Imprimer

A partir du 1er avril, conformément au plan de migration pour une conformité DSP2 de tous les acteurs du paiement en ligne, la donne va changer !

Nous vous rappelons que la DSP2 et es RTS sont applicable pour ce qui est de l’authentification renforcée des paiements depuis le 14 septembre. En accord avec l’ensemble du secteur (banques, réseaux, e-commerçants, prestataires techniques …) la banque de France, puis l’EBA, ont validé une montée en charge progressive des nouvelles infrastructures qui permette de gérer les spécificités cette réglementation : ces infrastructures vont permettre, pour chaque transaction :

  • de pouvoir identifier si elle est dans le champ d’application de la DSP2 (one leg/two leg, MIT …)
  • de qualifier la nature de la transaction et le souhait du e-commerçant (transaction à risque ou pas, récurrentes …)
  • Et enfin de pouvoir gérer les exemptions prévues par les RTS et les responsabilités vis-à-vis de la fraude.

Les acteurs bancaires, émetteurs, acquéreurs, réseaux mais aussi les PAT (prestataires d’acceptation techniques) sont, à des degrés divers, prêts à accepter les transactions dans ces nouveaux tuyaux. Quant au marchand, s’il héberge la page de paiement (ce qui est le cas de presque tous les acteurs significatifs du e-commerce), il doit alimenter cet écosystème de nouvelles données issues de sa propre analyse de risque d’une part, mais aussi du contexte de la transaction (voir guide CB).

Et surtout tester !

Or, vous êtes trop peu nombreux à profiter de la période de rodage prévue par le plan jusqu’au 31/03, trop peu nombreux à avoir initié des transactions 3DS V2, avec ou sans authentification, simplement pour vérifier que de bout en bout, les paramètres de la transaction sont bien transmis et interprétés tout du long de la chaîne de paiement : du marchand au PAT, puis à l’acquéreur, enfin au scheme et à l’émetteur qui va pouvoir répondre en retour avec pertinence à ces transactions.

Prenez contact avec votre (vos) acquéreurs, et surtout votre PAT, planifier une road map pour envoyer quelques transactions, enrichissez progressivement les données obligatoires et facultatives prévues par les nouveaux protocoles 3DS V2, et prenez le chemin d’une montée en charge progressive. Vous éviterez ainsi deux choses :

  • Un refus progressif (« soft decline ») par les émetteurs des transactions sans authentification forte à compter du 1er avril
  • Une bascule trop rapide et non maîtrisée dans les nouvelles infrastructures avec tous les risques liés à un projet IT non testé.

Tout savoir sur le Soft decline

Rappelons les grands jalons du plan de migration :

  • D’ici fin mars 2020 : période de tests et de rodage des nouvelles infrastructures 3DSV2 ;
  • Avril 2020 : montée en charge des volumes de transactions conformes avec « Soft Decline » progressif pour les transactions qui demeurent en VAD simple (autorisation seulement) ;
  • Janvier 2021 : refus systématique des transactions non authentifiées (hors exemption).

Le « soft decline » est un mécanisme provisoire mis en place par les acteurs de la chaine de paiement qui permet d’éviter de refuser brutalement une transaction non authentifiée, le temps de la montée en charge de tout l’écosystème. Dans ce cas de figure, l’émetteur renvoie un code qui doit être interprété par votre couple PAT/acquéreur signifiant que la transaction n’a pas été autorisée en l’état mais qu’elle peut faire l’objet d’un « rejeux » en passant par le flux d’authentification 3DSV2 (ou V1 mais que provisoirement, les infrastructures V1 ne devant pas être maintenue au-delà d’une date qui reste à définir).

Dans un premier temps (2 mois), seules les transactions qui auraient de toute façon fait l’objet d’un refus, feront l’objet du « soft decline ». A partir de juin, les transactions risqués (du point de vue de l’analyse de risque de l’émetteur) et/ou supérieur à 500 euros, se verront progressivement refusées.

L’objectif est d’arriver à la fin de l’année à ce que plus aucune transaction non authentifiée ou ne bénéficiant pas d’une exemption ne soient acceptée par les émetteurs.

Nous travaillons dans le cadre du CCC CB (Conseil Consultatif du Commerce CB) à suivre les migrations pour les transactions qui ressortent du scheme CB (1,4 Milliard de Paiements de Vente à Distance en 2018) en accompagnant les acteurs dans leur raccordement à FAST’R by CB qui permet cette conformité DSP2.

Un bref (et rapide) questionnaire est proposé aux e-commerçants qui est destiné à nous permettre de piloter ces évolutions techniques et leur montée en charge. Merci à tous les marchands d’y apporter toute leur attention et d’y répondre au plus vite.

Pour répondre au questionnaire, cliquez ici
(ou reportez ce lien dans votre navigateur https://forms.gle/xybsnCrYTGbKbqSs7).

Vous pouvez également télécharger ici le guide d’implémentation de CB.

Si vous n’êtes pas le bon destinataire, merci de faire suivre ce message aux personnes en charge des paiements, de la monétique ou de la fraude.

Vous pouvez bien évidemment nous contacter pour faire un point sur ces sujets. Nous saurons vous orienter vers les experts chez les différents réseaux (CB, Visa, MasterCard, Amex …) afin de répondre à toutes les questions techniques concernant cette migration.

Contact Fevad : Bertrand Pineau / bpineau@fevad.com

> Voir aussi nos derniers articles sur ce thème https://www.fevad.com/regul/paiements/