DSP2 : ce qui va changer pour les paiements en ligne

La DSP2, “Directive sur les Services de Paiements 2.0”, fait beaucoup parler d’elle depuis quelques mois. Et pour cause : l’une de ses mesures phares, l’introduction de l’authentification à deux facteurs, est amenée à bouleverser le paiement en ligne. Elle promet une sécurisation accrue de l’authentification et une réduction du nombre de fraudes bancaires.

Entre contraintes techniques et risques commerciaux, les e-commerçants doivent se préparer avec attention à l’entrée en vigueur de l’authentification forte.

DSP2 et SCA : nouveaux outils de prévention des fraudes en ligne

La DSP2 fait suite à la directive DSP, entrée en application en 2000. Celle-ci prévoyait la création d’un marché européen des opérations de paiement. Elle avait pour objectif de faciliter les transactions en abaissant les barrières techniques, commerciales et légales des marchés nationaux.

La DSP2, adoptée en 2015, a vu ses mesures progressivement appliquées au fil des années. Le fil conducteur : moderniser les services de paiement, et surtout encadrer les transactions. L’accent est mis sur la sécurisation des paiements en ligne.

Une partie des mesures de la DSP2 n’est pas encore tout à fait entrée en vigueur. C’est le cas de l’introduction de la double authentification (SCA) pour les paiements en ligne. Initialement prévue pour septembre 2019, sa mise en application a été décalée au 31 décembre 2020 dans l’ensemble des pays européens.

DSP2 : l’introduction d’une authentification à deux facteurs (SCA)

La directive européenne introduit un concept phare : la SCA (Strong Customer Authentification). En français “authentification forte du client”, ce dispositif est amené à bouleverser les paiements en ligne.

S’il était auparavant possible de s’authentifier par un simple code reçu par SMS, à l’image du fameux dispositif du 3D Secure, ce ne sera plus le cas d’ici peu.

Les exigences en matière d’authentification du client lors de la réalisation d’une opération bancaire sont en effet en passe d’être considérablement renforcées.

Deux des trois des facteurs suivants seront nécessaires pour valider la transaction :

  • Un facteur de connaissance. Classiquement, cela renvoie à un code ou mot de passe.
  • Un facteur d’inhérence. On retrouve ici ce qui relève de la biométrie, par exemple la reconnaissance d’empreintes digitales.
  • Un facteur de possession. Cela peut être un objet connecté, par exemple.

Quelles dérogations à la DSP2 ? Les paiements en ligne exemptés

Le principe est univoque : l’ensemble des paiements en ligne est soumis à l’authentification forte.

Des exemptions existent cependant. Elles ont pour objectif de ne pas pénaliser plus que de raison le parcours d’achat et la réalisation des transactions.

La directive énumère de façon exhaustive les opérations susceptibles d’être exemptées :

  • Les transactions de faible montant, c’est-à-dire celles dont le montant est inférieur à 30 euros. Il existe cependant des restrictions journalières quant au montant et au nombre d’opérations.
  • Les transactions répétées, tels que les systèmes par abonnement. Seule la transaction initiale relève du dispositif SCA, à condition que les paiements suivants soient d’un montant constant.
  • Les transactions “à faible risque”. Cette dérogation est un peu plus obscure. Ces transactions relèvent d’une analyse au cas par cas, en observant le taux moyen de fraude associé à l’opération.

Il existe d’autres types de dérogations à l’authentification forte. On retrouve parmi elles l’utilisation d’une carte professionnelle, les transactions MOTO, les transactions inter-régionales, ou encore la constitution par le client auprès de sa banque d’une liste blanche d’e-commerçants.

L’impact de la DSP2 sur les e-commerçants

La mise en application de la norme SCA introduite par la DSP2 provoque des préoccupations sur le plan technique et commercial. Les e-commerçants doivent rapidement prendre les mesures nécessaires pour se placer en conformité avec la directive, en perdant le moins de transactions possible.

Paiements en ligne : comment se mettre en conformité avec la DSP2 ?

Les nouvelles exigences en matière d’authentification amènent les acteurs commerciaux et bancaires à se tourner vers les procédés biométriques d’identification, tels que les empreintes digitales. La réception d’un code par SMS, à l’instar du dispositif 3D Secure, ne sera plus jugée suffisante pour satisfaire aux exigences de sécurité.

Les e-commerçants se voient dans l’obligation d’adapter leur procédure de paiement. Ils doivent en effet intégrer une étape d’authentification supplémentaire, pour satisfaire à l’exigence du cumul de deux facteurs.

Le plus simple pour eux est sans doute de déléguer le processus à un prestataire de services de paiement. Il est également possible de créer un système de paiement sur-mesure.

Un risque commercial : vers une dégradation de la conversion

Le défi de l’authentification forte n’est pas seulement technique. Il est également susceptible d’impacter les résultats des entreprises.

Le non-respect de la norme SCA pourrait aboutir au blocage de tout paiement sur le site.

Cependant, la conformité au dispositif SCA ne lève pas non plus tous les risques commerciaux pour les chefs d’entreprise.

En effet, l’introduction du dispositif SCA complexifie le parcours d’achat en ligne. L’authentification devient plus longue, et les clients peuvent être décontenancés. Le tunnel de conversion se dégrade et le risque d’abandon de panier augmente.

Selon une étude menée par 451 Research pour la plateforme de paiements en ligne Stripe, la mise en place du SCA entraînerait une perte d’activité économique s’élevant à 57 milliards d’euros la première année suivant son entrée en vigueur.

Il devient alors vital pour les e-commerçants d’auditer et d’optimiser le parcours d’achat, en améliorant les étapes pré et post-paiement. Des mécanismes de retargeting peuvent être adoptés pour les clients ayant abandonné leur panier.

Le problème : si les acteurs financiers sont globalement armés pour cette réforme, beaucoup d’entreprises sous-estiment quant à elle les impacts de la SCA. Certaines n’en ont d’ailleurs tout simplement pas connaissance.

Un délai supplémentaire accordé par l’Europe

Face à l’ampleur du chantier et au risque de pertes économiques importantes, l’Union Européenne a accordé un délai supplémentaire aux pays européens. L’objectif est de permettre aux entreprises et acteurs financiers d’être entièrement prêts à ce changement.

L’Autorité bancaire européenne a ainsi accepté de repousser l’entrée en vigueur de la SCA dans tous les pays européens au 31 décembre 2020. Un peu de répit pour les commerçants… À condition de s’y prendre bien à l’avance.

DSP 2 et paiements en ligne : ce qu’il faut retenir

  • La directive DSP2 porte en son sein une réforme du paiement en ligne.
  • En effet, l’introduction du dispositif SCA a pour objectif de sécuriser encore davantage les achats en ligne.
  • Dorénavant, le client devra s’authentifier au moyen de deux facteurs. Le paiement 3D Secure devient obsolète car insuffisant.
  • L’introduction de la norme SCA risque de pénaliser le tunnel de conversion des e-commerçants. Il est vital pour eux de se préparer à ce changement.
  • L’Europe a accordé un délai supplémentaire aux entreprises. L’authentification forte ne sera obligatoire qu’à partir de 2021.
Carte-Justificatif