DSP2 : Quelles sont les dérogations à l’authentification forte ?

25 avril 2019

5 minutes de lecture

La DSP2 – Directive européenne sur les Services de Paiement 2ème version-  vise à réguler les nouveaux moyens de paiement.

Adoptée en 2015, la DSP2 est entrée en vigueur depuis le 13 janvier 2018. Son application induit de multiples enjeux dans les 28 pays membres de l’Union Européenne. Nous vous en avions expliqué les dispositions ainsi que les enjeux sécuritaires dans de précédents postes blog.

Si la DSP2 vise à rendre obligatoire l’authentification forte- SCA- pour toutes les transactions en ligne, certaines dérogations sont prévues. Voici les plus pertinentes :

1 – Les opérations à faible montant et à risque faible :

  • Les transactions d’un montant inférieur à 30 euros seront exemptées de SCA.
    Toutefois, la banque émettrice gardera une trace du montant des paiements effectués. Si, sur une période de 24 heures, le total des montants versés sans authentification SCA depuis une même carte est supérieur à 100 euros, celle-ci sera requise. Il en va de même par tranche de 5 transactions journalières.
  • Les transactions à risque faible sont également exemptées de SCA. Le niveau de risque d’un paiement
    est évalué en fonction du taux moyen de fraudes chez l’émetteur de la carte et chez l’acquéreur qui
    traite la transaction.

2 – Les abonnements et opérations récurrentes :

Les montants constant, les frais d’abonnements et les transactions récurrentes seront exemptés à partir de la deuxième opération. Seule l’opération initiale requiert une procédure SCA. Si le montant est modifié,
l’authentification via 3D Secure sera demandée à chaque changement.

Cela pose un problème aux entreprises qui ont des rentrées d’argent fluctuantes et dont les montants varient au fil du temps : c’est le cas, par exemple, d’un abonnement dont le coût augmente au terme d’une période d’essai. Les organismes de réglementation ont donc confirmé que « les transactions initiées par les “e-commerçants” ne sont pas du tout concernées par les exigences de la DSP2 en matière de SCA. Puisque la plupart des transactions récurrentes sont initiées par le commerçant, et non par le titulaire de la carte, cela signifie que la plupart des versements d’abonnements ne seront pas concernés par la procédure SCA.

3 – Les marchands sur liste blanche :

Les clients peuvent ajouter des « bénéficiaires de confiance » à une liste blanche, qui sera conservée par leur
banque. Les commerçants sur liste blanche ne sont pas concernés par l’authentification via 3D Secure. Ceci
permet d’éviter aux clients qui achètent régulièrement dans une entreprise d’entrer des SCA supplémentaires.

4 – Les transactions MOTO :

Les commandes de type MOTO (Mail Orders and Telephone Orders), qui sont passées par courrier ou par
téléphone, seront systématiquement exemptées d’authentification via 3D Secure. Ces transactions ne sont pas
considérées comme des paiements électroniques et ne rentrent donc pas dans le cadre de la règlementation
qui nous intéresse.

5 – Les transactions inter-régionales :

Lorsque l’émetteur d’un paiement ou l’acquéreur de la carte ne sont pas basés en Europe, la transaction est
également considérée comme exemptée. Après l’entrée en vigueur de la législation, il ne sera donc pas
problématique d’accepter en Europe des paiements venant d’acheteurs hors Europe.
Bien qu’il n’y ait aucune exigence réglementaire, les émetteurs peuvent tout à fait traiter de la même façon les
transactions internationales en Europe, et en dehors, puis les soumettre à l’authentification à des fins de gestion des risques.

6 – Les paiements par carte d’affaires :

Les paiements effectués par carte professionnelle ne sont pas concernés par la réglementation relative à la
SCA ; le système 3D Secure ne sera donc pas nécessaire.

7 – Le partage des données mène à un meilleur taux d’autorisation :

Cette dernière application de 3D Secure ne se limite pas à la lutte contre la fraude ; en augmentant la quantité
de données que l’émetteur peut recevoir, vous pouvez augmenter votre taux d’autorisation.
Plus les banques disposent d’informations sur les consommateurs, mieux elles peuvent superviser les
transactions et les valider en toute connaissance de cause. 3D Secure 2.0 renferme près de 150 points de données répartis en trois catégories :

  • Informations relatives à l’appareil
  • Informations relatives à la transaction
  • Informations relatives au client

Partager ces points de données avec la banque du client permet d’augmenter le nombre de transactions qui
seront approuvées rapidement et sans peine.

 

Arnaud

 

 

Partagez l'article

Articles récents Commentaires récentsArchives Catégories Méta
La Game Boy, 30 ans déjà !
SEO : 10 outils pour améliorer votre référencement

Conseil, accompagnement et production digitale
5-7 rue Saint Fiacre 75002 Paris
01 81 69 73 90