DSP2: la SCA est obligatoire, mais pas toujours requise.

3-D Secure PSD2
Datatrans AG – DSP2: la SCA est obligatoire, mais pas toujours requise.

Avec Datatrans, les commerçants en ligne peuvent intégrer 3-D Secure à l’ensemble des processus de paiement et profiter des exceptions définies dans la DSP2, et optimiser ainsi leur conversion grâce à trois solutions simples.

Depuis le 1er janvier 2021, l'authentification forte du client (SCA) requise par la directive DSP2 est progressivement mise en œuvre dans les différents pays de l'Espace économique européen (EEE). D'ici le milieu de l'année, le processus 3-D Secure pour SCA sera obligatoire pour les paiements par carte dans le commerce en ligne dans tous les États membres. Pour les clients, le paiement par authentification à deux facteurs est plus sûr, mais malheureusement aussi un peu plus contraignant.

Toutefois, il existe des exceptions réglementées par la loi qui permettent aux clients d’effectuer des paiements sans SCA (sans friction - de l’anglais frictionless) et aux commerçants de réduire les risques d’abandon d’achat. Datatrans propose trois solutions permettant aux commerçants d’augmenter leur taux de conversion en toute simplicité tout en se confortant à la directive DSP2. Toutes les solutions sont certifiées 3-D Secure 2 et sont développées en continu en fonction des nouvelles directives techniques des schémas de cartes.

Transactions initiées par le marchand.

Les transactions initiées par le marchand (MIT), c'est-à-dire les paiements comme par exemple le prélèvement de frais d’abonnement ou de montants variables pour des factures d’électricité, ne sont pas soumises à la DSP2. Pour ces transactions, il suffit que les acheteurs s’authentifient une fois lors de leur inscription à un service ou lors du premier achat avec 3-D Secure et qu’ils acceptent les conditions générales de vente de la boutique. Les prélèvements ultérieurs peuvent ensuite être déclenchés directement par le commerçant.

Les commerçants en ligne enregistrent pour ce faire les données de la carte de leurs clients sous forme de token grâce à la solution MIT intégrée à tous les produits de paiement de Datatrans. Datatrans Payment Gateway reconnaît ensuite automatiquement les paiements MIT et les libelle en conséquence pour qu’ils soient autorisés par l’émetteur de la carte.

DPS2, transactions initiées par le marchand, MIT

Paiement sans friction grâce aux exemptions pour les transactions à faible valeur ou à faible risque.

Pour les émettreurs de cartes, il est aussi important que leurs produits permettent un paiement confortable. C’est la raison pour laquelle ils proposent souvent de leur propre initiative des exemptions de SCA à leurs clients et assument la responsabilité en cas de fraude. Après l’entrée en vigueur de la directive DSP2, nous observons une augmentation lente mais constante des transactions sans friction. Nous partons du principe que cette part continuera fortement à augmenter.

La règlementation DSP2 permet en outre aux commerçants en ligne de demander leurs propres exemptions auprès des émettrices de cartes. Le problème ici est qu’il est difficile de prévoir si les émetteurs sont prêts à renoncer à une authentification forte pour une transaction donnée. C’est la raison pour laquelle les commerçants doivent documenter des règles générales dans leurs processus de paiement pour les exemptions souhaitées.

Exemptions de l’acquéreur

Il existe deux catégories d’exemptions de l’acquéreur: l’analyse des risques de transaction (Transaction Risk Analysis, TRA) pour les paiements ne comportant qu’un faible risque de fraude et les transactions de faible valeur (Low Value Transactions, LVT) pour les petits paiements.

La règle d’exemption TRA dépend du taux de fraude du commerçant chez son acquéreur (son partenaire contractuel pour l’acceptation des paiements par carte) en fonction des valeurs de transactions définies. Les valeurs de transaction maximales possibles sont définies en trois paliers: 100 euros, 250 euros et jusqu’à 500 euros. Plus la valeur est élevée, plus le taux de fraude du commerçant doit être bas chez son acquéreur. Pour les deux niveaux les plus élevés, ce taux ne doit par exemple pas dépasser les 0,01 pour cent.
Le montant maximal d’un paiement autorisé pour un commerçant en ligne est défini par l’acquéreur. C’est pourquoi les commerçants requièrent son accord avant de pouvoir demander l’exemption auprès de l’émetteur.

Les exemptions LVT couvrent les transactions en ligne ne dépassant pas les 30 euros. Il ne doit toutefois pas y avoir eu plus de cinq transactions et la valeur totale des achats ne doit pas dépasser les 100 euros depuis la dernière authentification forte. Seul l’émetteur de la carte tient ces comptes, qui ne peuvent donc être retracés ni par le commerçant, ni par l’acquéreur.

DPS2, Exemptions de l’acquéreur, Transaction Risk Analysis, TRA, Low Value Transactions, LVT

C’est également l’émetteur qui décide ou non d’exempter un paiement SCA par une exemption de l’acquéreur. Si il l’autorise, c’est au commerçant en ligne qu’incombera la responsabilité en cas de fraude. En revanche, si l’émetteur exige l’authentification forte, il sera également tenue responsable.
En raison de ces interdépendances complexes, la décision pour ou contre ce genre d’exemption est une question d’appréciation de l’équilibre entre les coûts potentiels (découlant par exemple de l’utilisation abusive de la carte ou des rejets de débit) et l’augmentation du chiffre d’affaires grâce à un meilleur taux de conversion.

Vous trouverez de plus amples informations dans notre Documentation.

Intéressé? En accord avec leurs acquéreurs, les clients de Datatrans peuvent paramétrer les exemptions souhaitées en toute simplicité dans Datatrans Backoffice. Le Payment Gateway effectue alors automatiquement la demande auprès de l’émettrice de la carte et dirige uniquement les clients vers le processus 3-D Secure lorsque l’émettrice rejette cette demande.

Application dynamique de 3-D Secure.

Pour les commerçants dont les marchés se trouvent aussi bien au sein de l’EEE qu’en dehors, la DSP2 entraîne un niveau de complexité supplémentaire. En effet, les transactions effectuées grâce à des cartes ne provenant pas de l’Espace économique européen peuvent être traitées sans 3-D Secure si aucune consigne de l’acquéreur du commerçant ou aucune considération en matière de responsabilité des coûts ne s’y oppose.

«Dynamic 3-D Secure» offre une solution simple aux commerçants en ligne souhaitant autoriser le plus grand nombre possible de clients hors EEE à payer sans authentification. Avec «Dynamic 3-D Secure», Datatrans Payment Gateway applique l’authentification à deux facteurs uniquement aux transactions pour lesquelles cela est vraiment nécessaire.

DPS2, dynamique de 3-D Secure, 3-D Secure

La solution vérifie si la carte provient d’un pays appartenant à l’Espace économique européen et dirige alors le client vers le processus de paiement. Datatrans Gateway réagit automatiquement aux «soft seclines» permettant aux émetteurs de la carte de rejeter dans un premier temps les paiements et de demander une authentification forte. Grâce à ce traitement automatique, la solution peut sauver des processus de paiement qui risqueraient sans cela d’être interrompus.

Grâce à «Dynamic 3-D Secure», les commerçants profitent ainsi d’une part importante de transactions «sans friction», tout en restant conformes à la directive DSP2.

Intéressé? Les commerçants en ligne ayant des questions concernant «Dynamic 3-D Secure» ou souhaitant activer la solution pour leur Merchant-ID peuvent s’adresser à [email protected] .