Imprimer

Rappel du contexte

Le 14 septembre 2019 entreront en application les nouvelles règles liées à l’authentification forte (RTS) issues de la seconde Directive sur les Services de Paiement. Conçues notamment pour réduire le niveau de fraude observé dans le e-commerce, ces règles précisent les principes de la DSP2 qui prévoit la systématisation de l’authentification forte ainsi que la responsabilité centrale des émetteurs dans leur application.

Face à cette nouvelle donne, la mobilisation de l’ensemble des acteurs de la place a permis de dessiner un ensemble de solutions qui tendent à concilier lutte contre la fraude, maintien de parcours clients fluides et bien entendu conformité aux RTS.

Une reconnaissance de l’EBA pour une période de transition

Mais, avant que les e-commerçants puissent proposer des parcours de paiement conformes, il faut que chacun des acteurs de la chaîne mette en œuvre de nouveaux protocoles, les intègrent dans leurs systèmes d’information, les testent, et respectent une montée en charge garante de la solidité de tout l’édifice. Il s’agit en particulier du passage du système 3DS 1.0 à des outils 3DS 2.1 (puis 2.2 fin 2020), des développements nécessaires pour alimenter ces outils en nouvelles données, de la capacité des acteurs de la chaine (PATs, acquéreurs, schemes, émetteurs) à les prendre en compte pour gérer les exemptions prévues par les RTS.

Le chemin est encore long et l’EBA a reconnu aux régulateurs nationaux, dans son avis du 21 juin (voir ici), la possibilité d’organiser localement au-delà du 14 septembre une période de transition.

Une migration peut en cacher une autre !

A ce stade il convient de dissiper la confusion très répandue dans les commentaires à propos de la mise en œuvre de la DSP2 et des RTS et qui tend à confondre deux migrations très différentes :

  1. la mise en place des systèmes monétiques qui prendront en compte toutes les caractéristiques prévues par les textes : périmètre d’application en premier lieu mais aussi gestion des exemptions prévues par les RTS (3DS1 vers 3DS 2.1, puis 2.2).
  2. la mise en place et la diffusion par les banques aux consommateurs de nouveaux moyens d’authentification conformes à la DSP2 en lieu et place du SMS OTP.

La première migration va permettre notamment de distinguer les transactions figurant dans le périmètre de la DSP2 : celles qui sont à l’initiative du consommateur pour faire simple.

Elle devra également permettre la circulation tout le long de la chaîne de paiement de nouvelles données nécessaires à la conformité de cas d’usages très divers et à la gestion des exemptions prévues par les RTS.

Elle nécessite la mise à jour des systèmes d’information des acquéreurs, des PATs, des réseaux (CB, Visa, Mastercard …) et des émetteurs. Les marchands doivent également se préparer à transmettre de nouvelles informations dans les flux monétiques, et pour ceux qui ne l’ont pas encore fait, à s’assurer de disposer avec leur(s) acquéreur(s) de contrats adaptés (Contrats VADs et non simplement VAD !). Cette migration est aujourd’hui en discussion et pourrait s’étaler jusqu’au 31 mars 2021 ;

La seconde concerne principalement les émetteurs (banques des consommateurs) qui devront offrir à leurs clients des moyens d’authentification conforme à la DSP2 : pour faire simple, passer du fameux SMS OTP qui reste le plus utilisé en France pour les paiements authentifiés à de nouvelles méthodes basées notamment sur la biométrie, l’application mobile ou tout autre moyen respectant la fameuse règle des 2 facteurs parmi les 3 que sont l’inhérence (ce que je suis), la connaissance (ce que je sais) la possession (ce que je possède).

Cette seconde migration est d’ores et déjà agréée par la Banque de France qui prévoit une migration étalée sur une période de 3 ans, soit fin 2022.

Les prochaines étapes et la « To do liste» des marchands

Comme évoqué précédemment l’EBA a reconnu aux régulateurs nationaux, dans son avis du 21 juin, la possibilité d’organiser localement au-delà du 14 septembre une période de transition pour permette cette migration qui peut s’avérer lourde de conséquence. La Fevad, Mercatel, la FBF (Fédération des Banques Françaises), les schemes (CB, Visa, Mastercard) et les PATs vont proposer au régulateur national (Banque de France) un plan de migration qui fera l’objet d’un suivi par celui-ci. Nous vous informerons très rapidement des principaux jalons de ce plan, des indicateurs qui seront monitorés et des points d’attention à surveiller.

En ce qui vous concerne, il convient d’ores et déjà :

  • de vérifier en priorité que vous disposez d’un contrat VADs (S pour sécurisé) avec votre acquéreur. De nombreux marchands ne font encore aucune authentification forte et ne disposent donc que d’un contrat VAD simple : ils doivent impérativement et rapidement faire ce premier pas en se rapprochant de leur banque acquéreur.
  • de prendre ensuite contact avec votre (vos) PATs (prestataire d’acceptation technique) mais également avec votre (vos) acquéreur(s) pour connaitre la date de disponibilité des nouveaux systèmes (3DS 2.1) et des nouveaux protocoles monétiques (CB2A 1.6).
  • Enfin, en fonction de votre configuration monétique (paramétrage du processus de paiement sur le site, ressources internes ou externalisation complète chez le PATs, présence d’une solution d’analyse de fraude ou pas …), il faudra, avec votre prestataire, planifier votre migration vers les nouveaux flux monétiques 3DS 2.1.

A noter ! Si vous êtes aujourd’hui « full 3DS V1 », vous êtes d’ores et déjà conforme à la DSP2. Et vous n’avez donc pas d’urgence à migrer vers ces nouveaux flux 3DSV2.x ! Attention cependant, 3DS 1.0 ne sera pas maintenu ad vitam aeternam par Visa et Mastercard mais aucune date de fin de ce protocole n’est encore annoncée.


Guide d’implémentation CB

Dans une volonté d’accompagner les commerçants dans la mise en œuvre de l’authentification forte (DSP2/volet RTS SCA) le Groupement CB a publié un guide d’implémentation. Ce guide d’une soixantaine de pages se compose de 4 parties :

  • RAPPEL DU CONTEXTE RÈGLEMENTAIRE DE FAST’R BY CB
  • LE DISPOSITIF PROPOSÉ POUR UN PAIEMENT CB AVEC 3-D SECURE
  • GUIDE PRATIQUE POUR L’INTÉGRATION DE LA SOLUTION CB
  • ETAPES DE MISE EN ŒUVRE

Vous y trouverez également dans les annexes un glossaire et des éléments sur le volet RGPD. Ce guide est disponible uniquement sous NDA. Aussi, pour le recevoir, nous vous invitons à renvoyer ce NDA (à télécharger ici) à l’adresse suivante : echang-consultant@cartes-bancaires.com.

Autres actualités paiement

Parution du rapport annuel 2018 de l’Observatoire de la Sécurité des Moyens de Paiement

La Banque de France a rendu public le 9 juillet 2019, le rapport annuel 2018 de l’Observatoire de la Sécurité des Moyens de Paiement, à télécharger ici https://www.banque-france.fr/liste-chronologique/rapports-dactivite

Ce troisième rapport publié depuis la création de l’OSMP en 2016, rend compte d’une maîtrise de la fraude affectant la plupart des moyens de paiement.

Les paiements à distance, particulièrement analysés du fait de leur forte croissance enregistrent pour la septième année consécutive, une baisse de la fraude à 0,173% contre 0,190% en 2017.

Le rapport soulève en revanche une certaine préoccupation sur le cas du chèque. En effet, bien que son utilisation continue de décroître (-11% en montant), le taux de fraude enregistré a quant à lui sensiblement augmenté de +52% par rapport à 2017.

Cette évolution de la baisse de la fraude carte est la conséquence des efforts conjoints des différents acteurs, commerçants, établissements bancaires et prestataires techniques, dans la gestion du niveau de risque. Elle devrait se poursuivre au fur et à mesure de la mise en oeuvre de la DSP 2.

Alerte sur les paiements « MOTO »

En raison des mesures de sécurité apportées aux paiements à distance par tout l’écosystème, il convient d’être attentif à « la sécurité des modes de paiement non connectés » sur lesquels les fraudeurs ne vont pas manquer de se reporter. On parle notamment ici des paiements « MOTO » (mail order, téléphone order). De trop nombreux cas d’usage voient encore les clients communiquer des coordonnées bancaires par courriers ou par téléphone via des process pour le moins fragiles !

Le dernier rapport de l’OSMP présente une fiche très complète issue des travaux de veille de cette année sur ce sujet (pages 43 à 64).

Nous ne pouvons que conseiller aux acteurs concernés d’en prendre connaissance.


Pour tout contact sur les sujets paiements : bpineau@fevad.com

 

PARTAGER