E-commerce : DSP2 change la donne de l'authentification forte
L'e-commerce est une victime collatérale de DSP2. Cette directive européenne sur les services de paiement concerne d'abord la fintech et les banques. "DSP2 régule tous ces nouveaux acteurs notamment via des mécanismes de sécurité contre la fraude. Mais ces mécanismes s'appliquent aussi directement aux marchands lors des transactions en ligne", explique Bertrand Pineau, responsable veille, innovation et développement à la Fédération du e-commerce et de la vente à distance (Fevad). Ce texte européen sera en partie applicable à partir du 13 janvier 2018. Puis banques et prestataires de paiement disposeront de dix-huit mois pour mettre en place les mesures édictées dans les normes techniques de réglementation (NTR) publiées par la Commission européenne le 27 novembre 2017. Concrètement, DSP2 sera pleinement mise en œuvre au troisième trimestre 2019.
Des exemptions
Avant DSP2, l'authentification forte restait seulement recommandée. Avec DSP2, elle deviendra obligatoire. Mais qu'est-ce que cette authentification forte ? Au moment d'une transaction en ligne, elle consiste en deux niveaux d'identification du cyberacheteur. Exemple le plus connu : entrer un numéro de carte bancaire online, puis confirmer l'achat avec un code reçu par SMS via le système 3D Secure. Ce peut être aussi valider un mot de passe ou un code pin, posséder un certain type de carte ou encore présenter des empreintes digitales ou un scan de l'iris. Parmi ces divers mécanismes d'authentification forte, 3D Secure reste la double sécurité la plus courante dans l'e-commerce. En avril 2017, le système était utilisé par 71% des e-commerçants et concernait 35% des paiements, selon l'Observatoire de la sécurité des moyens de paiement.
A ce principe d'authentification forte obligatoire, les autorités européennes ont créé des exemptions. L'objectif : répondre aux craintes des e-commerçants. Ces derniers savent que l'authentification forte réduit la fraude. Mais elle rallonge aussi le tunnel d'achat, amoindrit l'expérience utilisateur et fait baisser le taux de conversion. "Quand on retire 3D Secure, les ventes augmentent de 1 à 3%. En revanche, près de 20% de ces ventes additionnelles sont frauduleuses", confirme Gilles Raison, directeur général d'Allo Resto by Just Eat, la place de marché pour livrer des plats depuis les restaurants.
L'authentification forte ne sera pas obligatoire sur les petits montants de 0 à 30 euros
C'est pourquoi l'authentification forte ne sera pas obligatoire sur les montants de 0 à 30 euros. Les professionnels souhaitaient relever la tranche à 50 euros, sans succès. En revanche, pour six transactions d'affilés ou pour un montant cumulé supérieur à cent euros, une authentification forte reste obligatoire. Quel que soit le montant, une exemption est possible quand le payeur inscrit le marchand dans une liste des bénéficiaires de confiance ou liste blanche.
Pour éviter l'authentification forte obligatoire, une autre exception existe pour certains paiements récurrents. Il s'agit des abonnements et des paiements fractionnés, mais uniquement quand le montant est le même à chaque fois. Par exemple, un téléviseur de six cents euros payé en trois fois deux cents euros. Dans ce cas, l'authentification forte n'est obligatoire qu'au premier paiement. Que faire si les montants suivants varient du montant initial ? Dans l'exemple de la télévision à 600 euros, si le client paie 100, 250 puis 250 euros. Il faut procéder à une authentification forte à chaque fois. "C'est un vrai problème car les paiements récurrents sont rarement identiques d'une fois à l'autre. Surtout il est très difficile de rattraper un client trois mois après pour qu'il valide à nouveau son paiement par SMS", s'inquiète Bertrand Pineau.
Auparavant, les marchands avaient l'initiative. Dorénavant, ils pourront seulement envoyer des recommandations en fonction de leur scoring
Enfin, l'authentification forte n'est pas obligatoire sur la base d'une analyse des risques de toutes les transactions traitées par l'acquéreur (banque) ou établissement de paiement. "Si son taux de fraude est inférieur ou égal à 0,13%, il peut débrayer l'authentification forte pour toutes les transactions de 0 à 100 euros", explique Jean-Luc Moreira, responsable commercial établissement de Paiement chez Lyra. De 100 à 250 euros, il faut qu'il soit inférieur à 0,06%. Sur la tranche 250-500 euros, il ne doit pas dépasser 0,01%. Ces taux permettent une approche par les risques en théorie. Cependant ils sont très restrictifs. "La moyenne française avoisine les 0,24%. Les seuils fixés par la DSP2 divisent par deux cette statistique nationale", met en perspective Jean-Luc Moreira. Surtout, il ne s'agit pas des taux de fraude des marchands pris individuellement, mais des taux de fraudes des banques émettrices (celles des clients) et acquéreur (entre le commerçant et la banque émettrice). Les e-commerçants entrent peu dans le jeu de cette exemption.
Ce sera la banque émettrice, c'est-à-dire celle du cyberacheteur, qui choisira de lancer un protocole d'authentification forte, ou non, en fonction de sa propre analyse des risques. Auparavant, les marchands avaient l'initiative. Dorénavant, ils pourront seulement envoyer des recommandations en fonction de leur scoring et de leur connaissance des clients. Ils indiqueront alors à la banque émettrice un souhait : pas d'authentification demandée, authentification souhaitée ou authentification demandée. "C'est un motif d'inquiétude pour les marchands car ils ont investi beaucoup d'argent dans la détection des risques. Avec cette nouvelle directive, leur décision n'est plus déterminante. Les informations de l'e-commerçant transiteront vers la banque du client pour nourrir son analyse de risque", regrette Betrand Pineau. Au final, la banque du cyberacheteur décidera. L'avantage : si cette dernière déclenche une authentification forte, la responsabilité pèse sur elle en cas de fraude. Ce nouveau mécanisme s'appellera le protocole 3D Secure 2.0. Les premiers pilotes arriveront au deuxième trimestre 2018.