DSP2 (Directive sur les services de paiement): Les exigences d’une authentification forte du client.

3-D Secure PSD2
Datatrans AG – DSP2 (Directive sur les services de paiement): Les exigences d’une authentification forte du client.

DSP2, la directive européenne sur les services de paiement est entrée en vigueur au début de l’année. Cette directive a pour but de promouvoir les innovations techniques dans les transactions financières tout en renforçant les droits des utilisateurs en améliorant la sécurité et en simplifiant les processus de paiement. Mais quelles sont les conséquences de DSP2 pour le commerçant à l’intérieur comme à l’extérieur de l’UE. Quelles sont les mesures qui doivent être prises dès aujourd’hui ou dans un avenir proche?

Aperçu des mesures et des innovations les plus importantes:

  • Authentification forte du client (au cours de 2019): voir ci-dessous pour plus d’infos.
  • Suppression des taxes de paiement (déjà en vigueur): le prélèvement de surtaxes lors de paiement par carte de crédit est illicite en Suisse depuis août 2017 et en UE depuis janvier 2018.
  • Ouverture d’interfaces bancaires (déjà en vigueur): DSP2 prévoit que les banques mettent à disposition des interfaces grâce auxquelles des fournisseurs tiers peuvent collecter des informations de comptes et initier des paiements. Il n’existe actuellement en Suisse pas encore d’obligation légale pour cette mise en place. Il reste donc à savoir dans quelle mesure certaines directives du DSP2 vont devoir être implémentées à l’avenir dans le droit suisse.

Authentification forte du client
L
es clients devront à l’avenir s’identifier à l’aide d’au moins deux des éléments (authentification à double facteurs) des catégories: savoir, possession, caractéristiques personnelles (facteurs biométriques comme par ex. l’empreinte digitale). On accorde surtout à cette dernière catégorie une signification importante pour une authentification sans problème et adaptée aux besoins des clients dans le e-commerce mobile. (Plus d’informations sur l’authentification forte dans le cadre des normes techniques RTS).

Dérogations à l’authentification forte
L
e check-out rapide et confortable est maintenu dans le cas de transactions à risque minime. On peut donc mentionner les exceptions suivantes à l’authentification forte du client:

  • Petits montants: paiements jusqu’à EUR 30 ne nécessitent pas d’authentification forte, si le montant total depuis la dernière authentification forte ne dépasse pas la limite de EUR 100 ou que, depuis un maximum de 5 transactions consécutives, n’ait été réalisé.
  • Paiements récurrents: conformément à l’interprétation des «card schemes», la dérogation à l’authentification forte est applicable dans le cas de paiements récurrents d’un même montant et destinés à un même bénéficiaire.
  • Liste d’autorisation (whitelisting): création d’une liste de commerçants dignes de confiance pour lesquels les dérogations sont appliquées.
  • Risque faible: une authentification basée sur le risque peut être effectuée à la place d’une authentification forte, si le montant de l’achat est situé en dessous de la limite max. de EUR 500. Le montant maximal autorisé est calculé sur la base du taux de fraude enregistré par le fournisseur de paiement. L’authentification basée sur le risque contrôle en temps réel le risque de la transaction sur la base de différents paramètres tels que le schéma de comportement et l’origine de l’acheteur, le montant de l’achat etc.

Dans le cas de transactions dites One-Leg-Out (OLO) pour lesquelles un seul des fournisseurs de paiement est domicilié en UE (acquéreur ou émetteur), la DSP2 ne concerne que le fournisseur de paiement ayant son siège dans l’UE.

À l’heure actuelle et dans la mesure où la question est encore controversée quant à l’ampleur des obligations d’authentification forte dans le cas de transactions OLO, nous recommandons à tous les commerçants de chercher activement le dialoque avec leur acquéreurs, s’informer sur les questions d’authentification forte et d’en observer l’évolution.

3-D Secure 2.0 (3-DS 2.0)
Les organisations internationales de cartes de crédit lancent par l’intermédiaire de leur instance de normalisation commune (EMVCo), la nouvelle norme d’authentification 3-D Secure 2.0 (3-DS 2.0). Le processus 3-DS 2.0 permet l’implémentation standardisée de l’authentification forte et de ses dérogations
conformément aux directives de DSP2.

Des concrétisations sont encore nécessaires quant à la mise en place pratique des directives. Datatrans recommande aux commerçants de l’UE mais aussi en Suisse, de discuter avec leurs acquéreurs des exigences 3-DS 2.0 ainsi que du calendrier des mises en place techniques. Datatrans évalue actuellement les solutions techniques appropriées qui seront disponibles en temps voulu.

Infos
Vous trouverez des informations supplémentaires concernant DSP2 et 3-DS 2.0 sur:
https://eur-lex.europa.eu/ 
https://www.emvco.com/

Datatrans vous informera continuellement sur www.datatrans.ch sur les développements dans le domaine de DSP2 et en particulier de 3-DS 2.0.

Si vous avez des questions concernant DSP2 et 3-DS 2.0, n’hésitez pas à nous contacter à l’adresse e-mail suivante: [email protected]