Toujours dans un soucis de renforcer la sécurité des paiements en ligne, l’Union Européenne a depuis 2017 commencé à faire entrer en vigueur différentes directives.

Les plus importantes en matière de sécurité des paiements par internet sont la DSP2 et la SCA. 

Petit tour d’horizon des deux directives européennes qui visent à sécuriser les paiements en ligne.

La sécurité des paiements en ligne renforcée par la DSP2

La DSP2, directive sur les services de paiement, vient remplacer la DSP1 entrée en vigueur en 2009. 

Elle a pour objectif de limiter les dérives et de moderniser les services de paiement européens en insistant sur la sécurisation des paiements en ligne.

La DSP2 a été mise en place en septembre 2019 avec un délai d’adaptation de 18 mois permettant la mise en place de certaines mesures complémentaires comme la SCA. 

Les entreprises et acteurs économiques ont ainsi eu le temps de se préparer aux nouvelles obligations concernant le paiement en ligne. 

Cependant, cette directive européenne ne se limite pas aux paiements en ligne. 

Elle permet également à toutes les institutions réglementées d’accéder aux comptes bancaires pour une action spécifique avec, bien entendu, l’accord de leurs propriétaires.

Quels changements avec la DSP2 et la SCA ?

Parmi les notions les plus importantes de la DSP2 on trouve l’authentification forte du client, présentée sous le sigle SCA « Strong Consumer Authentification ».

Cette nouvelle mesure concerne l’ensemble des paiements en ligne effectués par un client situé en Europe. 

L’objectif étant de clairement renforcer la sécurité au niveau des paiements en ligne en évitant la fraude de manière beaucoup plus efficace. 

Le principe consiste à introduire l’authentification à deux facteurs. En pratique, pour que la transaction soit validée, le client doit utiliser l’un de ces trois facteurs :

  • via un appareil ou objet (smartphone ou montre connectée) ;
  • via la reconnaissance vocale, faciale ou empreintes ;
  • via un mot de passe.

Ainsi, l’identité du client est garantie ce qui s’avère être la meilleure protection contre la fraude bancaire. 

Vous l’aurez compris, nous pouvons donc dire adieu au 3D Secure qui se trouve ne plus être suffisant pour garantir la sécurité des paiements en ligne.

Le saviez-vous ? Skeerel est en conformité avec la DSP2 et la SCA.

Les dérogations à la SCA

À première vue, il est difficile d’échapper à la directive DSP2 et la réforme SCA car elle rend obligatoire l’authentification forte pour tous les paiements en ligne. 

Cependant, la directive met l’accent sur les paiements d’un montant important et moins fréquents. 

Ainsi, certains paiements ne sont pas soumis à la SCA. C’est le cas notamment des transactions inférieures à 30 euros.

Mais des restrictions journalières en terme de montant et de nombres d’opérations sont à respecter. 

Les paiements récurrents, par exemple les abonnements, ne sont pas soumis à la SCA à condition que leur montant reste constant. Seule la première transaction doit respecter la SCA. 

On note également que les transactions à faible risque peuvent être exemptées de SCA. Mais sur ce point, la directive est quelque peu complexe. 

En effet, la dérogation au SCA va dépendre du niveau de risque de la transaction qui est déterminé par le taux moyen de fraude. Autrement dit, une analyse doit être effectuée à chaque transaction.

Les paiements effectués à l’aide d’une carte professionnelle ne sont pas soumis à l’authentification forte. 

C’est également le cas pour les clients qui ont établi une liste blanche de e-commerçants auprès de leur banque. 

Enfin, les transactions MOTO (par courrier ou téléphone) et transactions inter-régionales ne sont pas sujettes à la SCA. 

Comment être en conformité avec la DSP2 et la SCA ?

Comme nous venons de le voir, la DSP2 vient quelque peu chambouler le processus des paiements en ligne.

Et pour cause, la SCA oblige les e-commerçants à revoir leur méthodes d’authentification.

Mais cela n’est pas sans conséquence car cette technologie nécessite l’utilisation d’un appareillage spécifique.

Et il faut bien avouer que demander aux prestataires de paiements en ligne de supprimer l’authentification simple par SMS du jour au lendemain n’est pas chose facile. 

Or, les commerçants doivent veiller à la conformité de leurs transactions ce qui les oblige à ajouter une étape d’authentification supplémentaire au processus de paiement sur leur site internet. 

Pour ce faire, les e-commerçants ont deux possibilités.

Déléguer le processus de paiement en ligne à un prestataire de service de paiement, ce qui reste la méthode la plus facile pour être en conformité avec la DSP2.

La seconde solution consiste à mettre en place une infrastructure de paiement conçue sur mesure.

Mais cela nécessite de faire intervenir à un professionnel ce qui peut être beaucoup plus onéreux que de faire appel à un prestataire de paiement en ligne qui respecte la directive DSP2.