Paiements à distance : la fin du one-click shop ?

2695

Fin 2019 nous passerons d’une authentification forte optionnelle décidée par le marchand à une authentification systématique (sauf cas d’exemptions prévues par les RTS) … et ceci piloté in fine par la banque du cyber-acheteur !

La généralisation des dispositifs d’authentification renforcée en Europe est inscrite parmi les axes forts de la Directive européenne sur les services de paiement n°2. Celle-ci entrera en vigueur à partir de janvier 2018. Les RTS (Regulary Technical Standards) qui précisent notamment les modalités de mise en oeuvre de l’authentification forte, viennent d’être adoptés (voir ici).

Le Parlement européen et le Conseil ont trois mois pour les examiner. Les banques et autres prestataires de services de paiement auront alors 18 mois pour mettre en place les mesures de sécurité et les outils de communication soit au plus tôt au 3ème trimestre 2019.

Rappelons que les RTS ont fait l’objet de vives critiques de la part des acteurs du paiement et des e-commerçants (voir ici la dernière position Fevad/Mercatel sur ce point).

Principes de fonctionnement de l’authentification forte telle que prévues par la Dsp2 et les RTS 

Schématiquement nous passerons donc d’une authentification optionnelle décidée par le marchand à une authentification systématique, sauf cas d’exemptions prévues par les RTS … et ceci piloté in fine par la banque du cyber-acheteur !

Cas d’exemption

La Fevad participe à plusieurs groupes de travail (Conseil consultatif CB, Banque de France / OSMP, Conseil National des Paiements scripturaux, VISA …) pour d’une part identifier les parcours clients qui seront potentiellement remis en cause par ce texte et d’autre part pour trouver des solutions aux risques de complexification de certains parcours clients, notamment dans les cas suivants :

  • Paiements récurrents de montants variables;
  • Paiements fractionnés.

Nombreux sont ceux qui s’interrogent également sur l’opportunité d’une authentification forte dans le cas des paiements réalisés sur l’espace client (le client est déjà authentifié).

De nombreux acteurs évoquent en outre, la nécessité de pouvoir débrayer l’authentification forte (en majorité 3Dsecure) en cas de dysfonctionnement d’un des points de la chaîne d’authentification (réseaux, banques, opérateur telco …).

Rappelons que, dans ce nouveau dispositif, l’approche par les risques pilotée par le marchand n’est plus déterminante : c’est en effet la banque du porteur qui en définitive décidera de l’opportunité de déclencher une authentification forte ou pas.

Le protocole 3DS 2.0, successeur du 3DS actuel, devrait cependant, à partir du second semestre 2018, permettre aux marchands de fournir aux banques des porteurs (les clients) des informations enrichies pour fonder sa décision d’authentifier ou pas la transaction.

Pour tout contact Fevad : Bertrand Pineau / bpineau@fevad.com

PARTAGER