3DSecure v2, de la contrainte à l’opportunité

3DSecure v2, de la contrainte à l’opportunité

Actualité | 14 septembre 2019

Quand on lit les articles sur la DSP2 et le 3DSecure v2, on comprend que l’e-commerce va se sécuriser et que les commerçants vont être contraints d’utiliser du 3DSecure v2 sur toutes leurs transactions.

Et que donc toutes  les transactions sans authentification 3DSecure seront systématiquement refusées.

Indéniablement, on se trompe !

 

Récapitulons.

Il était une fois une directive européenne sur les services de paiement. Elle était motivée par des objectifs clairs et compréhensibles : moderniser les services, favoriser l'innovation, la concurrence et l'efficience du marché et préserver le consommateur de la fraude.

Elle instaurait de nouvelles règles dont l'obligation d’une l'authentification forte pour les paiements en ligne : il faut alors deux facteurs au moins, entre un code ou un mot de passe que l'on connait, un appareil que l'on possède et une donnée biométrique telle que l'empreinte digitale ou l'iris.

Le dispositif d’authentification 3DSecure, bien qu’il ne soit pas le seul moyen, est alors annoncé comme LA solution à mettre en œuvre lors de chaque transaction. Et pour gommer les réticences liées à un taux d’abandon plus fort, synonyme d’un taux d’acceptation plus faible et une multiplication prévisible de problèmes techniques, une nouvelle version est créée.

Voici donc les commerçants contraints d’appliquer une authentification 3DSecure sur toutes leurs transactions (ou presque).

C’est la panique. Les commerçants craignant des effets catastrophiques sur leur UX tant travaillée, sur leur taux de transformation ... et sur leur chiffre d’affaires.

Mais... Raison, il faut garder !

 

Alors que tout bouge…rien ne change !

Actuellement, les commerçants évaluent le risque de fraude lors d’un achat et utilisent le dispositif 3DSecure pour « sécuriser » les transactions à risque.

Ainsi, nous pouvons considérer deux grands types de transaction :

-    Les transactions à risque pour lesquelles une authentification 3DSecure est requise.

-    Les transactions évaluées sans risque pour lesquelles aucune authentification n’est appliquée.

Dès le 14 septembre 2019 ou plutôt le 1 Avril 2020, enfin d’ici 2021, nous pourrons maintenant considérer 3 grands types de transactions :

-    Les transactions avec authentification forte en 3DSecure v2 ou en 3DSecure v1 … qui continue à fonctionner !

-    Les transactions avec authentification passive (le consommateur ne s’aperçoit de rien) en 3DSecure v2.

-    Les transactions hors périmètre de la directive pour lesquelles aucune authentification n’est requise.

Les commerçants disposeront toujours du 3DSecure pour leurs transactions risquées. La version 1 restera utilisable jusqu’à fin 2021. La version 2 apportera de nombreuses nouveautés dont l’authentification passive.

Véritable « pendant » d’un paiement sans contact (NFC) dans les magasins, elle n’impactera pas l’expérience d’achat des consommateurs et pourra, selon les cas, offrir une garantie de paiement au marchand.

Les commerçants pourront demander une authentification passive pour leurs transactions évaluées sans risque. Perdant dans ce cas la garantie de paiement, ils s’assureront d’une expérience d’achat « sans friction »  si la banque émettrice de la carte le veut bien. Des programmes, tels que Fast’R proposé par CB, permettront d’assurer un taux de frictionless.

Bien entendu, tous les commerçants ne seront pas éligibles. On comprend alors que le jeu s’est déplacé. L’opportunité de se différentier de ses concurrents passera par des accords avec les réseaux et les banques.

Les commerçants pourront réaliser des transactions hors périmètre DSP2 pour leurs transactions évaluées sans risque. C’est l’exception qui confirme la règle. Appelées MIT (Merchant Initiated Transaction), elles seront traitées sans authentification 3DSecure comme des transactions internationales (hors Europe), des transactions de commande prise par téléphone ou email, et autres cas particuliers.

Difficile de savoir si ces transactions continueront d’être acceptées après 2021. Quoi qu’il en soit, il est quasi certain que le nombre de transaction MIT va sérieusement croitre dans les deux prochaines années… en attendant que le dispositif 3DSecure v2 ne se déploie sur l’ensemble des acteurs.

 

Commerçants, la vie continue après le 14 septembre 2019. Les transactions risquées seront traitées en 3DSecure v1 puis v2. Les transactions non risquées seront traitées en MIT puis en 3DSecure v2 avec authentification passive lorsque ça fonctionnera.

 

Ne pas essuyer les plâtres

La directive a nécessité beaucoup de « chantiers » et « réflexions » pour les différents acteurs du marché : réseaux, banques acquéreur, banques émettrices et PSP. Mais tout n’est pas complètement finalisé.

Le dispositif 3DSecure v2, n’est pas prêt. Encore en développement, il devra attendre la version 2.2 pour permettre à un marchand de gérer l’ensemble des cas particuliers prévus par la directive (Exemple : gestion du bénéficiaire de confiance).

L’enrôlement des cartes au 3DSecure v2 va prendre du temps. Et en attendant que l’ensemble des cartes européennes soient éligibles, il faudra continuer à utiliser le 3DSecure v1.

Le déploiement chez les banques n’est pas terminé. L’identification des transactions concernées ou non par la directive n’est rendue possible que par de nouveaux protocoles (Par exemple le CB2A 1.6 en France) qui ne sont pas encore déployés dans vos banques acquéreurs. En attendant, les transactions sans authentification seront considérées soit MIT soit hors périmètre de la DSP2. 

 

Notre vision

Notre approche, qui peut paraitre scolaire, est de faire une matrice risque/ opportunité (un SWOT) avec nos clients. Il n’y a pas une réponse unique mais des solutions adaptées à la typologie et l’activité de chaque marchand.

Nous rassurons : La directive va s’appliquer aux banques émettrices des cartes et aux banques acquéreurs des paiements. Les marchands n’ont pas d’obligation légale. Dans le pire des cas, les transactions de leurs clients seront refusées. C’est ce risque là que l’on doit traiter.

Nous déployons et utilisons : La solution de paiement en ligne de Monext est certifiée par CB, Visa et Mastercard (American Express est en cours) pour le dispositif 3DSecure v2.

Nous réalisons déjà avec quelques commerçants des transactions 3DSecure v2 en production depuis cet été afin d’anticiper les écarts de fonctionnement entre la théorie et la réalité. Nous encourageons nos clients à le tester afin de pouvoir le déployer « naturellement » le jour où cela sera efficace et performant.

Nous optimisons : Comme l’exprime notre CTO, Marc-antoine Sulmon dans une interview récente, « Jusqu’à présent, il s’agissait de maximiser le taux de transformation, bientôt, il faudra maximiser celui de l’authentification passive ». Nous proposons un service de monitoring et d’optimisation afin de garantir à nos marchands un service sur mesure qui présentera la transaction avec les bonnes valeurs dans le cadre le plus approprié. Exit, la préoccupation du taux d’authentification et du taux d’acceptation, on s’occupe de tout.

 

En synthèse : l’avenir vous appartient… avec un peu d’anticipation !

Pour être meilleur que les autres ? Faites de cette contrainte une véritable opportunité.

 

 

 

 

 

 

Retour aux actualités