Article

DSP2 : Les défis à relever par le e-commerce

La démocratisation du e-commerce a profondément bouleversé les habitudes des consommateurs. Le paiement par carte via un TPE (terminal de paiement électronique) dans un commerce de proximité laisse de plus en plus place aux achats en ligne, où la seule inscription du numéro de la carte bancaire et du cryptogramme associé suffit à initier un paiement. 

Lecture 3 min

Ce mode de transaction présente un avantage majeur pour les e-commerçants : un parcours client fluide minimisant l’abandon de panier. Toutefois, sur le plan de la sécurité, ce système n’est pas satisfaisant en ce qu’il ne permet pas d'authentifier de manière certaine le titulaire du moyen de paiement. Il en découle de nombreuses fraudes.   

C’est pour renforcer la lutte contre la fraude que la directive DSP2 a vu le jour au niveau européen. Entrés en vigueur le 14 septembre 2019, les dispositifs d’authentifications fortes  qui visent à sécuriser les achats en ligne vont transformer les parcours clients avec l’ajout d’une nouvelle étape.

En quoi consiste la DSP2 ?

Le point central de la DSP2 pour les e-commerçants est la mise en œuvre de l'authentification forte. Si la DSP 1 avait déjà renforcé les prérequis en matière d’identification du titulaire du moyen de paiement (grâce notamment au 3D secure 1.0), la DSP 2 va plus loin en imposant le principe du double facteur d’authentification

Ainsi, l’authentification forte implique d’identifier le titulaire du moyen de paiement en prenant en compte deux facteurs parmi les trois suivants :

  • la connaissance : une information que seul le client connaît (code PIN, mot de passe...) ;
  • la possession : une chose que seul le client possède (carte bancaire, téléphone, ordinateur…) ;
  • L’inhérence (une caractéristique unique et personnelle) : ce que le client est (empreinte digitale, reconnaissance vocale, reconnaissance faciale…).

Quels sont les impacts pour le e-commerce ?

Si l’authentification forte vise à renforcer la sécurité et la protection des consommateurs pour limiter la fraude, cette authentification forte soulève des questions chez les e-commerçants.

En effet, la DSP2 change les règles. Là où le e-commerçant choisissait ou non d’appliquer l’authentification 3D secure, maintenant c’est la banque du titulaire de la carte qui est décisionnaire. Le parcours client pourra donc s’en trouver affecté en ajoutant de manière plus régulière une étape d’authentification forte pour réaliser la transaction. Or, pour maximiser la conversion, chaque étape compte et la moindre contrainte peut augmenter le taux d’abandon. A titre d’exemple, le simple retrait par AlloResto du 3D secure avait augmenté le nombre de vente de 1 à 3%. Cependant, 20% de ces ventes additionnelles étaient frauduleuses et principalement à la charge du e-commerçant : un bilan contrasté. Il est important de noter qu’en l’absence d’authentification forte, les consommateurs sont davantage exposés aux risques de fraudes avec un impact financier non négligeable pour les e-commerçants qui doivent en supporter les coûts.

D’autre part, l’application de la DSP2 oblige à prendre en compte la réglementation RGPD. L’accroissement de l’accessibilité aux données nécessitera de mettre en place des mesures de protection plus importante.

Si en principe, l'authentification forte, à la main de la banque du titulaire de la carte, s’applique à l’ensemble des e-transactions, la DSP2 a prévu un certain nombre d'exemptions :

  • Opérations de faible montant : sous réserve que le montant de la transaction soit inférieur à 30€ ; et que le cumul des paiements réalisés depuis la dernière Authentification Forte soit inférieur à 100€ ou inférieur à 5 opérations.
  • Opérations récurrentes : sous réserve qu’une authentification forte ait été faite lorsque le porteur a initié pour la première fois une série d’opérations récurrentes ayant le même montant et le même bénéficiaire.
  • Opérations comprises entre 0€ et 500€ : sous réserve que la transaction présente un faible risque de fraude (via une analyse en temps réel) et que le taux de fraude de la banque du porteur soit conforme aux seuils imposés par la DSP2.
  • La mise en place d’une liste de e-commerçants de confiance « la Whitelist » : pour le moment le sujet est au stade de l’étude. La mise en œuvre de cette évolution nécessitera des adaptations techniques mais également des modifications dans les parcours clients « banque en ligne ».

3D secure 2.0 : les changements en matière de parcours client

Avant la DSP 2, les e-commerçants avaient le choix de déclencher ou non une authentification 3DS. En l’absence d’authentification, le consommateur avait uniquement à entrer son numéro de carte bancaire et le cryptogramme associé pour valider sa transaction.

Désormais, cette décision relève de la banque du titulaire de la carte qui, en dehors des cas d’exemption visés précédemment, devra systématiquement procéder à une authentification forte du consommateur.

Le code SMS à usage unique, fréquemment utilisé aujourd’hui pour sécuriser les achats sur internet, sera progressivement remplacé par des solutions plus sécurisées, remplissant les critères d’authentification forte de la DSP2. Par exemple :

  • Le client recevra une notification dans son application mobile bancaire lui indiquant les détails de l’opération. Ce dernier aura préalablement « enrôlé » son smartphone ce qui permettra à sa banque de s’assurer que la notification n’a pas été envoyée vers un téléphone détourné (critère de possession) ;
  • La notification demandera ensuite au donateur de saisir son code secret, qu’il aura préalablement défini, pour valider l’opération (critère de connaissance).

Dans un contexte où l’ensemble des e-commerçants théorisent le meilleur parcours client pour maximiser la conversion, l’arrivée d’une étape supplémentaire plus fréquente pourra décourager certains achats compulsifs. Il pourra en résulter une baisse du chiffre d’affaires.

Toutefois, la sécurisation des transactions peut jouer aussi en la faveur du e-commerce. Si les achats en ligne sont en pleine explosion, il y a encore certaines réticences à réaliser ce type d’achat notamment pour des raisons de sécurité. Dès lors, le fait de procéder à une authentification forte plus fréquemment pourra rassurer les consommateurs quant au sérieux et à la fiabilité du e-commerce et réduira l’impact financier lié à la fraude pour les e-commerçants.

Pour finir, avec l’arrivée du nouveau protocole 3D secure 2.0, l’échange d’informations sécurisées entre les banques et les e-commerçants au moyen d’une base de données enrichie permettra de limiter les risques de fraudes et de bénéficier plus largement des exemptions.

Ainsi, la meilleure réponse pour le e-commerce à l’entrée en vigueur de la DSP 2 est de continuer à proposer toujours plus de facilités de paiement aux consommateurs tout en s’adaptant à l’injonction de sécurité en adhérant au système 3DS. Loin d’être irréconciliables, ces deux critères peuvent être subtilement combinés sous les conseils avisés de votre partenaire bancaire.

Articles associés

Voir toutes les actualités associées

Découvrez les solutions de La Banque Postale

Scellius

Afin de pouvoir encaisser à distance vous devez disposer d'un contrat monétique de vente à distance. Découvrez Scellius, la solution d'encaissement à distance pour les entreprises.

Sécurité

Certicode Plus

Le service d’authentification forte de La Banque Postale qui vous permet de sécuriser et valider vos actes de gestion réalisés depuis votre Espace Client Business et l’Application mobile.