Préparez-vous aux nouvelles normes de sécurité imposées par la deuxième directive européenne sur les services de paiement (PSD2)

Les commerçants, les acquéreurs, les émetteurs de cartes et les clients sont confrontés à un nouveau défi. En effet, la seconde directive européenne sur les services de paiement (PSD2), attendue au cours des prochaines semaines, impose une évolution des normes techniques réglementaires (NTR) sur l’authentification forte du client (AFC).  

Ces règles exigent principalement une authentification forte du client lors du paiement (aussi appelée authentification à deux facteurs) tout en incluant  un flux sans friction pour une meilleure expérience client ainsi que des exemptions à cette authentification forte. Cette nouvelle réglementation s’applique à la fois aux points de vente physiques (PDV) ainsi qu’aux paiements en ligne (e-commerce). L’incidence sur les paiements en points de vente physiques est assez réduite, étant donné que le titulaire de la carte doit déjà introduire son code PIN pour compléter la transaction (ce qui constitue d’emblée une authentification forte du client). Certains secteurs peuvent cependant bénéficier d’exemptions de l’AFC (comme les parkings et les transports). En conséquence, cette nouvelle réglementation a surtout des répercussions sur les paiements en ligne (e-commerce). 

La mise en œuvre du dernier volet de la réglementation PSD2, portant sur l’ « authentification forte du client », a été différée. L’autorité bancaire européenne (ABE) a décidé de prolonger le délai d’introduction de cette deuxième directive européenne. La nouvelle date butoir est fixée au 31 décembre 2020 (au lieu du 14 septembre 2019).

Pour satisfaire à l’exigence de l’authentification forte du client, les émetteurs de cartes de paiement comme Visa et Mastercard ont amélioré le protocole de sécurité 3-D secure permettant cette authentification forte en créant le protocole 3-D Secure 2. Les commerçants devront se conformer à ce nouveau protocole, introduit par Visa et MasterCard en avril 2019, qui sera valide dans les États membres de l’UE ainsi qu’en Suisse.

Le protocole 3-D Secure 1 répond aux normes  de cette nouvelle régulation mais  ne permet pas de bénéficier des avantages liés aux exemptions et au flow sans friction. 
 



Qu’entend-on au juste par « authentification forte du client » ?

L’authentification forte du client suppose que chaque opération de paiement (sauf quelques exemptions spécifiques) soit authentifiée de manière « forte ». Cela signifie qu’au moins deux des trois facteurs suivants doivent être appliqués :

 

Connaissance :

« ce que vous savez »

  • Mot de passe
  • PIN
  • Question secrète
  • Séquence numérique



Possession:

« ce que vous possédez »

  • Téléphone portable (carte SIM)
  • Appareils portatifs
  • Token
  • Carte

     

Inhérence:

« ce que vous êtes »

  • Empreinte digitale
  • Reconnaissance vocale
  • Reconnaissance de l’iris
  • Reconnaissance faciale

 


Grâce aux investissements dans les nouvelles technologies, le client continuera de bénéficier d’une excellente expérience d’achat, avec la garantie de paiements effectués en toute sécurité.

 

 

Transactions concernées par l’AFC

La règle générale veut que toutes les opérations de paiement initiées électroniquement par le payeur doivent faire l’objet d’une authentification forte. La réglementation PSD2 a défini des cas où l’authentification forte du client titulaire de carte ne s’applique pas :

  • Cartes prépayées anonymes
  • Vente par correspondance et par téléphone (vente à distance)
  • Transactions interrégionales/« One Leg »
  • Transactions initiées par le bénéficiaire du paiement
     

 



Exemptions d’AFC

PSD2 prévoit certaines exemptions pour lesquelles le titulaire de la carte ne doit pas procéder à l’authentification forte. L’objectif est d’améliorer le processus de paiement grâce à une expérience de paiement fluide et sans friction.
 

Les normes techniques réglementaires (NTR) disposent ce qui suit :

Points de vente : 2 possibilités d’exemption pour les paiements :

  • Transactions sans contact de faible valeur
  • Transactions sur un distributeur automatique (terminaux sans présence d’un commerçant) pour le stationnement ou le transport

Paiement en ligne (e-commerce) : 5 possibilités d’exemption pour les paiements à distance :

  • Bénéficiaires de confiance ou inscrits sur la liste blanche (exemption pour l’émetteur seulement, non applicable au commerçant)
  • Transactions récurrentes
  • Transactions de faible valeur
  • Analyse des risques transactionnels
  • Paiements d’entreprises sûrs (exemption pour l’émetteur seulement, non applicable au commerçant)

 

POUR EN SAVOIR PLUS SUR CES EXEMPTIONS, CONSULTEZ LA FOIRE AUX QUESTIONS.
À partir de mars 2020, Worldline supportera la plupart de ces exemptions.

 

 

 

Principaux avantages de 3-D Secure 2 dans ce contexte

frictionless

Processus de paiement fluide
(flux sans friction)

Intelligent fraud detection mechanisms to reduce credit card fraud

Mécanismes intelligents de détection de la fraude pour réduire la fraude par carte de crédit

Fewer payment disruptions thanks to risk-based authentication

Moins d’interruptions de paiement grâce à l’authentification basée sur le risque

Complete integration in web shop and app

Intégration complète dans les boutiques en ligne et applications mobiles





Worldline : prêt à garantir la conformité aux exigences liées à l’authentification forte du client

Worldline était l’un des premiers fournisseurs de services de paiement en Europe à traiter des transactions en appliquant le protocole 3-D Secure 2.

Au quatrième trimestre 2018, nous avons lancé un projet pilote en collaboration avec les banques, les schémas de paiement et un groupe présélectionné de commerçants qui depuis mai 2019, permet d’authentifier des transactions avec le protocole 3-D Secure 2.

Grâce à notre solution de paiements, qui vous permet de gérer en toute sécurité vos paiements en ligne, nous nous efforçons d’être le partenaire privilégié des commerçants désireux de gérer les exemptions, d’optimiser l’expérience utilisateur et d’offrir des processus d’authentification avec le moins de friction possible.

Ces dernières années, les experts de Worldline ont partagé notre expertise et notre expérience pratique dans ce domaine lors d’une série d’ateliers à l’intention des commerçants, des PSP et des banques, pour leur expliquer comment les plateformes de paiement peuvent appliquer 3-D Secure 2 en toute efficacité. Nous collaborons déjà avec un nombre croissant de commerces de toutes tailles pour garantir leur conformité aux nouvelles règles.

Nos experts sont prêts à aider les commerçants à relever ces défis avec succès afin qu’ils puissent bénéficier de paiements en ligne plus sûrs, plus intelligents et plus conviviaux.

Nos produits sont désormais conçus pour vous aider à vous adapter aux exigences de l’authentification forte du client et à bénéficier de toute exemption pertinente.

En cas de questions, nous vous invitons à contacter votre interlocuteur local Worldline habituel.

 

FAQ

  • Qu’est-ce que PSD2 ?

    La seconde directive sur les services de paiement (PSD2), définie par l’Autorité bancaire européenne, vise à réglementer les nouvelles parties prenantes et à améliorer la sécurité des échanges. Parmi ces dispositions figurent les normes techniques réglementaires (NTR) sur l’authentification forte du client (AFC), qui requièrent, comme leur nom l’indique, une authentification forte du consommateur.

    Où en sommes-nous aujourd’hui ?

    À l’approche du délai initial du 14 septembre 2019, un nombre croissant de pays européens se sont aperçus que bon nombre de leurs banques et entreprises nationales actives dans le domaine de l’e-commerce ne seraient pas en mesure de respecter cette date d’entrée en vigueur.

    Selon les estimations, les boutiques en ligne européennes perdraient en moyenne 20 % de leurs bénéfices si elles ne remplissaient pas à temps les conditions nécessaires. C’est pourquoi l’Autorité bancaire européenne (ABE), responsable des NTR, a décidé d’autoriser un nouveau report.

    La nouvelle et dernière date limite annoncée dans un avis de l'ABE est le 31 décembre 2020, et les autorités nationales compétentes (ANC) de toute l'Europe ont annoncé le report aux acteurs nationaux concernés de leurs pays respectifs, c'est-à-dire les banques, les prestataires de services de paiement et les boutiques en ligne.

    Néanmoins, pour éviter tout scénario où la prolongation du délai encouragerait certaines parties à ne rien entreprendre jusqu’à l’approche imminente de la nouvelle date butoir, l’ABE a soumis le report à une condition : produire des plans de mise en œuvre concrets de l’AFC. Autrement dit, l’ABE s’est assurée de ne pas se retrouver à nouveau dans la même situation à la veille de la nouvelle date limite.

    Enfin, il importe de souligner que, sur le plan technique, les commerçants et leurs fournisseurs de paiement devront être prêts au plus tard à la fin du premier semestre 2020, afin d’avoir suffisamment de temps pour tester la chaîne complète avec leurs acquéreurs, les schémas de paiement et les émetteurs. En effet, il est probable que les nouvelles règles fassent l’objet d’interprétations divergentes et que la mise au point prenne du temps, alors qu’elle doit être achevée avant l’hiver (avec son lot d’évènements spéciaux comme le Black Friday, le Singles Day et Noël).

    Que se passera-t-il après le 31 décembre 2020 ?

    À compter du 1er janvier 2021, Worldline ne traitera plus les opérations de paiement non conformes à la PSD2.

    Toutes les transactions sont-elles concernées ?

    Les ventes par correspondance et par téléphone (vente à distance), les paiements initiés par le commerçant et indépendants du client, ainsi que les transactions entre les titulaires de carte ou les acquéreurs commerçants en dehors de l’espace économique européen (par ex. la Suisse, et vice versa) ne sont pas soumis à la règle AFC des NTR.

    Qu’adviendra-t-il de mes paiements par Bancontact

    Les paiements par Bancontact bénéficient d’une authentification forte à 100 % et sont donc conformes à la cette nouvelle règlementation.

    Pourquoi devez-vous agir maintenant ?

    L’objectif de l’identification forte du client par le biais de 3-D Secure 2 est de réduire la fraude sur les paiements à distance, tout en améliorant considérablement la convivialité pour le titulaire de la carte, notamment en dotant l’émetteur (la banque du titulaire de la carte) de plus d’informations sur le contexte de la transaction afin qu’il puisse décider s’il convient ou non de procéder à l’authentification forte du titulaire de la carte.

    Quels sont les avantages de 3-D Secure 2 ?

    1. Si vous utilisez déjà 3-D Secure 1 pour toutes vos transactions, le basculement à 3-D Secure 2 vous permettra de bénéficier d’un parcours sans friction sur certaines de vos transactions. Ce protocole augmentera votre taux de conversion tout en vous protégeant de la fraude.
    2. Si vous n’utilisez pas du tout 3-D Secure 1 (transactions « SSL » uniquement) ou si vous ne l’utilisez qu’en partie (3-D Secure dynamique), sachez que l’implémentation de 3-D Secure 1 ou de 3-D Secure 2 est obligatoire pour satisfaire au principe de l’AFC. Dans le cas contraire, un grand nombre de transactions non 3-D Secure risquent d’être refusées par les émetteurs. 3-D Secure 2 augmentera votre taux de conversion par rapport à 3-D Secure 1.

    Quelles sont les nouveautés du protocole 3-D Secure 2 ?

    Les principaux ajouts de 3-D Secure 2 sont les suivants :

    • une expérience client plus fluide et plus intégrée, en particulier pour les applications mobiles ;
    • de nouvelles méthodes d’authentification du côté de la banque du titulaire de la carte ;
    • une gestion des exemptions et des paiements sans friction.

    Dans quels cas y a-t-il exemption de l’authentification forte du client (AFC) pour les paiements en point de vente ?

    Les NTR prévoient 2 possibilités d’exception pour les paiements de proximité :

    • Transactions sans contact de faible valeur

    L’exemption pour une transaction sans contact peut être invoquée :

    ➔ si le montant de la transaction est inférieur à 50 € ;
    ➔ si depuis la dernière transaction avec authentification forte du titulaire de la carte, le montant maximum de transactions sans contact, quel que soit le commerçant, ou le nombre de transactions sans contact ne dépasse pas un plafond (critères de vélocité) défini par les NTR-AFC (max. 150 € ou 5 transactions, au choix de l’émetteur, qui peut également abaisser ces plafonds).

    • Transactions sur un terminal sans présence d’un commerçant pour le stationnement ou le transport

    Une exemption de l’authentification forte du client s’applique aux transactions avec et sans contact pour le paiement de frais de transport ou de stationnement sur un terminal sans présence d’un commerçant. L’exemption peut être invoquée :

    ➔ si la transaction se fait via des MCC spécifiques ;
    ➔ si le montant de la transaction est inférieur à un montant de transaction maximum spécifié par les schémas de paiement (Mastercard et Visa). Pour les transactions d’un montant supérieur au montant maximum autorisé, il sera toujours procédé à une authentification forte du titulaire de la carte.

    Dans quels cas y a-t-il exemption de l’authentification forte du client (AFC) pour les paiements à distance ?

    Les NTR prévoient 5 possibilités d’exemption pour les paiements d’achats à distance (e-commerce) :

    • Bénéficiaires de confiance ou liste blanche (non applicable au commerçant)

    La liste blanche consiste en l’option, pour un titulaire de carte, de désigner à l’émetteur de sa carte, en général sa banque, un commerçant en qui il a confiance et pour lequel il ne souhaite pas effectuer une authentification forte lors de l’exécution d’une transaction à distance, à condition que ce dernier réponde aux critères de sécurité établis par la banque.

    • Transactions récurrentes

    Une exemption de l’authentification forte du client s’applique pour les séries de transactions à distance d’un même montant vers le même bénéficiaire. Cependant, l’authentification forte du client est requise pour la première transaction (le contrat) ou à chaque modification des conditions de la série.

    • Transactions de faible valeur

    Une exemption de l’authentification forte du client pour un paiement à distance de faible valeur peut être invoquée :

    ➔ si le montant de la transaction est inférieur à 30 € ;
    ➔ si depuis la dernière transaction avec authentification forte du titulaire de la carte, le montant maximum de transactions à distance de faible valeur, quel que soit le commerçant, ou le nombre de transactions à distance de faible valeur ne dépasse pas un plafond (critères de vélocité) défini par les NTR-AFC (max. 100 € ou 5 transactions, au choix de l’émetteur, qui peut également abaisser les plafonds).

    • Paiements d’entreprises sûrs (pas applicable au commerçant)

    Il existe également des exemptions pour les paiements initiés par des entreprises avec un débit du compte d’entreprise (par exemple les cartes logées, les comptes centralisés et les cartes virtuelles). En revanche, les cartes d’entreprise (avec débit du compte bancaire du salarié sous certaines conditions) sont assimilées à des transactions B2C et ne relèvent pas de cette exemption particulière.

    • Analyse des risques transactionnels

    L’exemption de l’authentification forte du client pour une transaction à distance appelée « analyse des risques » peut être invoquée par l’acquéreur (au nom du commerçant) et par l’émetteur si les deux conditions suivantes sont remplies :

    ➔ La transaction est déclarée sûre (par ex. pas d’infection du poste de travail de l’utilisateur par un programme malveillant, pas de dépenses anormales du payeur, localisation du payeur, historique des transactions, etc.).
    ➔ Le taux de fraude (pour les transactions à distance) de l’établissement de paiement (pour l’acquéreur bancaire et l’émetteur bancaire, mais pas pour le commerçant ou son PSP) est inférieur à certains plafonds déterminés :

    ➩ 0,13 % si le montant de la transaction est inférieur à 100 € ;
    ➩ 0,06 % si le montant de la transaction est inférieur à 250 € ;
    ➩ 0,01 % si le montant de la transaction est inférieur à 500 € ;
    ➩ Exemption non applicable aux transactions supérieures à 500 €.

    Que se passe-t-il si l’exemption n’est pas accordée ?

    Les exemptions ne sont pas systématiques et même si les conditions d’exemption sont remplies, la décision finale appartient à l’émetteur (la banque du titulaire de la carte), qui peut ou non l’accorder. L’émetteur enverra un « soft decline » pour le paiement, ce qui entraînera une nouvelle soumission du paiement et une demande d’authentification forte de la part du titulaire de la carte.

    Quand le protocole 3-D Secure 2 sera-t-il mis en œuvre ?

    L’implémentation du protocole 3-D Secure 2, qui requiert des changements sur toute la chaîne de paiement électronique, sera effectuée progressivement en fonction des diverses parties prenantes (module de paiement, banques commerciales, réseaux, banques émettrices). Nous vous conseillons de contacter dès que possible le fournisseur de votre page de paiement (PSP) pour savoir s’il est déjà en mesure de vous aider dans la mise en œuvre de 3-D Secure 2.

    Quand 3-D Secure 1 arrivera-t-il à échéance ?

    La fin de 3-D Secure 1 est prévue pour décembre 2020 pour Visa et MasterCard.

    Qu’adviendra-t-il des transactions récurrentes ultérieures si la première transaction a été effectuée sans AFC avant le 31 décembre ?

    En tant qu’acquéreur, Worldline ne bloquera pas les transactions ultérieures à une transaction initiale effectuée avant le 31 décembre, mais continuera d’accepter ces transactions subséquentes. Pour les paiements récurrents effectués après le 31 décembre, Worldline conseille de procéder à une AFC pour le premier paiement et de mentionner celui-ci en référence des transactions ultérieures afin de garder le même taux d’approbation.

    Le régulateur national de mon pays a approuvé une phase de transition pour l’AFC. Qu’est-ce que cela signifie pour mon entreprise ?

    Les régulateurs nationaux surveillent les activités des acquéreurs et émetteurs locaux. Pour le commerçant, toutefois, il importe surtout de savoir où se situe cet acquéreur, car c’est de cela que dépendra l’éventuelle application d’une phase de transition. De plus, nous recommandons aux commerçants présents à l’international de consulter les règlements des pays où ils font affaire. En effet, certains émetteurs européens seront obligés de se conformer à l’AFC à partir du 14 septembre. Par conséquent, il est probable qu’ils refusent les transactions par carte effectuées sans 3-D Secure.

    Que faire si vous avez choisi Worldline Sips comme solution de paiement en ligne ?

    La page de paiement sécurisée Sips de Worldline applique déjà la reconnaissance plus rigoureuse du titulaire de carte via le protocole 3-D Secure 1.0. Bien que le protocole 3-D Secure 1.0 réponde encore actuellement aux nouvelles directives, votre page de paiement migrera automatiquement vers le protocole 3-D Secure 2.X avant l’été 2020. Vous ne devez donc rien faire.