Qu'est-ce que l’authentification forte ?

L'authentification forte des clients (Strong Customer Authentication) est une exigence réglementaire de la deuxième directive européenne sur la sécurité des paiements (DSP2). Elle a pour objectif d’améliorer la sécurité des paiements en ligne et de renforcer la confiance des clients. Elle s'applique à la plupart des paiements en ligne. Pour certaines transactions, elle exige des banques émettrices une authentification des clients à deux facteurs.

Pour tout savoir sur l’authentification forte

Spotlight

Webinaire

Rejoignez nos experts afin d’en savoir plus sur les meilleures pratiques de SCA pertinentes pour vos secteurs d’activités

Article

Découvrez pourquoi l’authentification forte représente à la fois une opportunité et une difficulté pour les commerçants.

Tribune

Une perspective de la situation actuelle en matière de SCA, accompagnée de conseils pour les marchands.

PSD2 SCA

Stratégie d'authentification

Grâce à l’authentification forte, optimisez le parcours d’achat de vos clients tout en le sécurisant davantage. Découvrez ce qu'il vous faut prendre en considération pour développer une stratégie d'authentification adaptée à votre métier.

STRATÉGIE D'AUTHENTIFICATION

Comprendre la SCA

 

À quelles situations la SCA s’applique-t-elle ?

La SCA s'applique à la majorité des paiements e-commerce. Elle exige des émetteurs qu'ils procèdent à une authentification de leurs clients à l’aide de deux facteurs. D’où le terme d’authentification forte.

À quelles situations la SCA ne s’applique-t-elle pas ?

Certaines transactions e-commerce ne relèvent pas du cadre de la SCA. Les principaux types de transactions hors périmètre sont :

Les commandes par mail et commandes par téléphone (MOTO – mail order / telephone order)

Les transactions effectuées par mail et téléphone sont exemptées.

Les transactions à l'initiative des marchands (MIT)

Les transactions à l'initiative des marchands, aussi bien pour des montants fixes que variables, y compris les abonnements, sont généralement exemptées. La SCA ne doit être appliquée qu’au premier paiement d’une série récurrente, à l'initiative du payeur.

One-leg out

Les transactions pour lesquelles l'émetteur ou l'acquéreur se trouve en dehors de l'Espace économique européen (EEE) ne sont pas concernées. La SCA devrait cependant être appliquée dans la mesure du possible.

Qu'est que cela signifie pour les marchands ?

Bien que la SCA soit avant tout une exigence pour les émetteurs, vous pouvez contribuer à ce que vos clients bénéficient du meilleur parcours d’achat possible. En promouvant l’authentification forte, l’industrie du paiement souhaite favoriser une expérience fluide grâce au développement de nouveaux processus et technologies. La démarche ne vous sera profitable que si vous soutenez ces innovations.

Vous souhaitez creuser le sujet ?

Regardez notre webinaire pour obtenir une vue d'ensemble de la SCA et de ce qu’elle vous apportera.

STRATÉGIE D'AUTHENTIFICATION

Quelle stratégie adopter ? 

 

Réfléchissez d’abord à vos objectifs commerciaux

Décidez de ce qui vous semble le plus pertinent pour vos objectifs professionnels : faire le minimum pour éviter un rejet des transactions une fois la SCA mise en œuvre ? Ou bien utiliser la SCA comme une véritable opportunité pour proposer à vos clients une expérience d'achat fluide mais sécurisée ? 

Le rôle de 3-D Secure (3DS)

L’industrie des paiements par carte accepte largement le 3DS en tant que principal protocole d'authentification. Pour éviter des refus de paiement par les émetteurs suite à la mise en œuvre de l’authentification forte, les marchands doivent impérativement supporter le 3DS. Contrairement au 3DS 1, le 3DS 2 permet une authentification adaptée aux paiements sur appareils mobiles et l’usage d’innovations telles que la vérification biométrique. 3-DS 2 permet également d’éviter aux émetteurs des demandes d’authentification inutiles en les informant lorsqu'une transaction est initiée par un commerçant ou qu’elle remplit les conditions requises pour bénéficier d'une exemption.

STRATÉGIE D'AUTHENTIFICATION

Tirer le meilleur profit des exemptions

 

Pourquoi y a-t-il des exemptions à la SCA ?

La mise en œuvre réglementaire de la SCA dans le cadre de la DSP2 comporte certaines exemptions : par exemple, les transactions à faibles risques ne nécessitent pas d’authentification forte. Le principe des exemptions a été créé pour garantir la fluidité du parcours d’achat.

Quelles-sont les exemptions ?

Il existe quatre catégories d’exemptions :

Les transactions de faible valeur (moins de 30 €)

Les transactions en ligne pour un montant n'excédant pas 30 € ne nécessitent pas l’authentification forte du client, jusqu'à un maximum de cinq transactions consécutives ou une limite cumulée de 100 €. Au-delà, une authentification sera requise. 

Bénéficiaires de confiance

Un client peut enregistrer auprès de la banque émettrice de sa carte certains marchands qui seront répertoriés comme « bénéficiaires de confiance ». Il indique ainsi à sa banque que l’authentification forte n’est pas nécessaire.

Faible risque

Sous certaines conditions, les acquéreurs et émetteurs peuvent effectuer une analyse des risques en temps réel. S’ils estiment que le risque est faible, ils peuvent s’accorder pour que l’émetteur ne demande pas d’authentification forte. Échangez avec votre acquéreur pour vérifier les options qui s’ouvrent à vous. Les émetteurs peuvent aussi renoncer à la SCA en s'appuyant sur leur propre analyse des risques.

Cartes affaires

Les paiements effectués par le biais de processus professionnels (ex. cartes logées, comptes de paiement centralisés, cartes virtuelles) ne peuvent être initiées que dans un contexte professionnel. Ces transactions offrent déjà des niveaux suffisants de protection contre la fraude. Ils peuvent être exemptés de l’authentification forte.

Comment demander des exemptions à la SCA

Seule une version 2.2 du protocole 3DS vous autorise à demander une exemption. Pour mener à bien ces demandes, vous devrez également vous équiper d’un système capable d'identifier de façon fiable les transactions pouvant prétendre à une exemption, ainsi que les flags 3DS 2.2 permettant de les reconnaitre. 

Étapes suivantes

Il n'existe pas de stratégie unique d'authentification.

Votre approche globale et vos demandes d'exemption dépendront de la nature de votre activité, des attentes de vos clients et de vos objectifs commerciaux. Contactez-nous pour parler de vos besoins et découvrir comment nous pouvons vous aider à développer la meilleure stratégie pour votre entreprise.

PSD2 SCA

Stratégie de gestion de la fraude

En raison de l’évolution constante de la fraude et des méthodes employées, il est essentiel de changer de perspective et parfois d’adopter de nouvelles techniques de gestion de la fraude. L’authentification forte complique la tâche des fraudeurs, qui s’adaptent en conséquence. Vos équipes doivent donc affiner leurs approches et adopter une approche plus sophistiquée. Avez-vous pensé à la forme que celle-ci pourrait prendre pour votre activité ?

STRATÉGIE DE GESTION DE LA FRAUDE

La SCA rend-elle la détection antifraude inutile ?

 

N'oubliez pas que certaines transactions ne rentrent pas dans le périmètre de la SCA !

L’authentification forte ne s'applique pas à toutes les transactions. Les fraudeurs le savent également. Ils n’hésiteront pas à concentrer leurs efforts sur ces transactions. Un outil de lutte contre la fraude reste donc indispensable.

Pour bénéficier d’exemptions, vous aurez besoin d’un outil de lutte contre la fraude

Votre acquéreur peut effectuer une demande d’exemption sur les transactions à faible risque uniquement si son taux de fraude reste en dessous d'un seuil spécifique. Votre taux participe à la constitution du sien. Il s'attendra donc à ce que vous jouiez votre rôle, indépendamment du fait que vous soyez responsable ou non des impayés. Enfin, les Cards Schemes continueront à exiger des marchands qu'ils restent en dessous de seuils de fraude définis par leurs soins.

N'oubliez pas les meilleures pratiques de gestion de la fraude

Il y a une raison pour laquelle les experts conseillent une prévention de la fraude multicouche et multicanal et alertent contre une trop grande dépendance vis-à-vis d’une authentification unique ou d’une seule méthode de détection antifraude. Les cybercriminels ne sont pas réputés pour abandonner facilement. Alors, bien que la SCA soit un outil important de lutte contre la fraude, elle ne remplace pas une stratégie associant la SCA avec une méthode active de détection de la fraude.

Pour plus d'informations sur la SCA et pour savoir pourquoi la détection de la fraude reste indispensable, lisez notre guide.

STRATÉGIE DE GESTION DE LA FRAUDE

Comment la SCA va-t-elle affecter la gestion de la fraude ?

 

Avec la SCA, attendez-vous à voir évoluer les tactiques des fraudeurs

L‘évolution des processus d'achat et de paiement entraîne une mutation des schémas de fraude. La mise en œuvre de l’authentification forte aura donc un impact sur les comportements des fraudeurs. Nous ne pouvons prédire avec certitude la nature de ces changements mais nous pouvons anticiper leurs comportements sur les canaux non couverts par l’authentification forte.

Lisez cet article pour en savoir plus sur la façon dont les fraudeurs pourraient essayer de contourner la SCA.

Étapes suivantes

Votre stratégie de gestion de la fraude est-elle prête pour la SCA ?

La mise en œuvre de l’authentification forte remodèle le paysage de la fraude. C’est le moment pour vous de revoir votre stratégie fraude et d’adopter les meilleures pratiques. N’hésitez pas à nous contacter pour découvrir comment nous pouvons vous aider à élaborer une stratégie répondant à vos besoins commerciaux uniques.