Le lexique de la DSP2

Pour commencer, la DSP2 : La Directive sur les Services de Paiement 2, permet de sécuriser les paiements électroniques grâce à l’authentification forte du porteur pour les transactions électroniques. Elle s’applique aux 28 pays de l’Espace Économique Européen et concerne tous les marchands qui processent leurs paiements par carte via un acquéreur européen.

L’entrée en vigueur initiale et communiquée par l’EBA (European Banking Authority) était le 14 Septembre 2019.

En accord avec les autorités bancaires locales, la date d’entrée en vigueur de la DSP2 a été décalée de 12 à 18 mois en fonction des pays pour permettre à tous les acteurs de l'écosystème d’être prêts.

Rappel de ce qu’est l’authentification forte :

(Strong Customer Authentication pour les plus bilingues d’entre nous)

Destinée à renforcer la sécurité lors des paiements électroniques, l’Authentification forte a pour but de vérifier l’identité du porteur de carte. Pour cela, au moins deux éléments parmi les trois facteurs d'authentification suivant doivent être validés :

• Un élément connu par le porteur : mot de passe, code secret, question secrète, …
• Un élément possédé par le porteur : téléphone portable, montre connectée, …
• Un élément inhérent au porteur : reconnaissance faciale, vocale, empreinte digitale

L’indépendance de ces éléments garanti en cas de compromission de l’un des facteurs, l’intégrité du second.

Les RTS :

Veuillez comprendre Regulatory Technical Standards. Les RTS sont l’ensemble des normes techniques qui définissent les exigences constituant la DSP2.

3D Secure :

• 3D secure V1 : Développé par Visa, Mastercard et American Express, le 3D Secure, ou 3DS, est un système d’authentification ayant pour objectif d’améliorer la sécurité des achats en ligne. Le 3D Secure ajoute un niveau de sécurité supplémentaire en demandant à l’acheteur de fournir un mot de passe avant de finaliser sa transaction en ligne. Ce système s’est largement répandu en Europe et est désormais utilisé par des milliers de e-commerçants pour lutter contre la fraude.

• 3D SECURE V2 : Le 3D Secure V2 est la dernière version du protocole 3D Secure. Il propose une nouvelle approche du processus d’authentification pour les transactions effectuées en ligne, et est conforme aux règles d’authentification demandées par la DSP2.

Contrairement à la V1, cette évolution permettra aux marchands de proposer à leurs clients finaux des parcours d’achat plus fluides, sans redirection et comportant moins de points de friction.

Il offrira une protection renforcée contre les transactions frauduleuses grâce à une analyse de risque des transactions se basant sur plus de 150 données contextuelles collectées lors de l’achat.

Avec 3D Secure V2, l’authentification du client final s’effectuera directement au sein de la page de paiement, et sera entièrement compatible avec les environnements web mobiles/desktop, et achats in-app. La version 2 du protocole permettra de garder le client final sur la page de paiement, contrairement à la version antérieure qui obligeait une redirection vers une page mise à disposition par l’émetteur.

Le 3D Secure V2 s’appliquera à tous les paiements électroniques comme les paiements en ligne, les paiements mobiles, les paiements in-app, ou ceux effectués via des objets connectés.

Transfert de responsabilité (liability shift) :

Il s’agit du transfert de responsabilité vers la banque du porteur de carte (l’émetteur). En tant que marchand, si une transaction a bénéficié d’une authentification forte, mais qu’elle fait par la suite l’objet d’une contestation liée à de la fraude, vous n’en n'assumerez pas le coût (chargeback).

Exemptions permises par la DSP2 :

Les exemptions correspondent aux transactions pouvant faire l’objet d’une dérogation d'authentification forte tel que le prévoit la DSP2.

Un marchand peut demander l’application d’une exemption à l’émetteur (dans ce cas-là, pas de transfert de responsabilité appliqué si l’exemption est acceptée par ce dernier), mais les émetteurs peuvent également appliquer d’eux même une exemption (avec transfert de responsabilité)

Voici les cas d’exemptions permises par la DSP2 :

Transactions exemptées d’authentification forte

Les marchands peuvent bénéficier d’exemption d’authentification forte auprès des émetteurs pour les transactions telles que décrites ci-dessous :

• Transactions à faible risque inférieures à 30 €, sauf lorsque le montant cumulé d’achat du porteur depuis la dernière authentification forte est supérieur à 100 € ou si 5 transactions successives ont déjà fait l’objet d’une exemption.
• Transactions à faible niveau de risque (Transaction Risk Analysis – TRA)
• Transactions récurrentes de même montant et échéance auprès d’un même bénéficiaire. Il sera en revanche obligatoire d’appliquer une authentification forte du client final lors de la première transaction, ou lors de la configuration de la série de transactions (à condition qu’elle soit initiée par le client final).
• Les transactions suivantes seront techniquement chaînées, afin de pouvoir les rattacher à la première transaction ayant fait l’objet d’une authentification forte.
• Marchands déclarés comme bénéficiaires de confiance auprès des émetteurs : Un client final pourra déclarer auprès de sa banque un marchand comme bénéficiaire de confiance. Dès l’inscription réalisée et validée, toutes les transactions futures passées sur ce site seront exemptées d’authentification forte.

Enfin, d’autres transactions ne sont tout simplement pas assujetties à la DSP2 :

Les transactions hors périmètre

• Transactions initiées par le marchand : Toutes les transactions ou séries de transactions d’un montant et/ou d’une périodicité fixe ou variable dont le montant global n’est pas connu lors de l’initiation, sont considérées comme hors périmètre de la DSP2. Exemples de transactions initiées par le marchand : abonnement, no-show (applicable au secteur de la location de biens et services), paiement fractionné en plusieurs fois.

• Transactions MOTO (Mail Order, Telephone Order) : Les commandes par correspondance, téléphone ou autres moyens n’impliquant pas directement le client final dans le déclenchement de la transaction, sont en dehors du périmètre de la DSP2.
• Transactions inter-régionales (OLO : One Leg Out) : Toute transaction pour laquelle l’émetteur ou l’acquéreur se situe en dehors de l’Espace économique européen est considérée hors champs de la DSP2.

Données contextuelles :

Également appelées données transactionnelles, ces données sont collectées lors du processus d’achat conjointement par les marchands et par HiPay. Elles sont ensuite envoyées à l'émetteur. L'émetteur se base sur ces données pour effectuer une analyse de risque et décider du statut à accorder à la transaction.

Si la transaction est à faible risque et rentre dans le cadre d’exemptions prévues par la DSP2 alors l’authentification forte ne sera pas déclenchée, le parcours de paiement sans friction pour l’utilisateur final.

À l’inverse, si la transaction présente un risque, l’utilisateur final sera invité à s’authentifier fortement.

Dans ces deux cas, le transfert de responsabilité vers l’émetteur sera appliqué, sauf si le marchand est à l’origine de la demande d’exemption.

Soft Decline :

Les soft decline sont des refus d’autorisation pour cause de non-authentification de la transaction. En effet, avec la DSP2, toutes les transactions doivent passer par la case de l’authentification, et ne peuvent être envoyées directement en autorisation (sauf si la transaction ne rentre pas dans le périmètre de la DSP2).

En cas de non-respect de cette règle, les émetteurs déclineront la transaction sous la forme d’un nouveau code retour d’autorisation appelé “soft decline” (pour les différentier des hard decline).

Votre site n'est pas encore en conformité avec les nouvelles règles de la DSP2 ? Recevez les conseils d'un expert ici.