est la panique. Les commerçants craignent  des effets catastrophiques sur leur UX tant travaillée, sur leur taux de transformation et sur leur chiffre d’affaires. Oui mais non ... Raison, il faut garder ! Alors que tout bouge… rien ne change.  

Actuellement, les commerçants évaluent le risque de fraude lors d’un achat et utilisent le dispositif 3DSecure pour "sécuriser" les transactions à risque.

Ainsi, nous pouvons considérer deux grands types de transaction :

-    Les transactions à risque pour lesquelles une authentification 3DSecure est requise.

-    Les transactions évaluées sans risque pour lesquelles aucune authentification n’est appliquée.

Dès le 14 septembre 2019 ou plutôt le 1 Avril 2020, enfin d’ici 2021 (cf. les décalages successifs annoncés), nous pourrons maintenant considérer trois grands types de transactions :

-    Les transactions avec authentification forte en 3DSecure v2 ou en 3DSecure v1 … qui continuent à fonctionner !

-    Les transactions avec authentification passive (le consommateur ne s’aperçoit de rien) en 3DSecure v2.

-    Les transactions hors périmètre de la directive pour lesquelles aucune authentification n’est requise.

Les commerçants disposeront toujours du 3DSecure pour leurs transactions risquées. La version 1 restera utilisable jusqu’à fin 2021. La version 2 apportera tout un tas de nouveautés dont l’authentification passive.

Véritable pendant d’un paiement sans contact (NFC) dans les magasins, elle n’impactera pas l’expérience d’achat des consommateurs et pourra, selon les cas, offrir une garantie de paiement au marchand.

Les commerçants pourront demander une authentification passive pour leurs transactions évaluées sans risque. Perdant dans ce cas la garantie de paiement, ils s’assureront d’une expérience d’achat "sans friction"  si la banque émettrice de la carte le veut bien. Des programmes tels que Fast’R proposé par CB permettront d’assurer un taux de frictionless élevé qui n’ impactera pas son activité.

Bien entendu, tous les commerçants ne seront pas éligibles. On comprend alors que le jeu s’est déplacé. L’opportunité de se différentier de ses concurrents passera par des accords avec les réseaux et les banques.

Les commerçants pourront réaliser des transactions hors périmètre DSP2 pour leurs transactions évaluées sans risque. C’est l’exception qui confirme la règle. Appelées MIT (Merchant Initiated Transaction), elles seront traitées sans authentification 3DSecure comme des transactions internationales (hors Europe), des transactions de commande prise par téléphone ou email, et autres cas particuliers.

Difficile de savoir si ces transactions continueront d’être acceptées après 2021. Quoi qu’il en soit, il est quasi certain que le nombre de transaction MIT va sérieusement croître dans les deux prochaines années… en attendant que le dispositif 3DSecure v2 se déploie sur l’ensemble des acteurs.

Mais pas de panique, la vie continue après le 14 septembre 2019. Les transactions risquées seront traitées en 3DSecure v1 puis v2. Les transactions non risquées seront traitées en MIT puis en 3DSecure v2 avec authentification passive lorsque ça fonctionnera.

Alors pourquoi essuyer les plâtres ?

Si la directive a nécessité beaucoup de réflexions chez les différents acteurs du marché : réseaux, banques acquéreur, banques émettrices et PSP, tout n’est pas encore finalisé.

Le dispositif 3DSecure v2, n’est pas prêt. Encore en développement, il devra attendre la version 2.2 pour permettre à un marchand de gérer l’ensemble des cas particuliers prévus par la directive (comme la gestion du bénéficiaire de confiance).

L’enrôlement des cartes au 3DSecure v2 va prendre du temps. A part chez Visa qui a choisi d’enrôler de force les cartes des consommateurs (ce qui génère des problèmes lors de l’autorisation), l’éligibilité des cartes au 3DSecure v2 va se faire dans le temps. Et en attendant que l’ensemble des cartes européennes soient éligibles, il faudra continuer à utiliser le 3DSecure v1.

Le déploiement chez les banques n’est pas terminé. L’identification des transactions concernées ou non par la directive n’est rendue possible que par de nouveaux protocoles (Par exemple le CB2A 1.6 en France) qui ne sont pas encore déployés dans les banques acquéreurs. En attendant, les transactions sans authentification seront considérées soit MIT soit hors périmètre de la DSP2. 

Le temps d’évaluer les risques et opportunités et … tester les solutions

Sans vouloir paraître scolaire, il est nécessaire de faire d’abord une matrice risque/ opportunité (un SWOT). Car il n’y a pas une réponse unique mais des solutions adaptées à la typologie et l’activité de chaque marchand.

La directive va s’appliquer aux banques émettrices des cartes et aux banques acquéreurs des paiements. Les marchands n’ont pas d’obligation légale. Dans le pire des cas, les transactions de leurs clients seront refusées. C’est ce risque là qu’on doit traiter.

Des solutions certifiées par CB, Visa et Mastercard et American Express pour le dispositif 3DSecure v2 existent sur le marché.

Des commerçants réalisent déjà des transactions 3DSecure v2 depuis cet été afin d’anticiper les écarts de fonctionnement entre la théorie et la réalité. J’encourage ainsi les commerçants à les tester pour pouvoir les déployer "naturellement" le jour où cela sera efficace et performant.

Car si jusqu’à présent, il s’agissait de maximiser le taux de transformation, bientôt, il faudra maximiser celui de l’authentification passive. Un service de monitoring et d’optimisation pourra garantir aux marchands un service sur mesure qui présentera la transaction avec les bonnes valeurs dans le cadre le plus approprié. Exit, la préoccupation du taux d’authentification et du taux d’acceptation !

En résumé, avec la la DSP2 et le 3DSecure v2  l’avenir appartient aux commerçants… avec un peu d’anticipation !

Et pour être meilleur que les autres,  faites de cette contrainte une véritable opportunité.