Avec la DSP2, l’authentification forte devient systématique… mais pas pour tout le monde !

Nos conseils aux marchands du e-commerce pour se mettre en conformité, tout en évitant que le 3D Secure ne s’applique à l’ensemble de leurs parcours clients

La DSP2 introduit de nouvelles exigences en matière d’authentification forte (de type 3D Secure), en la rendant obligatoire pour l’ensemble des paiements !
Si elle devait être appliquée en l’état, cette mesure impacterait fortement la fluidité des parcours clients, au risque de dégrader les taux de conversion des marchands.

Les drafts finaux des RTS (Regulatory Technical Standards), dont l’entrée en application est prévue d’ici fin 2019, viennent clarifier les modalités d’application de la DSP2 et prévoient des exceptions bien précises.

D’un point de vue marchand, il est donc urgent et primordial d’anticiper l’impact de cette nouvelle réglementation, afin de préserver les taux de conversion et de pouvoir continuer à proposer une expérience client fluide aux utilisateurs.

Comment bénéficier des exemptions prévues par les RTS ?

Emetteurs et acquéreurs sont désormais les seuls acteurs à pouvoir décréter ces exemptions  

La DSP2 prévoit de soumettre à authentification forte toutes les transactions supérieures à 30€.
Des dérogations peuvent néanmoins être accordées à deux types d’acteurs uniquement, sous réserve qu’ils soient en mesure de prouver leur capacité à réaliser des analyses de risques en temps réel :

  • les émetteurs de cartes (comme le groupe BPCE par exemple, 1er émetteur en France avec 25% des cartes émises et 1er émetteur de cartes VISA en Europe) ;
  • les établissements acquéreurs (comme Dalenys qui s’est récemment rapproché de Natixis, par ailleurs filiale du groupe BPCE).

Après avoir procédé à une analyse de risque en temps réel, les acquéreurs ou émetteurs pourront décréter des exemptions, et ainsi choisir de déclencher ou non un parcours de type 3DS sur une transaction.

Les acteurs uniquement PSP n’auront pas accès aux exemptions

Les simples PSP (Prestataires de Services de Paiement) sont écartés de cette responsabilité et ne pourront assister les marchands en ce sens ! Ceux qui délèguent l’encaissement de leurs transactions à des banques acquéreurs plus traditionnelles seront en effet totalement dépendants du traitement du 3DS chez ces mêmes acteurs traditionnels, pas toujours très agiles. En clair, si leur partenaire acquéreur ne dispose pas d’outils d’analyse de risques en temps réel, ils seront contraints d’appliquer une authentification forte systématique et de s’en remettre à un arbitrage côté émetteur.

Le choix d’une solution comme Dalenys, à la fois acquéreur et PSP, prend donc encore une fois toute sa valeur pour l’optimisation de la performance des marchands.

Une approche « par les risques » pour être en conformité, tout en optimisant le chiffre d’affaires marchand

Une approche par les risques personnalisée par marchand, telle que proposée par Dalenys, permet d’éviter une application systématique du 3DS en e-commerce, et garantit ainsi le meilleur équilibre entre prévention de la fraude et conversion.

Cette approche se traduit avec Dalenys par la mise en place d’un dispositif appelé « Smart 3DS » (ou 3DS débrayable). Il s’agit de ne déclencher le 3DS que sur les transactions à risque, identifiées grâce à un moteur de règles sophistiqué qui allie l’expertise de Dalenys – notamment en analyse de la data – à l’expérience et aux spécificités métiers de chaque marchand.

Pour aller encore plus loin, les équipes Dalenys ont également lancé un programme de R&D en Machine Learning qui obtient des résultats impressionnants : -24% d’impayés et un taux de déclenchement du 3DS divisé par 4 !

Quels sont concrètement les cas d’exemptions possibles avec une approche « par les risques » ?

  • Pour les transactions inférieures à 30€, l’authentification forte est facultative (dès lors que le cumul des opérations précédentes ne dépasse pas 100 € ou 5 opérations) ;
  • Pour les transactions entre 30€ et 500€, l’authentification forte est facultative à la condition que le taux de fraude de la banque acquéreur ou émetteur procédant à l’analyse de risque soit en-dessous d’un certain seuil *;* Seuils de fraude tolérés – source : RTS draft du 27/11/2017

tableau-dsp2-fr

Deux autres cas d’exemption concernent le e-commerce :

  • Pour les paiements récurrents, du même montant, après une première transaction réussie avec authentification forte ;
  • Pour les paiements vers des marchands de confiance, whitelistés par le porteur auprès de sa propre banque (selon des mécanismes qui restent à préciser)

Autant dire que le choix d’un acquéreur agile et spécialiste de la lutte contre la fraude comme Dalenys devient d’autant plus crucial, pour une application fine et pertinente de l’authentification forte qui protège les intérêts marchands.

Le protocole 3DS 2.0, successeur du 3DS actuel qui se déploiera progressivement dans les banques à partir du second semestre 2018, proposera également plus d’options pour personnaliser le processus d’authentification, en généralisant l’utilisation des données de transactions enrichies comme le type d’appareil, l’adresse de livraison… Des données là encore déjà recueillies et exploitées par Dalenys.

Envie d’en savoir plus sur nos cinématiques de paiement et sur nos outils de lutte contre la fraude ?

Notre équipe d’experts répond à toutes vos questions, contactez-nous : hello@dalenys.com

 


Vous êtes développeur, data scientist, account manager… Vous désirez bousculer les services financiers avec de nouvelles technologies…. Vous êtes convaincus comme nous que le paiement n’est pas juste une affaire de tuyaux mais au contraire une inépuisable mine de données marketing… Alors rejoignez-nous ! [Voir tous les postes disponibles]