Le compte à rebours DSP2 :
7 questions à vous poser pour une transition en douceur

Article Image

Dans la dernière ligne droite, où en est le marché aujourd’hui ? Est‑il prêt pour la transition et quel est le risque de manque à gagner ?

Il y a un an ce mois‑ci, la nouvelle directive des services de paiement (DSP2) de l’Union européenne entrait en vigueur. Le marché n’étant pas prêt à déployer l’authentification forte (SCA), l’obligation de celle‑ci a été repoussée au 31 décembre 2020 dans la majeure partie de l’Europe, et jusqu’en 2021 en France et au Royaume‑Uni.
 
Calendrier DSP2
 
Pour déterminer si un marché est prêt à la pleine mise en application de la DSP2, il faut s’intéresser à ces trois acteurs : les prestataires de services de paiement (PSP), comprenant les organismes émetteurs et acquéreurs, les consommateurs et bien sûr les commerçants.

Les émetteurs régissent le processus de demande d’authentification. Selon les standards en vigueur, on les considère opérationnels après qu’ils aient migré vers une infrastructure s’appuyant sur le protocole 3D‑Secure 2 (3DS 2). Une étude d’Amazon indique que 84% des émetteurs en France et 86% au Royaume‑Uni ont effectué cette migration. Mais dans la plupart des autres marchés, comme la Suède, l’Espagne, le Portugal ou la Pologne, ils sont largement à la traîne.

S’agissant des consommateurs, leur degré de sensibilisation est inversement proportionnel au taux d’abandon (le pourcentage d’acheteurs qui, confrontés à une authentification 3DS, abandonnent leur achat). Tandis que le taux ciblé se situe autour de 5%, une étude de Microsoft montre qu’il est en réalité 2 à 7 fois plus élevé : 14% en France, 13% au Royaume‑Uni, 34% en Allemagne et jusqu’à 35% en Grèce.

Du fait de la forte interdépendance entre les différents acteurs de l’écosystème des paiements, le niveau de préparation de chacun est primordial pour une transition en douceur. S’il est attendu que les choses s’améliorent dans le temps, les commerçants ont tout intérêt à mettre en œuvre un plan d’action DSP2 pour sécuriser leur chiffre d’affaires. Opter pour une approche proactive, implique de se poser quelques questions cruciales.

Les 7 questions à vous poser dès maintenant

1. Identifiez‑vous correctement les transactions hors du champ d’application de la DSP2 qui peuvent bénéficier d’un flux frictionless ?

Certaines transactions ne sont pas concernées par la directive et échappent à l’obligation de SCA (commandes par email ou téléphone, commandes hors EEE, prélèvements automatiques, etc). Plutôt que d’imposer une authentification par défaut à tous vos acheteurs, il est conseillé de mettre en place un processus qui permet de détecter ces commandes. Une fois identifiées, elles peuvent être routées de manière à éviter la friction générée par l’étape d’authentification et directement être autorisées.

Assurez‑vous que les commandes hors du champ d’application soient correctement identifiées et directement dirigées vers le flux d’autorisation.

2. Êtes‑vous en mesure d’interpréter les réponses de la banque et avez‑vous mis en place un flux spécifique pour les commandes faisant l’objet d’un soft decline ?

En France, dès le 1er octobre, les transactions de plus de 2000€ feront l’objet d’un soft decline. En janvier 2021, ce seuil devrait passer à 1000€, puis à 500€ en février.

Un soft decline survient lorsqu’un commerçant envoie une transaction sans demande d’authentification 3DS, alors que l’émetteur estime qu’elle est nécessaire. Ce type de rejet, désigné par un code réponse qui varie selon le réseau de carte bancaire (ex. A1 pour Visa, 65 pour Mastercard), peut être temporaire. En effet, il permet à un commerçant de soumettre la transaction à nouveau, à condition qu’elle soit cette fois‑ci accompagnée d’une demande d’authentification. Or, si le commerçant n’est pas en mesure d’interpréter correctement le code réponse, il n’aura aucun moyen de distinguer une transaction irrévocablement rejetée, d’une transaction qu’il peut à nouveau soumettre. Celle‑ci sera donc définitivement perdue.

Assurez‑vous que vos systèmes reconnaissent les différents codes réponse et que vous disposez d’un flux spécifique permettant de soumettre à nouveau les transactions concernées par un soft decline.

3. Avez‑vous effectué des tests vous permettant de mesurer l’impact qu’aura l’authentification 3DS ?

UK Finance rapporte que le nouveau protocole 3DS 2 a tendance à déclencher le processus d’authentification forte pour bien plus de transactions que 3DS 1. Des incohérences concernant les données collectées conduisent les organismes émetteurs à faussement catégoriser certaines transactions comme à haut risque de fraude. Selon Mastercard, il faut 3 à 5 mois pour détecter et corriger ce genre de problèmes. Pour cette raison, il est fortement conseillé d’effectuer des tests en amont, afin de vérifier l’efficacité avec laquelle vous collectez et analysez les données exigées par 3DS 2.

Monitorez les performances des processus de collecte de données dès maintenant afin de pouvoir résoudre les problèmes le plus rapidement possible.

4. Avez‑vous ajusté vos seuils de risque de manière à abaisser votre taux de fraude et pouvoir obtenir des exemptions ?

Certaines commandes pourront être exemptées de SCA, bénéficiant d’un parcours de paiement rapide et sans friction. Afin que votre acquéreur puisse requérir et obtenir un maximum d’exemptions, les taux de fraude doivent être maintenus au plus bas. La prévention des fraudes représente un effort constant et s’effectue sur la durée.

Pour être en position favorable face à votre acquéreur et pouvoir capitaliser sur les exemptions dès le moment où la DSP2 sera pleinement appliquée, il faut agir tout de suite.

5. Votre analyse des risques est‑elle en conformité avec les exigences requises par la DSP2 ?

Afin d’éviter la SCA sur les commandes qui sont éligibles, vous devez être en mesure d’assurer une analyse des risques en temps réel (TRA). Pour que celle‑ci soit reconnue comme telle, elle doit se conformer aux six critères qu’impose la directive, y compris la capacité d’analyser des données relatives aux comportements et à la localisation des acheteurs. Pour effectuer ce type de vérification des fraudes très pointue, vous pouvez développer votre solution en interne ou travailler avec des prestataires externes comme une passerelle de paiement ou une solution de prévention des fraudes dédiée.

Si vous optez pour un partenaire externe, assurez‑vous qu’il soit en conformité avec les exigences imposées par la DSP2. Méfiez‑vous des buzzwords et évaluez ses performances concrètes, en particulier sur le territoire européen.

6. Vous êtes‑vous tourné vers votre acquéreur afin de tester les demandes d’exemption ?

Les commerçants les plus prévoyants ont d’ores et déjà mis en place leur plan d’action pour maximiser les exemptions. Pour se faire, il est essentiel de recenser toutes les exemptions à votre disposition et de vous concerter avec votre PSP pour décider de qui les initiera.

Commencer dès à présent à tester vos demandes d’exemption afin d’être fin prêt d’ici mars 2021 : les commerçants capables d’optimiser les exemptions auront un net avantage compétitif.

7. Avez‑vous une stratégie en place pour sauvegarder les ventes perdues ?

La meilleure stratégie de maximisation des exemptions n’empêchera pas certaines transactions d’avoir à subir une SCA. De ce fait, certains clients abandonneront leur achat et d’autres échoueront leur authentification. Potentiellement, cela représente un manque à gagner conséquent, en particulier si l’on considère que nombre de ces ventes concerneront probablement des achats de valeur élevée, au‑delà de 500€.

Mettez en place une solution capable de rattraper les commandes légitimes perdues à cause de la friction ou d’un échec d’authentification.

Pour de plus amples informations, vous pouvez consulter notre Guide d’achat de solution DSP2 (en anglais).

Conclusion

Ce sont les banques, les commerçants et les consommateurs qui déterminent si un marché est prêt à une transition en douceur. Il ne faut néanmoins pas perdre de vue que les fraudeurs sont déjà à la tâche pour trouver les failles des processus d’authentification et de paiement. La capture d’écran ci‑dessous, prise sur un forum du dark web, montre des cybercriminels en train de discuter de la meilleure façon de déjouer une authentification 3DS. D’autres semblent s’intéresser à la manière de maximiser le potentiel frauduleux des transactions hors du champ d’application de la DSP2, ou à la mise en pratique d’arnaques plus complexes, de type piratage de compte (ATO).
 
Dark web
 
En conclusion, si l’authentification forte va certainement améliorer la sécurité des paiements en ligne, seule, elle ne suffira pas à prévenir la fraude e‑commerce dans toute sa complexité.

PSD2 Optimization est le dernier né de notre suite de produits basés sur l’intelligence artificielle. Les solutions Riskified travaillent en synergie, prévenant la fraude et maximisant les conversions tout au long du parcours d’achat. Pour en savoir plus sur la manière dont nous pouvons vous aider à optimiser votre croissance en conformité avec la DSP2, contactez‑nous dès aujourd’hui à [email protected]