en Business

Authentification forte du client : Ce que la nouvelle directive DSP2 européenne signifie pour les entreprises à abonnement.

En septembre 2019, l'authentification forte du client ou Strong Customer Authentication (SCA), une nouvelle manière d'authentifier les paiements en ligne, sera déployée en Europe dans le cadre de la deuxième directive sur les services de paiement (DSP2).

La SCA a pour principal objectif de réduire les cas de fraude côté payeur et de renforcer la sécurité en introduisant l'authentification à deux facteurs dans les paiements électroniques.

Quels types de paiements sont concernés par cette réglementation ?

La SCA sera déployée le 14 septembre 2019 et s'appliquera aux entreprises offrant un accès en ligne à des comptes de paiement en Europe ou encaissant des paiements électroniques lorsque le paiement est initié par le payeur.

Elle ne s'applique pas aux paiements encaissés via GoCardless car ceux-ci sont initiés par le bénéficiaire et les mandats de paiements sont mis en place sans que le payeur interagisse directement avec sa banque.

À quelles transactions s'applique l'authentification forte du client ?

Principalement aux paiements par carte effectués sur Internet. À partir de septembre, toutes les transactions électroniques individuelles devront être authentifiées par au moins deux des trois méthodes suivantes :

  • Connaissance: information que seul l'utilisateur connaît, comme un mot de passe.
  • Possession: données que seul l'utilisateur possède, comme un code à usage unique ou un téléphone.
  • Caractéristique personnelle: élément qui caractérise l'utilisateur, comme une empreinte digitale.

Selon l'Observatoire de la sécurité des moyens de paiement, le système 3D secure qui est l'un des divers mécanismes d'authentification forte, était utilisé par 71% des e-commerçants et concernait 35 % de paiements en 2017.

La SCA s’appliquera également à certaines transactions sans contact, en tant que vérification périodique afin de s’assurer que la carte est utilisée par son propriétaire légitime. Les transactions par carte en magasin avec saisie de code sont d’ores et déjà conformes.

Que se passe-t-il pour les entreprises à abonnement ?

Pour les entreprises à abonnement encaissant des paiements récurrents par carte, la SCA s’appliquera au minimum à la configuration initiale de la transaction récurrente par carte.

Ahmed Badr, Directeur Juridique de GoCardless explique : « Dès septembre, tous les nouveaux clients des entreprises à abonnement souhaitant payer par carte devront valider des étapes d'authentification supplémentaires pour pouvoir effectuer leur premier paiement. Un débat est en cours pour déterminer si la SCA s’applique à chaque fois que la carte est facturée. La réglementation FCA actuelle indique que ce n’est pas le cas. Cependant, il reste à voir comment les autres régulateurs européens aborderont ce problème. »

Dans la plupart des cas, ce sera la banque du payeur qui effectuera l’authentification, le prestataire de service de paiement du payeur se chargeant des étapes supplémentaires du parcours de paiement. Si ce n’est pas le cas, les prestataires de services de paiement concernés par la réglementation (les fournisseurs de carte par exemple) devront fournir eux-mêmes les mécanismes d’authentification.

L’impact sur les affaires

Toute initiative visant à lutter contre la fraude se doit d’être saluée, d’autant plus que la révolution du e-commerce ne montre aucun signe de ralentissement.

M. Valdis Dombrovskis, vice-président de la Commission chargé de la stabilité financière, « Avec l'entrée en application de la DSP2, la surfacturation appliquée aux cartes de débit et de crédit des consommateurs devient interdite. Les consommateurs de l'UE pourraient ainsi économiser plus de 550 millions d'euros par an. Ils bénéficieront aussi d'une protection accrue lorsqu'ils effectuent des paiements. »

L’entrée en vigueur de la SCA n’aura pas uniquement un impact sur le nombre de cas de fraude. Selon Ducan Barrigan, vice-président Produit chez GoCardless : « La SCA pourrait également avoir une incidence sur les coûts et la conversion. Nous ne sommes pas encore conscients de l’impact total de la SCA, mais les implications sont potentiellement importantes. Par exemple, il est possible que les entreprises aient moins de remboursements clients à effectuer grâce à la SCA, ce qui leur permettrait de réduire leurs coûts d’exploitation. Cependant, il est possible que cela ait des répercussions sur d'autres coûts. Par exemple, si nous constatons un changement de responsabilité et que le fournisseur de services du payeur est responsable des frais de fraude et de rétrofacturation, nous pourrions, en pratique, voir une augmentation des frais en conséquence. »

Équilibrer le risque et la conversion

Bien que les implications sur les coûts d'exploitation ne soient pas encore claires, de nombreuses entreprises craignent que la SCA ne tue la conversion. En imposant des étapes supplémentaires dans le processus de paiement, l'authentification de paiement supplémentaire pourrait entraver les parcours des clients.

« Les entreprises qui encaissent des paiements en ligne doivent en permanence équilibrer risque et conversion », déclare Duncan. « Aux deux extrêmes, vous pourriez avoir l'offre la plus simple sur le marché qui serait ouverte mais également vulnérable aux fraudeurs tout comme vous pourriez créer le service le plus sécurisé au monde. À terme, la barrière à l'entrée serait si élevée que personne ne voudrait l'utiliser. Il est important que chaque entreprise trouve le bon équilibre », ajoute Duncan.

Ce que la SCA signifie pour GoCardless

Comme nous l’avons mentionné plus tôt, la SCA ne s’applique pas au service de prélèvement automatique de GoCardless, mais nous continuons de prendre au sérieux la sécurité et la prévention de la fraude.

Les équipes Risque et Produit de GoCardless s’engagent à trouver le juste équilibre entre conversion et sécurité pour nos clients.

« Nous pensons que la technologie et les données peuvent permettre d’améliorer les compromis que les commerçants doivent faire entre risque et conversion », explique Duncan. « Nous travaillons sur une expérience de paiement qui permettra à nos clients de bénéficier de ces avancées tout en pouvant ajuster leur goût du risque, en fonction des besoins de leur entreprise. Trouver le moyen de réduire intelligemment les risques en ayant le moins d’impact négatif possible sur les taux de conversion est la meilleure solution pour toutes les personnes concernées. »

Pour plus d'informations sur les exemptions, consultez nos FAQs.

Qu’est-ce que le prélèvement automatique ? Un guide pour les payeurs.
En savoir plus