Introduction de la SCA dans les paiements : un an après, quel retour d'expérience ?

Au cours de l'année écoulée, un grand nombre de transactions ont échoué. Pourquoi ? Un an après la mise en œuvre de l'authentification forte en Europe, il est temps de faire le point.

Imaginez que le code de la route change soudainement et que les automobilistes doivent conduire à gauche du jour au lendemain. Cette nouvelle situation entraînerait probablement une augmentation considérable du nombre d'accidents de la circulation. Il y a un an, quelque chose de similaire s'est produit avec les paiements en ligne dans l'Union européenne. Le 15 mai 2021, la directive sur l'authentification forte du client (SCA) est en effet entrée en vigueur en France, finalisant ainsi un long processus de déploiement à travers l'UE. Cette directive, élaborée par la Commission européenne dans le cadre plus large de l'initiative réglementaire DSP2, stipule comment les transactions et le paiement en ligne des clients doivent être authentifiés. Afin de créer un univers de paiement à la fois sûr et fluide, Stripe a mis au point une technologie permettant d'identifier et de résoudre ces difficultés. 

L'objectif du SCA est de réduire la fraude en ligne en demandant à l’acheteur d’authentifier une transaction de paiement, généralement à travers le protocole 3DSecure (3DS). 3DS, introduit en 2001, intègre un processus par lequel un client initiant une transaction en ligne doit visiter la page Internet sécurisée de la banque émettrice de sa carte de crédit pour valider l'authenticité du paiement. Ces dernières années, de nouvelles versions du protocole ont été publiées sous la forme de 3DS2, 3DS2.1 et 3DS2.2 qui permettent aux entreprises d'envoyer davantage d'informations aux émetteurs de cartes, de sorte que certaines transactions puissent être effectuées sans que le client ait à quitter la page d’encaissement.

Le SCA a en fait redéfini les règles selon lesquelles toutes les parties prenantes d’une transaction (la banque émettrice, le titulaire de la carte, le marchand et d'autres) doivent se mettre d'accord pour que la transaction s’opère efficacement. Si l'une des parties n'est pas prête à mettre en œuvre le protocole, le processus d'authentification est interrompu et la transaction échoue. 

Au cours de l'année écoulée, le secteur a vu un grand nombre de transactions échouer. Pourquoi ? Un an après la mise en œuvre de l’authentification forte en Europe, il est temps de faire le point.

Tout d'abord, nous avons constaté que même lorsque la majorité des parties prenantes des paiements ont adopté les normes SCA, de nombreuses transactions continuent à échouer. Cette défaillance reflète une caractéristique essentielle des paiements en ligne : leur solidité dépend de celle du maillon le plus faible. Ainsi, si un seul participant à une transaction multipartite ne suit pas les règles SCA ou n'est pas en mesure de les appliquer correctement, c'est l’ensemble de la transaction qui échoue.

Prenons l'exemple des banques émettrices, qui ont été confrontées à d'importantes difficultés pour mettre en œuvre ces normes. En particulier, alors que le SCA commençait tout juste à être appliqué au sein de l’Espace économique européen en 2020, des banques émettrices ont souvent transmis de manière générique des refus au sujet de transactions qui auraient pu être facilement acceptées si seulement la banque avait renvoyé un refus de manière souple tout en demandant plus d’informations. 

Le niveau de mise en application varie également de manière significative d'un pays à l'autre, les émetteurs danois et espagnols, par exemple, étant plus enclins à refuser des transactions sans formalités que les émetteurs français. Sur des marchés comme l'Allemagne et l'Italie, l'inscription des titulaires de cartes à des solutions conformes au SCA auprès de leurs banques émettrices a également été un défi, car l'authentification à deux facteurs (2FA) n’a pas été configurée pour une grande partie des clients.

De même, nous avons constaté des variations importantes dans les performances des émetteurs lorsque l'on compare le nouveau protocole d'authentification 3DS2 et l'ancienne version 3DS1. Certaines banques authentifient davantage de transactions avec le protocole 3DS2, ce qui correspond à ce que l'on peut espérer avec un protocole actualisé. Mais en 2021, près de la moitié ont en fait obtenu de meilleurs résultats avec l'ancienne version 3DS1. L'écart était si important qu’il a fallu mettre au point un moyen de basculer entre les protocoles 3DS1 et 3DS2 de manière agile, en fonction de l'émetteur de la transaction. 

Les banques émettrices ne sont qu'une des parties prenantes d’une transaction, et des défis supplémentaires se posent lorsque différentes parties doivent respecter les nouvelles règles de concert. Un exemple important : au cours des deux dernières années, on a pu constater que lorsqu'il s'agit d'authentifier des transactions, le type d'appareil à partir duquel le client s'authentifie a son importance. Les transactions SCA initiées à partir d'un appareil mobile ont 3 % de plus de chances d’échouer que celles provenant d'un ordinateur de bureau. Cet écart indique que le processus consistant à rediriger les utilisateurs mobiles vers leur application bancaire pour l'authentification reste défectueux.

S'il est clair que de plus en plus d'émetteurs adoptent désormais correctement le 3DS2 et son processus d'authentification basé sur l’évaluation du risque, il reste encore beaucoup de chemin à parcourir avant que le 3DS2 ne devienne un protocole performant par défaut pour tous les émetteurs. 

Malgré ces difficultés, les entreprises tirent certains avantages du SCA. Le règlement transfère la responsabilité des litiges des entreprises aux banques émettrices. Mais le coût de cet avantage - mesuré par le nombre de paiements échoués - est encore beaucoup trop élevé. Visa estime ainsi que les transactions 3DS subissent une baisse de 11 % des taux de conversion. Cela signifie que plus d'une vente sur dix échoue parce que les entreprises ne respectent pas le SCA. 

Le déploiement progressif de l'authentification forte a permis d'éviter le pire des scénarios : des entreprises qui se réveillent un jour et découvrent leurs ventes s'effondrer. Mais il y a encore beaucoup de travail à faire. Toutes les parties prenantes de l'univers des paiements doivent maintenant collaborer pour s'assurer que le SCA atteigne son objectif de limiter la fraude dans les paiements en ligne, sans faire perdre des ventes aux entreprises et sans frustrer les clients.