Tout savoir sur la PSD2 et Authentification forte des clients (SCA)
Depuis janvier 2018, des changements importants sont survenus dans la réglementation européenne relative aux services de paiement électronique. Cette réglementation s'appelle DSP2 et elle est conçue pour aider les services bancaires à s'adapter aux nouvelles technologies et à stimuler l'innovation. Lisez la suite pour tout savoir sur la DSP2 - ce qu'elle fait, pourquoi elle est importante et comment elle fonctionne.
Qu'est-ce que la DSP2 ?
En 2018, la Commission européenne a modifié la directive sur les prestataires de services de paiement (DSP) en renforçant les objectifs de la législation initiale. La DSP2 s'efforce de stimuler la concurrence et l'innovation dans le secteur des paiements électroniques, de renforcer la sécurité sur le marché des paiements, d'améliorer la protection des clients et de faciliter le développement de nouveaux moyens de paiement.
Pourquoi la DSP2 est importante ?
Cette législation a le pouvoir de transformer les services bancaires et financiers. Les banques seront tenues de partager les données entre les parties, ce qui constitue la base d'un environnement bancaire ouvert. Les clients pourront ainsi gérer et déplacer leur argent en toute transparence. Elle offre aux entreprises de nouvelles possibilités de créer des plateformes qui permettront aux clients de mieux gérer leur argent.
A quoi sert la PSD2 ?
La PSD2 aligne l'état actuel du marché et de la technologie sur la réglementation des paiements. Elle ajoute des exigences de sécurité pour l'initiation et le traitement des paiements électroniques et protège mieux les données financières des clients. Elle réglemente également les fournisseurs tiers. Elle précise qui peut initier des services de paiement et accéder à des comptes ou les regrouper.
La PSD2 n'autorise pas les surcharges sur les paiements effectués par les clients de l'Union européenne. L'interdiction des surcharges s'applique à tous les paiements MasterCard et Visa. Les surcharges sont également interdites sur les transferts standard et les débits directs. La seule exception à l'interdiction des surcharges concerne les entreprises. Les transactions effectuées avec des cartes professionnelles ou d'entreprise peuvent encore donner lieu à des surtaxes. Lorsque des surcharges sont appliquées, elles ne peuvent pas dépasser les coûts réels. Les moyens de paiement qui tombent sous le coup de cette règle sont actuellement American Express et Klarna.
Bénéfices pour les clients
Un client peut avoir une expérience bancaire plus fluide en gérant tout son argent en un seul endroit grâce à une plateforme bancaire ouverte. Les demandes de prêts seront plus faciles pour les clients, car les créanciers peuvent consulter leurs données bancaires avec leur permission. Les personnes dont l'historique de crédit traditionnel est insuffisant peuvent en bénéficier en obtenant des prêts qui n'auraient pas été approuvés auparavant.
Des changements majeurs dans la législation en vigueur
La DSP2 comporte plus de 100 articles. Voici quelques-uns des changements les plus importants :
- Étendre la portée géographique de la législation - Si l'une des parties à une transaction, la banque ou le client, fait partie de l'UE, la réglementation s'applique aux deux parties.
- Mettre en œuvre l'authentification du client - La législation s'attaque à la fraude en imposant des outils d'authentification du titulaire du compte pour toutes les opérations de paiement électronique. Les prestataires de services de paiement et les institutions financières doivent utiliser une authentification à deux facteurs, également appelée authentification forte du client ou SCA.
- Reconnaissance des prestataires de services de paiement - Les innovateurs ayant fait leurs preuves dans l'espace de paiement numérique sont habilités à accéder à un système d'enregistrement officiel où ils peuvent obtenir les licences opérationnelles leur permettant d'accéder directement aux données bancaires avec le consentement explicite du client.
La PSD2 et la banque en ligne sont-elles la même chose ?
Cette réglementation modifie les transactions et les services bancaires en ligne, en rendant les transactions en ligne plus sûres et en créant de nouvelles opportunités commerciales dans le monde de la banque en ligne. La PSD2 permet à des tiers d'accéder aux comptes de paiement des clients avec leur autorisation. Jusqu'à présent, ces informations étaient limitées aux seules institutions financières. Cela ouvre la voie à de nouveaux modèles commerciaux utilisant ces données financières. Par exemple, les tiers peuvent mieux évaluer la solvabilité des consommateurs en analysant leurs informations financières. La DSP2 va changer le visage de la banque en ligne, mais le règlement ne se limite pas à la banque en ligne.
Qu'est-ce que la SCA (Strong Customer Authentication) ?
L'authentification forte du client est une exigence de sécurité stricte pour l'initiation et le traitement des paiements électroniques. SCA est une exigence de la PSD2.
Parfois, lorsque vous effectuez un paiement en ligne, vous devez utiliser quelque chose pour authentifier le paiement. Voici quelques exemples d'authentification à double facteurs :
- Quelque chose que vous avez, comme votre téléphone.
- Quelque chose que vous connaissez, comme un mot de passe ou un code pin.
- Une preuve physique de votre identité, comme votre empreinte digitale ou votre visage, car de nombreux smartphones sont équipés pour scanner les empreintes digitales ou le visage.
Comment la PSD2 definie-t'elle la SCA ?
La DSP2 définit la SCA comme "une authentification basée sur l'utilisation de deux ou plusieurs éléments catégorisés comme la connaissance (quelque chose que seul l'utilisateur connaît), la possession (quelque chose que seul l'utilisateur possède) et l'inhérence (quelque chose que l'utilisateur est). Ces éléments doivent être indépendants les uns des autres, en ce sens que la violation de l'un ne compromet pas la fiabilité des autres, et sont conçus de manière à protéger la confidentialité des données d'authentification."
Exceptions à la SCA ?
L'objectif de la PSD2 est d'exiger la SCA pour toutes les transactions en ligne. Cependant, il existe certaines exemptions SCA que votre acquéreur peut demander le cas échéant.
Ces exemptions offrent une expérience client sans friction pour les transactions classées à faible risque. Le titulaire de la carte n'a pas à passer par une authentification à deux facteurs (2FA).
Nous vous présentons ici les exemptions les plus pertinentes à á SCA :
- Paiements sans contact aux terminaux de point de vente (TPV) - Les transactions aux TPV qui sont inférieures ou égales à 50 € sont exemptées de SCA. Les transactions sans contact consécutives ne peuvent pas dépasser 150 €. Et le nombre de transactions sans contact consécutives - exemptes de SCA - ne peut être supérieur à cinq.
- Marchands sur liste blanche - Les clients peuvent ajouter des marchands à une liste blanche de "bénéficiaires de confiance" qui sont confirmés par leur banque. Les clients qui effectuent régulièrement des achats chez vous peuvent ainsi effectuer leurs prochains achats sans SCA. Une fois que vous êtes sur la liste blanche, votre entreprise est exemptée de 3D Secure.
- Transactions récurrentes - Pour les transactions récurrentes ou par abonnement, la SCA est requis lors de la mise en place du paiement. Dans certains cas, cela se produit lors de la première transaction de la série qui est initiée par le titulaire de la carte.
- Transactions de faible valeur - Les paiements en ligne inférieurs à 30 € ne nécessitent pas de SCA. Les transactions sans SCA ne peuvent pas dépasser 100 € et le nombre de transactions exemptées de SCA à la suite ne peut pas être supérieur à cinq.
- Transactions B2B - Les transactions effectuées entre deux sociétés sont exemptées de SCA lorsqu'elles utilisent un moyen de paiement strictement dédié aux paiements d'entreprise par opposition aux paiements individuels.
- Analyse du risque de transaction (TRA) - La SCA est exemptée lorsque le prestataire de services de paiement (PSP) dispose d'outils efficaces d'analyse du risque. Si le PSP peut déterminer que le paiement présente un faible risque, c'est l'émetteur qui décide si la SCA doit être appliquée.
Pour appliquer cette exemption de la SCA, la valeur de la transaction doit être inférieure à 500 €, et l'acquéreur ou l'émetteur doit avoir des taux de fraude inférieurs aux seuils suivants :
- Transactions < 100 €: 0,13% de taux de fraude
- Transactions 100 €-250 €: 0,06% de taux de fraude
- Transactions 250 €-500 €: 0,01% de taux de fraude
Il existe une liste exhaustive d'exemptions SCA et l'interprétation réglementaire, les banques et les régimes ont un impact sur chaque scénario.
Nos services Dynamic 3D Secure vous aideront à manœuvrer la sécurité des paiements et à utiliser automatiquement les exemptions lorsque cela est possible. Vos clients n'auront pas besoin d'autoriser les transactions, sauf en cas de nécessité absolue.
Pour en savoir plus : Votre guide de la terminologie des paiements
Que sont les TPPs (Third-party Payment Providers) ?
Les fournisseurs de services de paiments tiers (TPPs) sont définis comme faisant partie de la PSD2. Ce sont les parties externes impliquées dans l'open-banking. La DSP2 réglemente les attentes concernant le fonctionnement des TPP. Voici des exemples de TPP :
- Payment Initiation Service Providers (PISP) - Un PISP autorise les paiements au nom des titulaires de compte, en s'intégrant aux services bancaires en ligne pour initier et traiter les transactions sortantes.
- Fournisseurs de services d'information sur les comptes - Un AISP (Account Information Service Providers) fournit des services financiers en ligne tels que l'analyse des dépenses ou l'agrégation des comptes en exploitant les informations sur les comptes des clients.
Preparez votre conformité à la PSD2 avec 3D Secure 2.0
Un bon moyen de se préparer à la DSP2 est d'utiliser 3D Secure 2.0. Ce logiciel est conforme à la DSP2 et apporte dès à présent des avantages supplémentaires en matière de sécurité à vos clients. Voici quelques-uns des avantages de l'utilisation de 3D Secure :
- Réduction du risque de fraude - Des couches de sécurité supplémentaires protègent les clients contre la fraude en ligne.
- Une protection accrue pour les commerçants et les clients - Les informations relatives aux cartes des clients bénéficient d'une protection supplémentaire. Les commerçants bénéficient d'une protection supplémentaire contre les débits compensatoires. C'est une situation gagnant-gagnant.
- Amélioration de l'expérience client - Des clients satisfaits génèrent plus de ventes.
- Davantage de transactions internationales - Étendez votre activité de commerce électronique à de nouveaux pays en offrant une sécurité accrue à vos clients.
- Soyez en avance sur la conformité PSD2 - La date limite pour la conformité PSD2 a été repoussée au 31 décembre 2020. L'utilisation de 3D Secure 2.0 répond à la plupart des exigences de conformité.
Mise en place de la PSD2
Le résultat de la PSD2 est un marché européen des paiements plus intégré, garantissant des paiements en ligne plus sûrs et plus sécurisés, vous protégeant ainsi que vos commerçants. Pour garantir que vos transactions électroniques répondent aux exigences de la SCA, il est recommandé de respecter les normes 3D Secure 1 et 3D Secure 2.
Lectures similaires :
- Qu'est-ce qu'une Passerelle de Paiement ? Pourquoi est-elle nécessaire et quel est son fonctionnement ?
- Qu'est-ce que le 3D Secure ? Avantages pour l'e-commerce
- Qu'est-ce que la Tokenisation ? Quels sont ses avantages pour le commerce en ligne
Alexis Damen
Alexis Damen est une ancienne commerçante de Shopify devenue spécialiste du marketing de contenu. Ici, elle aborde des sujets complexes sur les paiements, le commerce électronique et la vente au détail pour vous aider à réussir (avec MONEI comme partenaire de paiement, bien sûr).