La crise sanitaire du coronavirus a bousculé le calendrier d’application du volet de la DSP2 concernant l’authentification forte. Mais les entreprises et les banques ont une nouvelle échéance : le 31 décembre 2020…
La nouvelle version de la Directive sur les Services de Paiement (DSP2) vise à harmoniser davantage la réglementation sur les paiements. Elle introduit de nouvelles exigences en matière de sécurité pour l'initiation, le traitement des paiements électroniques, ainsi que la protection des données financières des consommateurs.
L’authentification forte du client (SCA), soit au moins deux facteurs d’identification (code, mot de passe, appareil à disposition, donnée biométrique…), sera obligatoire pour les paiements en ligne supérieurs à 30 euros. Cela signifie aussi que le code envoyé par SMS classique (OTP) ne sera plus accepté d'ici à 2022.
Par ailleurs, elle reconnaît et réglemente les prestataires de services de paiement tiers (PSP tiers) qui sont autorisés à accéder aux comptes, à agréger leurs données et à initier les services de paiement.
Les organismes de réglementation nationaux et les banques individuelles doivent donc élaborer des solutions ou s’appuyer sur des partenaires compétents pour gérer, entre autres, cette complexité.
Les entreprises doivent donc :
- S’équiper d’une solution dynamique et intelligente de lutte contre la fraude efficace ;
- Migrer vers le bon protocole 3DS ;
- Mettre en place une stratégie de gestion des exemptions et réduire les frictions.
Mais la pandémie a impacté le calendrier qui avait, d’ailleurs, déjà été modifié. La date limite avait été déjà repoussée de six mois en France, soit le 31 décembre 2020.
En Europe et en France, l’EBA et la Banque de France, des tests de rodage doivent être mis en place, suivis par une montée en charge progressive. Depuis le 31 mars dernier, le « soft decline » permet en France une montée en charge progressive des volumes de transactions conformes pour les transactions qui demeurent en VAD simple (autorisation seulement).
Les banques émettrices peuvent rejeter progressivement toute transaction en ligne passée sur un site e-commerce si celui-ci n’a pas authentifié son client (SCA). Cependant, le « soft decline » représente aujourd’hui moins 0,05% du total du volume des transactions en raison de la crise sanitaire.
Mais en janvier 2021, il y aura un refus systématique des transactions non authentifiées (hors exemption). Précisons qu’au Royaume-Uni, l’autorité de réglementation locale, la FCA, a décidé de repousser de 6 mois la généralisation de l’authentification forte à tous les e-commerçants au 14 septembre 2021.
Les entreprises doivent donc anticiper le « soft decline ». « Les marchands qui n'auront pas suffisamment anticipé la mise en place du soft decline vont s'exposer à des pertes supplémentaires. En effet, s'ils ne sont pas en mesure d'interpréter la réponse de la banque et d'orienter leurs clients vers une authentification forte, les paniers ne pourront être finalisés. Perte directe de revenus pour le commerçant, mais également très mauvaise expérience de vente pour le consommateur... », indique Nicolas Engel, Director, CyberSource Global Services, une plateforme de paiement antifraude.
