5 étapes pour faire de l'authentification forte en avantage concurrentiel

Quels sont les principaux paramètres à prendre en compte par les e-commerçants pour réduire la fraude lors de l'élaboration d'une stratégie de SCA ?

L'authentification forte du client ou Strong Customer Authentication (SCA) est une initiative destinée à réduire la fraude. Elle fait  partie intégrante de la 2e Directive sur les Services de Paiement (DSP2) et a pour objectif de rendre les paiements en ligne plus sûrs. Les entreprises spécialisées dans le commerce en ligne craignaient que l’ajout d'étapes supplémentaires à la phase de paiement frustre les clients et entraîne des abandons de paniers.

Voici 5 étapes pour faire de la SCA, non plus un défi de conformité complexe, mais un facteur d'optimisation des conversions.

La menace croissante de la fraude en ligne

La fraude en ligne est un problème représentant 35,54 milliards de dollars par an. La pandémie mondiale a exacerbé ce phénomène pour les marques de tous secteurs.

Au cours des 12 derniers mois, pas moins de 25 % des professionnels du commerce en ligne ont dû faire face à une coûteuse augmentation du nombre de chargebacks. Cette statistique inclut également la menace représentée par ce que l'on appelle la fraude amicale. Celle-ci ne représente pas moins d'un tiers de tous les litiges de paiements. Ce type de fraude prend la forme de demandes de chargebacks frauduleuses de la part de consommateurs qui tirent délibérément parti du système en initiant des annulations de transaction pour des produits ou services qu'ils ont bien reçus.

Qu'est-ce que l'authentification forte du client ?

L'authentification est le processus permettant de confirmer qu'une personne est bien celle qu'elle prétend être. Il existe diverses manières de procéder, en particulier lorsque les différentes parties impliquées ne se trouvent pas face à face, par exemple lors d’un achat en ligne.

Suite à la mise en œuvre de la DSP2, 97% des cyberacheteurs sont désormais équipés d'un dispositif d'authentification forte. Celui-ci prend la forme d'une validation du paiement via l'application bancaire ou d'un code envoyé par SMS, qui est fiabilisé par un second code délivré par les banques aux personnes ne disposant pas de l'application bancaire.

En général, les facteurs d'authentification reposent sur :

  • un élément connu par le client (par ex. un code PIN ou un mot de passe) ;
  • un élément possédé par le client (par ex. un token ou un appareil) ;
  • un élément intrinsèque au client (par ex. une empreinte digitale ou sa voix).

Pour accroître la sécurité des paiements à distance, la 2e Directive sur les Services de Paiement européenne requiert au moins deux facteurs pour une authentification forte du client (Strong Customer Authentication ou SCA).

Cinq questions pour définir la meilleure stratégie

De nombreux éléments doivent être pris en compte au moment de décider comment traiter chaque transaction — tout en garantissant la conformité, en réduisant la fraude et en minimisant les frictions.

  1. La transaction est-elle concernée par la SCA ?

D'après les estimations de Visa, près de la moitié des transactions par Carte Non Présente ne seraient potentiellement pas concernées par la SCA. Cela signifie que les émetteurs de cartes ne demanderont pas d'authentification renforcée ni de second facteur d'authentification lors de l'étape de paiement en ligne. Identifier et signaler correctement les transactions non concernées est essentiel afin d'éviter que les émetteurs refusent certaines transactions. Collaborez avec votre prestataire de services de paiement afin de mieux comprendre le parcours de vos clients dans le cadre de la SCA, et ainsi réduire autant que possible les frictions et abandons de paniers.

    2. Les transactions répétées chez un e-commerçant sont-elles systématiquement concernées  par la SCA ?

Certains types de transactions initiées par les commerçants ne sont pas concernées par la SCA au-delà de la première transaction, quand un client accepte les termes de cette transaction ou en paramètre d’autres.

Certains exemples de transactions de ce type incluent notamment :

  •  les transactions récurrentes, où les commerçants facturent à intervalles réguliers des produits ou services fournis au fil du temps ; 
  •  les paiements fractionnés, où les commerçants facturent des produits ou services via de multiples transactions ;
  •  les prépaiements, où les commerçants facturent en amont des produits ou services ;
  •  les transactions s'appuyant sur des données enregistrées, où le client accepte que le commerçant initie des transactions futures sur la base d’informations de paiement qu’il conserve.

Un bon prestataire de services de paiement cherchera à comprendre votre business model et personnalisera ses conseils.

    3. Un e-commerçant peut-il  demander une exemption de SCA?

Oui, si la transaction concernée rentre dans le cadre des exemptions autorisées, dont voici les 4 principales :    

  •  les transactions ayant fait l’objet d’une analyse des risques de transactions (Transaction Risk Analysis ou TRA) favorable ;
  •  les transactions à faible valeur, incluant les paiements à distance inférieurs à 30 €, jusqu'à un maximum de cinq transactions, ou une limite cumulée de 100 € ;
  •  les bénéficiaires de confiance (« liste blanche »). Les clients peuvent ajouter  les commerçants à une liste de bénéficiaires de confiance tenue par leur émetteur ;
  •  les paiements professionnels sécurisés initiés via des systèmes et processus sécurisés, comme les systèmes de gestion de voyages centralisés ou les cartes logées et virtuelles.

Les commerçants ont tout intérêt à collaborer avec leurs prestataires de services de paiement afin de comprendre comment utiliser ce protocole et développer des stratégies d'exemptions de SCA adaptées à leur activité.

  4.  Faut-il systématiquement demander des exemptions de SCA lorsqu’elles sont autorisées ?

Si une demande d'exemption peut être effectuée pour une transaction, cela ne signifie pas nécessairement que votre entreprise doive le faire. De plus, les exemptions ne sont en aucun cas garanties. La demande d'exemption est transmise à l'émetteur, qui en définitive est le seul à pouvoir décider d'autoriser une exemption ou de contester la transaction. Un équilibre doit être trouvé entre la sécurité de votre client, la fluidité de son expérience, votre appétit au risque et votre responsabilité. Chaque entreprise devra adapter celui-ci à sa situation unique et devra continuellement l'analyser.

Les prestataires de services de paiement doivent suivre de près les dernières innovations dans le secteur et le déploiement de la SCA au sein de vos marchés. Ils doivent contribuer à adapter la stratégie de SCA pour assurer son optimisation, et pas simplement sa conformité.

  5.  Faut-il gérer sa stratégie de SCA soi-même ?

Toutes les entreprises ne disposent pas du budget ni des ressources internes nécessaires pour se pencher en détail sur la question de la SCA. Choisir un partenaire de paiement se chargeant de ce processus pour vous est une option judicieuse. Les entreprises pouvant s'impliquer plus activement dans ce processus s'appuient quant à elles sur la dernière version en date du protocole EMV 3DS, pour un contrôle accru et une meilleure visibilité sur l'expérience d'authentification des clients. Cela contribue à réduire les frictions dans le cadre du paiement, ainsi que les abandons de paniers.

2,1 milliards de transactions sur internet en 2021

Les paiements sont plus que jamais un levier essentiel de l'économie numérique. L'évolution des technologies dans ce secteur permet de plus facilement combattre la fraude et d'offrir la meilleure expérience possible aux acheteurs. Les réglementations mises en œuvre pour combattre la fraude ont fait leurs preuves depuis longtemps. Mais leur impact sur les entreprises est variable, et celles-ci doivent s’adapter constamment aux évolutions réglementaires.

La Commission Européenne est actuellement en train de revoir la directive DSP2, ce qui pourrait aboutir à des changements, notamment en ce qui concerne la SCA. Afin de tourner l’application de la DSP2 à leur avantage, les e-commerçants doivent s’appuyer sur la technologie, en utilisant la dernière version du protocole EMV 3DS, et sur une stratégie d’authentification basée sur l’analyse des données. Ils doivent pour ce faire s’appuyer sur un prestataire de paiement fournissant les leviers et l’accompagnement nécessaires afin de  s’adapter à leurs spécificités. Ils pourront ainsi proposer une expérience client optimisée, fluide et sécurisée, et tirer le meilleur parti de l’accélération du e-commerce mondial.