Suite au webinar « La DSP2 vue par un acquéreur et un émetteur » du 11 février dernier, nous vous proposons dans cet article les temps forts de la session. Découvrez les chiffres clés et conseils pratiques pour optimiser votre conversion avec nos deux experts : Sasha Pons, Chief Product Officer de Dalenys, et Thomas Roth, Head of Fraud and Risk Management de Natixis Payments.
NB : les dates ont été mises à jour depuis la tenue du webinar, pour prendre en compte le calendrier de l’Observation de la Sécurité de Moyens de Paiement indiquant de nouveaux paliers de soft decline en France.
La lutte contre la fraude s’intensifie : enjeux et calendrier de la DSP2
Face à la hausse du e-commerce, les autorités ont dû accélérer dans la lutte contre la fraude. Il y a deux évolutions majeures avec la DSP2 :
- D’une part, on passe d’une obligation de moyens à une obligation de résultats, avec des seuils de taux de fraude à respecter
- D’autre part, ce ne sont plus les marchands qui ont la main, mais les émetteurs qui décident d’appliquer l’authentification forte.
Le nouveau protocole 3DSv2 constitue un changement technologique majeur. Cela faisait 18 ans qu’on était sur la v1. Avec cette version, on passe d’environ 10 points de données échangés en v1, à plus de 100 en v2. Il y a donc une nécessité de roder les champs de données à transmettre à l’émetteur
Sasha Pons
Chief Product Officer @Dalenys
Des seuils de taux de fraude à respecter
Avec la publication de cette nouvelle réglementation DSP2, la notion d’authentification forte évolue avec le nouveau protocole 3DSv2.1, et les seuils de fraude sont désormais les suivants :
Migration vers l’Authentification Forte : déploiement du soft decline en France
Aujourd’hui, même s’il le 3DSv2 augmente, il est clairement minoritaire, les migrations sont compliquées ; or ces migrations sont nécessaires pour accepter avec sécurité les demandes de frictionless
Thomas Roth
Head of Fraud and Risk Management @ Natixis Payments
Focus sur le soft decline des transactions
Avec la mise en place progressive du soft decline, certaines plateformes d’acceptation ont réagi et proposent du retry, c’est-à-dire une nouvelle soumission de la transaction rejetée, qui inclut directement une authentification 3D Secure. Mais toutes ne le font pas, loin de là, puisque sur 100 soft decline émis, seuls 18 font l’objet d’un retry (données Natixis, janvier 2021). Sur les 82% restants, les parcours clients sont donc aléatoires, avec des solutions de contournement forcément complexes pour aller jusqu’au bout et valider sa transaction.
« Chez Dalenys, 100% des soft declines sont retentés. Grâce à ce mécanisme, le taux d’acceptation reste bon, à 81,49% », annonce Sasha Pons.
Pour en savoir plus sur le soft retry de Dalenys, consultez cet article.
Téléchargez notre livre blanc DSP2 : les clés pour concilier conformité et parcours clients fluide
Conseils pratiques pour optimiser le rapport entre lutte contre la fraude et conversion
Les « postures » à adopter en fonction des transactions
Le marchand peut choisir de communiquer sa préférence à l’émetteur pour chaque transaction qu’il reçoit, en fonction de son analyse de fraude. Il y a plusieurs postures possibles :
- « no preference » : je laisse l’émetteur décider
- « challenge » : je souhaite que la transaction soit challengée avec une authentification forte
- « frictionless » : je souhaiterais un parcours sans friction
Choix des marchands en janvier 2021
Aujourd’hui (ndlr : janvier 2021), 67% des transactions subissent un challenge en cas de posture « no preference ». Le marchand a intérêt à indiquer « no preference » quand il n’a pas d’opinion, et « challenge » quand il a un doute sur la légitimité du client. En effet le commerçant ne portera la responsabilité de la fraude que s’il demande du « frictionless », et que cela est accordé par l’émetteur.
A contrario, « le « no preference » pour un émetteur c’est la double peine : vous lui demandez éventuellement d’accorder une exemption, et vous lui demandez de prendre la responsabilité financière de la transaction », analyse Thomas Roth de son point de vue d’émetteur.
Les 3 variables d’ajustement
Chaque marchand doit composer avec les 3 variables suivantes pour optimiser sa gestion de la DSP2 en fonction de son profil :
- Les taux de fraude
Alors que la lutte contre la fraude se durcit, on s’attend logiquement à une migration des schémas de fraude, auxquels il faut porter une attention soutenue. Il y aura davantage de « friendly frauds » et de fraudes effectuées avec des cartes non européennes (puisque la DSP2 concerne les cartes européennes). Pour en savoir plus sur la friendly fraud, consultez ici notre article.
- Le coût
Authentifier a un coût pour l’émetteur et pour le marchand. Il y a une augmentation des coûts d’authentification par les réseaux cartes et une augmentation des tarifs sur le 3DSv1, pour inciter à passer à la V2.
- La conversion
Il existe plusieurs leviers pour optimiser l’authentification sans couture :
- S'assurer de bénéficier du retry en cas de soft decline
- Donner sa préférence (frictionless/challenge/no preference)
- Enrichir les données échangées avec son PSP
- Labelliser correctement ses transactions pour bénéficier des exemptions liées aux transactions hors périmètre de la DSP2 (MIT – Merchant initiated transaction, ou MO/TO – mail order telephone order).
Pour optimiser la conversion, le nerf de la guerre est de jouer sur le frictionless : on utilise le canal d’authentification, mais le porteur n’est pas soumis à un challenge. On parle ici du levier « TRA » (Transaction Risk Analysis) : c’est le levier ultime, à activer quand les autres ont été utilisés.
Il s’agit d’optimiser sa conversion sous contrainte de cette maîtrise du risque.
Thomas Roth
Head of Fraud and Risk Management @ Natixis Payments
Les innovations au service de la DSP2 : Machine Learning et frictionless garanti
Natixis s’équipe en Machine Learning, avec des analyses effectuées groupe par groupe pour ne pas rejeter des transactions à mauvais escient. Ces travaux sont notamment réalisés avec la chaire « Data X-HEC Business Analytics for Future Banking » lors d’un challenge qui réunit 50 étudiants autour de ce cas concret.
« Les travaux sur l’autorisation en machine learning nous permettent de nous projeter sur cette boucle d’authentification, avec des résultats bluffants de précision. Ce challenge reste devant nous mais est déjà bien engagé », s’enthousiasme Thomas Roth.
Ce sont plus de 2 milliards de transactions qui passent chez Natixis Payments chaque année, toutes soumises au Machine Learning en temps réel.
Les liens entre le groupe BPCE et Dalenys confèrent une position intéressante.
« Cela permet d’être plus créatif pour aider les marchands à garantir ce taux de frictionless et donc sa conversion. On met en place des projets novateurs pour échanger des données entre la partie marchand et émetteur (informations du porteur et du contexte de paiement) », annonce Sasha Pons.
Les équipes testent actuellement une cinématique pour éviter le flux 3DS qui serait échangé non pas par les voies protocolaires classiques, mais directement avec l’émetteur.
« La garantie de frictionless est permise par cette analyse duale de la plateforme d’émission et de la plateforme d’acceptation », résume Thomas Roth.
Frictionless garanti
Grâce à une maîtrise sur toute la chaîne de valeur de paiement, l’analyse TRA effectuée côté marchand reçoit une réponse immédiate de la part de l’émetteur permettant d’offrir le sans friction au plus grand nombre.
« Tous nos travaux portent in fine sur la conversion, avec comme logique d’identifier tous les blocages possibles d’un émetteur. Nous pensons que les initiatives TRA avec l’appui de la Data vont nous permettre d'assurer demain des paiements simples et sécurisés dans une très grande majorité des cas pour nos clients. Notre challenge est - dans un cadre règlementaire nouveau - d’optimiser un triangle Fraude / Parcours clients / Transformation pour le commerçant », conclut Thomas Roth.
Pour finir, voici une check list à destination des marchands pour être proactif en matière de lutte contre la fraude :
- Décider si l’analyse de risques sera interne ou externe (PSP, PAT, autres acteurs…)
- Migrer progressivement vers le 3DS v2
- Commencer à récolter des données en mode 3DS v2
- S’assurer de l’intégration des nouveaux champs 3DS v2 par votre PSP/PAT
- Envoyer progressivement les transactions dans ces nouveaux flux.
- Suivre l’évolution du soft decline et son impact sur son taux d’acceptation.
- Identifier les exemptions applicables à son activité.
Consultez également notre page web dédiée à la DSP2 : http://dalenys.annarenaudin.net/fr/gestion-fraude/fraude-et-dsp2/
