4 conseils aux e-commerçants pour minimiser les impacts business de la DSP2

La DSP2, dont la mise en œuvre est pleinement effective à partir du 15 mai 2021 en France, rebat les cartes dans la lutte contre la fraude. Parmi les évolutions majeures : le changement de rôle entre marchands et banques émettrices, et l'obligation de résultats en matière de taux de fraude côté banques.

Bien au-delà de la mise en conformité, il est impératif pour les e-commerçants d’adopter les bonnes pratiques visant à endiguer la fraude ; mais surtout à conserver de bons taux de conversion. Voici quelques conseils pour répondre à cet enjeu crucial qui, s’il n’est pas pleinement maîtrisé, risque d’impacter le chiffre d’affaires.

1 – Migrer sans tarder vers le protocole 3DSv2 

Bien que l’utilisation du 3DS v1 soit tolérée jusqu’en 2022, il est essentiel pour les commerçants de migrer dès à présent vers le 3DS v2. Avec une pleine application de la DSP2 au 15 mai 2021 en France, l’authentification forte devient obligatoire pour chaque transaction, sauf pour les exemptions prévues ou transactions qui ne sont pas dans le champ des RTS (Regulatory Technical Standards), comme les paiements à l’initiative du marchand et paiements par téléphone.

Si le commerçant reste en 3DS v1 :

100% des transactions non authentifiées subiront un soft decline (la demande d’autorisation directe de la transaction sans authentification préalable est refusée par la banque du client. Le paiement doit être représenté avec une authentification forte). Il ne pourra pas demander d’exemption, et donc bénéficier de parcours sans friction. La facturation sera plus élevée qu’en 3DS v2

2 – Communiquer sa « préférence » sur chaque transaction, en fonction de son analyse de risque 

Le commerçant peut choisir de communiquer sa préférence à l’émetteur (banque) pour chaque transaction reçue, et ce en fonction de son analyse de fraude. Pour ce faire, il existe 3 stratégies différentes. 

Le no preference permet de laisser à la banque le soin de décider si la transaction doit ou non être soumise à une authentification forte.  Le challenge permet au commerçant de demander à l’émetteur que la transaction soit vérifiée par le biais d’une authentification forte. 

Le frictionless correspond à une demande de parcours totalement fluide pour l’acheteur. Ce dernier ne subit donc pas les contraintes de l’authentification forte. Choisir entre « Challenge », « Frictionless » ou « No Preference » n’est pas anodin.

Si la demande de frictionless est accordée par l'émetteur, mais qu’elle donne suite à un impayé :

✓ la responsabilité incombe au commerçant,

✓ l’impayé viendra augmenter son taux de fraude,

✓ il risque d’engendrer la méfiance de l’émetteur sur les décisions du commerçant, entraînant une augmentation de ses décisions de challenge, et donc de friction du parcours client.

Il convient donc d'assurer une analyse de risque pour chaque transaction avant de choisir comment la labelliser.

3 – Piloter ses taux de fraude

Certaines exemptions à l’authentification forte sont accordées en fonction d’une analyse dite « TRA » (Transaction Risk Analysis). Pour en bénéficier, le commerçant doit donc s’assurer de respecter ces taux de fraude.

Attention, dans le contexte DSP2, la fraude se transforme et ses scénarios tendent à se redessiner. Pour éviter de voir croître son taux de fraude, il convient d’être particulièrement vigilant quant aux ces formes de fraude :

La friendly fraud : cas de figure dans lequel un consommateur effectue un achat en ligne avec sa propre carte de crédit mais demande un remboursement à la banque émettrice après avoir reçu le produit acheté.

Les fraudes à la carte non européenne : fraudes liées à un paiement suspect réalisé avec une carte bancaire, effectuées avec des cartes non européennes (la DSP2 ne concernant que les cartes bancaires des pays membres de l’UE et de l’espace économique européen).

4 – Communiquer auprès des consommateurs

La DSP2 impacte également fortement les consommateurs, du fait de la double authentification. Pour qu’ils puissent continuer à réaliser des achats de manière sereine sur le web, il est essentiel qu’ils aient bien pris en compte les évolutions de la réglementation et les impacts sur leur parcours d’achat. Le taux d’acceptation du commerçant en dépend.

Ainsi, les sites e-commerce ont tout intérêt à relayer les changements du système d’authentification auprès de leurs clients, en les informant sur les actions à réaliser de leur côté (comme le téléchargement de l’application bancaire), et sur les nouveaux parcours clients induits par la réglementation.