Paiement en ligne et authentification forte : « peut mieux faire ! »

8 May 2017

4616

La dernière version des RTS (Regulary Technical Standards) publiée par l’Autorité Bancaire Européenne continue d’être une menace pour le développement du commerce électronique.

L’association européenne Ecommerce Europe, dont la FEVAD est membre aux côtés de 19 autres Etats membres, reste très préoccupée par la dernière version des RTS de l’Autorité Bancaire Européenne qui, en complément de la directive service de paiement 2 (« DSP2 »), précise les modalités relatives à l’authentification forte des consommateurs en matière de paiement en ligne. Il est primordial que la Commission européenne apporte des changements à ce texte. Si ces RTS étaient entérinés sans modification, cela mettrait en péril la compétitivité du commerce électronique européen.

Ecommerce Europe souligne que ce projet de texte ne tient pas suffisamment compte de l’impact pour les marchands d’une authentification forte systématique et généralisée. Il est particulièrement regrettable que les propositions retenues pour lutter contre la fraude ne prennent pas en compte les informations relatives aux consommateurs détenues par les e-commerçants. Des transactions de paiement légitimes risquent ainsi d’être refusées car les PSP (Plateformes Sécurisées de Paiement), c’est-à-dire les banques des clients ne pourront pas les identifier comme telles.

Ecommerce Europe l’a d’ailleurs réaffirmé dans une lettre adressée au vice-président de la Commission européenne, M. Dombrovskis. Tous les acteurs concernés par ce sujet s’accordent, en effet, sur le fait que les e-commerçants devraient être autorisés à appliquer l’approche par les risques qui contribue à la sécurisation des paiements et ce, sans ralentir le parcours client.

Ainsi, Ecommerce Europe alerte la Commission européenne pour travailler avec l’Autorité Bancaire Européenne et le secteur du commerce électronique afin de se concerter et de discuter sur les points suivants, conformément à l’esprit de la DSP2 et au bénéfice du marché unique numérique de l’UE.

Les commerçants et leurs PSP doivent avoir la possibilité d’utiliser l’approche par les risques, et leurs taux de fraude individuels doivent être pris en compte

Les RTS précisent que seules les analyses de risques (TRA : Transaction Risk Analysis) faites par les banques (celle du marchand et celle du client) sont prises en compte. Les analyses de risques effectuées par les e-commerçants ne sont pas spécifiées par ce texte et donc pas retenues dans les critères conduisant ou pas les transactions vers une authentification forte du consommateur.

Or, les e-commerçants disposent des données indispensables à la prévention de la fraude, par exemple des informations sur le comportement des clients (c’est-à-dire les payeurs) ou encore des informations sur les modes de navigation et d’achat.

Les RTS indiquent également que c’est le PSP du payeur (la banque du client) qui décide en dernier recours si une transaction doit faire l’objet ou pas d’une authentification forte. Ceci n’est pas conforme à l’article 97 de la DSP2 qui est agnostique quant à savoir quelle PSP (c’est-à-dire PSP du payeur ou PSP du marchand) doit prendre la décision finale. En fait, le commerçant et sa PSP sont les mieux placés pour prendre la décision car ils ont accès à des informations uniques concernant le commerçant (par exemple, les modèles de fraudes spécifiques à l’activité du marchand) et le payeur (voir ci-dessus).

De plus, il est regrettable que la responsabilité finale d’appliquer ou non une authentification forte ne repose pas plutôt sur la banque du commerçant qui serait ainsi incitée à améliorer ses taux de fraude de référence, taux pris en compte par le texte des RTS pour avoir la possibilité de s’exempter d’une authentification forte.

L’analyse de risque doit pouvoir dans certains cas suppléer au « dynamic linking » [1]

Une pratique courante des e-commerçants permet d’offrir aux clients le choix de diviser leurs commandes en plusieurs envois au fur et à mesure que les produits sont disponibles. Pour les transactions à distance, les clients ne sont généralement débités que lorsque les articles sont expédiés (conformément aux règles des réseaux de cartes / schemes). Il en résulte plusieurs transactions de différents montants, dont la somme correspond au total de la commande. Dans sa version actuelle, le RTS ne permet pas aux e-commerçants de poursuivre cette pratique sans exiger du client une authentification pour chacun des débits. Ce qui serait matériellement impossible dans la mesure où le client ne se trouve plus alors dans le contexte de la transaction … à moins de débiter en une seule fois le montant total de la transaction, que des articles soient expédiés ou non.

Ce n’est pas conforme à l’article 98 (1) (b) de la DSP2) qui prévoit que les exemptions fondées sur l’analyse de risque puissent suppléer au « dynamic linking ». C’est pourquoi, l’exemption de l’authentification forte sur la base d’une analyse de risque devrait donc pouvoir être légitimement appliquée dans un certain nombre de cas tels que les débits multiples mais aussi dans les cas d’ajustements liés par exemple aux taux de TVA ou aux frais de transport.

C’est le cas aujourd’hui lorsque les envois fractionnés sont traités comme des demandes d’autorisation multiples et sont soumis avec les données d’authentification d’origine. Le montant total de la transaction fractionnée peut alors varier de 15% par rapport à l’authentification d’origine ce qui permet de prendre en compte les coûts supplémentaires associés à ces éléments (TVA, frais de port …). Cette approche assure la sécurité des transactions en ligne, tout en offrant aux commerçants la souplesse nécessaire pour répondre aux besoins des consommateurs.

Les critères relatifs aux taux de fraude maximum devraient être simplifiés, en fonction des normes sectorielles disponibles et appliquées à toutes les transactions sans limite de montant

Les seuils relatifs aux taux de fraudes maximum proposés par l’Autorité Bancaire Européenne pour permettre une exemption sont trop complexes et leurs modes de calcul particulièrement flous. De plus, les fraudeurs sont connus pour contourner rapidement les critères de lutte contre la fraude, d’autant plus s’ils sont figés. Les critères en rapport direct avec le montant des transactions sont donc à exclure.

Les différents seuils devraient être collectés, catégorisés et mis en place en concertation entre les acteurs concernés (commerçants, banques, prestataires) qui s’engageraient à réduire les taux de fraude par une approche progressive basée par exemple sur un taux de fraude cible ambitieux mais réaliste qui serait défini en fonction des taux de fraude constatés du secteur. Ce taux de fraude pourrait être régulièrement révisé pour prendre en compte les progrès du secteur, conformément à l’article 32 des RTS. De plus, comme les taux de fraude et les risques varient considérablement en fonction des pays, des catégories de produits et des tailles de commerçants, une approche sectorielle pourrait alors être prise en compte pour mesurer la fraude en utilisant les chiffres disponibles pour chaque secteur.

[1] L’authentification doit être à double facteur avec génération d’un code à usage unique. Dans le cadre d’un paiement, ce code doit être lié au montant et bénéficiaire de la transaction (« Dynamic linking »)

About Ecommerce Europe

Ecommerce Europe is the association representing 25,000+ companies selling goods and/or services online to consumers in Europe. Founded by leading national e-commerce associations, Ecommerce Europe is the voice of the e-commerce sector in Europe. Its mission is to stimulate cross-border e-commerce through lobbying for better or desired policy, tabling the e-commerce sectors’ demands on the agenda of those designing the necessary standards and regulations, by offering a European platform bringing the European e-commerce sector and other stakeholders together, and by providing in-depth research data about European markets. Moreover, Ecommerce Europe provides more than 10,000 certified online companies across Europe with a European Trustmark label, with the aim of increasing consumers’ trust in cross-border purchases.

Website: www.ecommerce-europe.eu

Trustmark: www.ecommercetrustmark.eu

National associations that are members of Ecommerce Europe

Belgium BeCommerce www.becommerce.be
Bulgaria Bulgarian E-commerce Association www.e-commerce.bg
Czech Republic APEK www.apek.cz
Denmark FDIH www.fdih.dk
Finland KAUPPA www.kauppa.fi
Finland Verkkoteollisuus www.verkkoteollisuus.fi
France FEVAD www.fevad.com
Germany Händlerbund e.V. www.haendlerbund.de
Greece GRECA www.greekecommerce.gr
Hungary SzEK.org www.szek.org
Ireland Retail Excellence Ireland www.retailexcellence.ie
Italy Netcomm www.consorzionetcomm.it
Luxembourg eCOM.lu www.ecom.lu
The Netherlands Thuiswinkel.org www.thuiswinkel.org
Norway Virke eHandel www.virke.no
Poland e-Izba www.eizba.pl
Portugal ACEPI www.acepi.pt
Romania ARMO www.armo.org.ro
Spain Adigital www.adigital.org
Switzerland NetComm Suisse www.netcommsuisse.ch

Contact
Ecommerce Europe AISBL
Rue de Trèves 59-61, B-1040 Brussels, Belgium
Website: www.ecommerce-europe.eu

Trustmark: www.ecommercetrustmark.eu

Twitter: @Ecommerce_EU

Press contact Ecommerce Europe

Marlene ten Ham

Secretary General

Tel.: +32 2 502 31 34

Email: marlenetenham@ecommerce-europe.eu

 

PARTAGER