DSP2 : un défi pour les plateformes de e-commerce

DSP2

La Directive sur les Paiements n°2 (DSP2) est entrée en vigueur le 13 janvier 2018. Un de ses objectifs est de mieux protéger les clients contre la cyber-criminalité, les usurpations d’identité et les fraudes dans le e-commerce.

La Directive impose désormais de sécuriser les transactions avec une authentification à deux facteurs pour l’authentification des paiements par carte. Ce mécanisme d’authentification forte pour la consultation des comptes et opérations dites « engageantes » (telles que les virements ou les paiements par carte bancaire) entrera en vigueur au 14 septembre 2019. L’authentification forte est la combinaison de deux éléments d’authentification indépendants l’un de l’autre parmi les trois catégories suivantes :

-Possession : par exemple smartphone, carte bancaire avec ses numéros.

-Connaissance : par exemple mot de passe, date de naissance d’un tiers, nom d’un animal
-Biométrie : par exemple reconnaissance faciale, vocale, empreintes digitales. L’authentification forte sera dorénavant nécessaire pour accéder aux comptes de paiement ainsi que pour réaliser ces opérations. Le client devra renouveler tous les 3 mois son authentification forte pour accéder à ses comptes.

Ainsi, à compter de septembre 2019, les entreprises devront obligatoirement mettre en place des systèmes d’authentification forte pour les paiements en ligne de plus de trente euros. Il ne sera plus possible de payer sur Internet en indiquant uniquement le numéro de carte de crédit ainsi que les 3 chiffres qui figurent au dos. L’utilisateur devra s’identifier en utilisant au moins un autre : mot de passe, message sur un appareil mobile, donnée biométrique.

Actuellement, comme cela est déjà le cas pour certaines transactions en ligne, les clients confirment leur identité grâce à un code à usage unique reçu par SMS (3D Secure), après avoir indiqué dans un premier temps leurs coordonnées bancaires. Mais demain, les banques devront réfléchir à une alternative à ce code envoyé par SMS, dont le niveau de sécurité n’est plus suffisant au regard de la nouvelle réglementation européenne. La mise en conformité à ce nouvel environnement réglementaire implique des évolutions importantes des différents maillons de la chaîne des paiements, du commerçant à la banque émettrice. En effet, si l’obligation d’authentification forte n’est pas respectée, les paiements seront automatiquement refusés par les banques. Si vous ne souhaitez pas une dégradation de la fluidité du paiement et une perte de conversion sur votre plateforme, il est temps de vous rapprocher de vos prestataires financiers pour envisager les solutions les plus souples pour l’utilisateur. Une adaptation de vos Conditions Générales de Vente (CGV) sera également nécessaire.