Si l’authentification forte vise à renforcer la sécurité et la protection des consommateurs pour limiter la fraude, cette authentification forte soulève des questions chez les e-commerçants.
En effet, la DSP2 change les règles. Là où le e-commerçant choisissait ou non d’appliquer l’authentification 3D secure, maintenant c’est la banque du titulaire de la carte qui est décisionnaire. Le parcours client pourra donc s’en trouver affecté en ajoutant de manière plus régulière une étape d’authentification forte pour réaliser la transaction. Or, pour maximiser la conversion, chaque étape compte et la moindre contrainte peut augmenter le taux d’abandon. A titre d’exemple, le simple retrait par AlloResto du 3D secure avait augmenté le nombre de vente de 1 à 3%. Cependant, 20% de ces ventes additionnelles étaient frauduleuses et principalement à la charge du e-commerçant : un bilan contrasté. Il est important de noter qu’en l’absence d’authentification forte, les consommateurs sont davantage exposés aux risques de fraudes avec un impact financier non négligeable pour les e-commerçants qui doivent en supporter les coûts.
D’autre part, l’application de la DSP2 oblige à prendre en compte la réglementation RGPD. L’accroissement de l’accessibilité aux données nécessitera de mettre en place des mesures de protection plus importante.
Si en principe, l'authentification forte, à la main de la banque du titulaire de la carte, s’applique à l’ensemble des e-transactions, la DSP2 a prévu un certain nombre d'exemptions :
- Opérations de faible montant : sous réserve que le montant de la transaction soit inférieur à 30€ ; et que le cumul des paiements réalisés depuis la dernière Authentification Forte soit inférieur à 100€ ou inférieur à 5 opérations.
- Opérations récurrentes : sous réserve qu’une authentification forte ait été faite lorsque le porteur a initié pour la première fois une série d’opérations récurrentes ayant le même montant et le même bénéficiaire.
- Opérations comprises entre 0€ et 500€ : sous réserve que la transaction présente un faible risque de fraude (via une analyse en temps réel) et que le taux de fraude de la banque du porteur soit conforme aux seuils imposés par la DSP2.
- La mise en place d’une liste de e-commerçants de confiance « la Whitelist » : pour le moment le sujet est au stade de l’étude. La mise en œuvre de cette évolution nécessitera des adaptations techniques mais également des modifications dans les parcours clients « banque en ligne ».