Nouvelle réglementation DSP2 et authentification forte

Mis à jour le 23 avril 2024 par Cyril Blondel

Paiement

Temps de lecture : 8 minutes

Comment garantir un parcours fluide et sécurisé dans un contexte post RTS ?

Sasha Pons, Chief Product Officer de Dalenys et Thomas Roth, Head of Fraud and Risk Management de Natixis Payment, vous partagent dans cet article leurs recommandations et leurs conseils pour réussir votre migration DSP2. Ils ont eu l’occasion d’échanger sur ce thème lors du webinar du 6 avril dernier, lancé à l’initiative de Mercatel et de la Fevad. Vous pouvez accéder au replay en suivant ce lien.

La pleine application de la DSP2, c’est maintenant !

La DSP2 (Directive sur les Services de Paiement 2) est la nouvelle réglementation européenne dont le but est de renforcer la sécurité des paiements en ligne et des opérations bancaires. La pleine application de la DSP2 s’applique en France à partir du 15 mai 2021 avec comme objectif de lutter contre la fraude au paiement alors que l'e-commerce poursuit sa forte croissance.

Au côté du fait qu'elle introduit comme nouveauté un changement de paradigme, puisque les demandes d'authentification sont dorénavant à l'initiative des émetteurs et non plus des marchands, la DSP2 engendre des conséquences stratégiques.

"Il est temps que les acteurs de la vente en ligne migrent vers la DSP2 pour offrir l'expérience client la plus fluide possible." Bertrand Pineau, Conseil & Veille e-commerce, m-commerce, paiements/monétique Fevad.

Les enjeux et les conséquences de l’application de la DPS2

Les textes d’application de la DSP2 soulèvent 3 enjeux de premier ordre :

La mise en place d'un mécanisme d'authentification forte pour tous les paiements
La 3DS v2 et la double authentification vont devenir la norme
L'authentification en 3DS sera désormais à l'initiative de la banque émettrice (la banque des porteurs)*

L’authentification forte doit inclure deux facteurs parmi la possession, la connaissance et l’inhérence

"Nous sommes aujourd'hui dans un moment charnière car à partir du 15 mai, toutes les transactions doivent être soumises à une authentification forte." Thomas Roth, Head of Fraud and Risk Management de Natixis Payments

En tant qu'acteur de l'e-commerce, vous devez d'ores et déjà prendre en compte les trois principales conséquences de ce changement sur votre activité :

une forte hausse du volume des transactions devant être authentifiées
"Selon nos projections, nous sommes à environ 40 points d'augmentation." Sasha Pons, CPO de Dalenys
l'authentification entraîne mécaniquement davantage de frictions, de complexité dans le parcours client
les SCA (strong customer authentification – authentification forte) peuvent impacter négativement votre CA de l'ordre de 10% voire 15%¹

Désormais, de nouvelles méthodes d'authentification sont nécessaires pour valider les transactions : tokens* d'applications d'e-banking, mot de passe, code temporaire, reconnaissance vocale, empreinte digitale... et sur différents devices (PC, smartphone, tablette…).

" [Les nouvelles méthodes d’authentification] doivent être acceptées par les clients et par les acteurs. Mais pour l'heure nous constatons que cela entraîne une perte de CA de l'ordre de 10 à 15%." Sasha Pons CPO de Dalenys

L'arrivée du soft decline

La DSP2 donne la possibilité aux banques de refuser les transactions n'ayant pas fait l'objet d'une authentification selon deux mécanismes : le hard decline (refus catégorique) et le soft decline. Le soft decline - refus moins catégorique et définitif - a été retenu comme modèle afin de permettre aux commerçants d'assurer la période de transition.

A partir du 15 mai 2021, le soft decline devient la règle pour chaque transaction n'ayant pas fait l'objet d'une authentification forte.

Quelles sont les conséquences du soft decline pour les commerçants² ?

Dans 74% des cas, le soft decline se traduit par un hard decline ; la transaction est alors perdue
Pour les 26% restants, la demande est à nouveau envoyée via un mécanisme de “retry” accompagnée d'une authentification 3DS. La transaction est alors acceptée.

L'authentification 3DS v1 et 3DS v2

L'authentification 3DS doit encore faire sa place

D'après les chiffres compilés par Natixis Payments, seulement 0,08% des transactions supérieures à 2 000€ ont fait l'objet d'une authentification 3DS v1.

Répartitions des transactions par tranches
< 100€	86,71%
Entre 100 et 250€	9,50%
Entre 250 et 500€	2,33%
Entre 500 et 1000€	1,05%
Entre 1000 et 2000€	0,33%
>= 2000€	0,08%

Par ailleurs, depuis octobre 2020, "On constate que le risque de refus de transactions est croissant au fil du temps" . Thomas Roth, Head of Fraud and Risk Management de Natixis Payments

Usage croissant des soft decline émis par BPCE

Qui plus est, sur l'ensemble des CIT - Customer Initiated Transactions - (transactions initiées par le consommateur) -, nous relevons 3 faits¹ :

68% des transactions sont non authentifiées
25% sont authentifiées en 3DS v1
Seulement 7% sont authentifiées en 3DS v2

Cela implique que 68% des transactions devront donc migrer vers le nouveau dispositif d'authentification afin de respecter la DSP2.

Migrer vers la 3DS v2, une nécessité

L'authentification via le protocole 3DS v1 se terminera en 2022. Il est donc temps de migrer vers la 3DS v2 qui est un système riche et performant.

Trois questions se posent :

1. Sera-t-il toujours possible d'effectuer des transactions non authentifiées - sans 3DS - ?
Oui, mais 100% des transactions connaîtront un soft decline.

2. Comment bénéficier d'une exemption ?
Seul le 3DS v2 permettra d'éviter les frictions dans le parcours client.

3. Conserver la 3DS v1 sera-t-il plus cher ?
Oui, il y aura un surcoût majeur, et il est déjà en place.

"Le coût d'utilisation de la v1 est déjà 3 fois plus élevé depuis le 1er janvier de cette année. Ce coût est répercuté sur les frais assumés par les marchands." Sasha Pons, CPO de Dalenys

Comment réussir sa migration 3DS v1 > 3DS v2 ?

En tant que commerçant, vous avez donc d'ores et déjà tout intérêt à préparer votre migration. Comment faire ?

Transmettez les bonnes données à l'émetteur :

consommateur : adresse de facturation/d'expédition, email, numéro de téléphone
comportement : type d'articles dans le panier, ancienneté du compte client...
device : adresse IP
scoring marchand

Indiquez vos préférences entre :

challenge - vous demandez à ce que la transaction soit authentifiée
frictionless - vous désirez que la transaction se fasse sans authentification 3DS
no preference- vous laissez la main libre à l'émetteur

Les marchands clients de la plateforme Dalenys²demandent à :

43% des challenges
29% de no preference
28% de frictionless

Autre chiffre marquant : quand un marchand envoie une demande de "no preference", 67% des transactions sont challengées par l'émetteur.

Des exemptions sont possibles à la DSP2

Au côté du TRA (Transaction Risk Analysis) qui est le levier principal d'exemption à la DSP2, celui que l'émetteur retient, d'autres critères existent :

les paiements récurrents
les petits montants, soit ceux inférieurs à 30€, sont en effet exemptés de DSP2

Pour ce qui est de la TRA, des seuils de taux de fraude sont à respecter, à retrouver dans cet article.

DSP2 et authentification forte : les bonnes pratiques pour vous tenir prêt

Il est donc temps de vous tenir prêt. Comment faire ?

Testez et migrez

commencez à récolter les données en 3DS v2 et assurez-vous que les champs sont intégrés par votre PSA/PAT
testez en créant un compte test
envoyez progressivement les transactions dans le nouveau flux

Pilotez et mesurez l'impact sur votre activité

Plusieurs datas clés sont à ce titre à suivre de près :

taux actuel de soft decline sur le 3DS v1
pourcentage de frictionless sur le 3DS v2
taux de fraude marchand
taux d'acceptation
rapport entre soft decline et hard decline

Un autre maître-mot pour réussir votre migration : communiquez auprès de vos clients sur les évolutions de la DSP2. Cela engendrera comme bénéfice un meilleur engagement client et témoignera de votre proactivité.

Pour en savoir plus, consultez aussi le Guide pratique de la migration DSP2