De nouvelles règles européennes ont émergé au 1er janvier 2021 afin de renforcer la sécurisation des paiements en ligne. Les paiements par carte sur Internet sont estimés à 70 milliards par an, seulement en Europe, selon la BCE (Banque Centrale Européenne).
Le niveau de fraude des paiements en ligne par carte est 17 fois plus élevé que pour le même moyen de paiement en magasin physique. Afin de prévenir les fraudes, l’ABE (Autorité Bancaire Européenne) complexifie encore le processus d’achat en ligne, au grand désespoir des vendeurs en ligne.
Concrètement, qu’est-ce que cela change pour les usagers et les e-commerçants ? Le 3D Secure devient il obligatoire en 2021 ?
Quel Délai d’Application pour les Nouvelles Dispositions sur le Paiement en Ligne ?
L’ambition de la DSP2 ou Directive Européenne sur les Services de Paiement, version 2, est de mieux sécuriser les achats en ligne et de protéger les consommateurs contre l’usurpation d’identité. Elle remplace la DSP1 de 2013.
Initiée début 2018 et prévue pour septembre 2019, sa date butoire a ensuite été fixée au 31 décembre 2020. Et maintenant ? La Banque de France propose une phase de bilan de trois supplémentaires, soit jusqu’au 31 mars 2021. Enfin avec la pandémie de la Covid-19, un délai supplémentaire de 3 mois est autorisé par la banque centrale, soit jusqu’au 30 juin 2021 ! D’ici là, tous les acteurs de la vente en ligne doivent se mettre à la page. Après ce délai, les transactions jugées non conformes seront refusées.
Quels Changements Prévoit la Norme DSP2 sur les Paiement par Carte (Visa/Mastercard) ?
Au jour d’aujourd’hui, nos paiements par carte sur Internet sont protégés par deux dispositifs :
- le cryptogramme à 3 chiffres, au dos de votre carte bancaire.
- une étape d’authentification supplémentaire, encouragée mais non obligatoire, de la question secrète ou du code à usage unique, envoyé par SMS, ou via une application de la banque, le 3D Secure.
Ces deux dispositifs sont jugés insuffisants par la DSP2 qui encourage une authentification forte, le 3D Secure 2.0.
Une Authentification Forte pour des Paiements e-Commerce plus Sécurisés : 3D Secure Obligatoire
De simple recommandation, l’authentification en ligne devient obligatoire, ajoutant ainsi un étape supplémentaire au parcours d’achat des consommateurs. La DSP2, grâce au procédé du Strong Consumer Authentification (SCA), impose l’authentification forte du consommateur.
Plusieurs niveaux d’identification sont rendus obligatoire par l’authentification forte. Ces trois facteurs possibles sont les suivants :
- Détenir une information que seul l’utilisateur connaît, tel un mot de passe, un code PIN, …
- Posséder une information ou un appareil que seul l’usager possède : un mobile, une clé USB, un mot de passe à usage unique, …
- Enfin, le dernier niveau d’authentification est lié à une caractéristique personnelle, comme une empreinte digitale, la reconnaissance vocale ou faciale, …
Qu’implique la Nouvelle Réglementation sur les Paiements en Ligne (DSP2) pour les Banques ?
La nouvelle version du 3D Secure doit être mise en place par toutes les banques, mais aussi les prestataires de paiement.
L’authentification forte s’appuie essentiellement sur l’usage du mobile. Les banques dotent alors leur application mobile de dispositifs d’authentification forte. Votre banque a dû vous en informer. Il s’agit du Sécuripass pour le Crédit Agricole, du Sécur’pass pour la Caisse d’Epargne, de Certicode Plus pour la Banque Postale ou encore de Confirmation Mobile pour le Crédit Mutuel. Elles permettent toutes de désigner un mobile de référence comme “appareil de confiance”, sur lequel votre banque vous envoie une notification. Ceci vous permet de vous connecter directement à l’application mobile de votre banque après authentification.
Certains utilisateurs, néanmoins, n’ont pas accès à un smartphone ou ne veulent pas installer l’application mobile de leur banque sur leur mobile. Des alternatives sont alors proposées par certaines enseignes. Un code à usage unique peut toujours être envoyé par les banques par SMS ou serveur vocal, auquel s’ajoutera l’usage d’un code personnel statique, également fourni par la banque. Le Crédit Mutuel propose, lui, d’acheter un lecteur baptisé le Digipass pour 29 euros qui permet de scanner un QR Code sur l’écran de votre ordinateur et d’obtenir ainsi un code à usage unique à 8 chiffres pour authentifier votre opération de paiement en ligne.
Dans tous les cas, depuis septembre 2019, l’accès à votre espace personnel bancaire en ligne implique le recours à l’authentification forte, au moins une fois tous les 90 jours. Vous l’avez peut-être déjà observé lors de l’accès à vos comptes par ordinateur. Ceci consiste à saisir un code en plus de votre identifiant et de votre mot de passe habituel. Aussi, cette méthode est rendue systématique lors d’opérations sensibles, comme l’ajout d’un nouveau bénéficiaire pour les virements.
Que doivent mettre en place les e-Commerce pour être en accord avec la norme DSP2 ?
Pour vendre en ligne, il faut que le contrat VAD avec la banque supporte les transactions 3D Secure. Contacter la banque ou le prestataire de paiement permet de s’assurer la mise en place en bonne et due forme de l’authentification forte grâce au Secure 3D 2.0. Les solutions de paiement proposées doivent être conformes à la DSP2. Il suffit de suivre les recommandations pour adapter les solutions de la boutique en ligne. L’API devra peut-être être changée.
En plus de ces démarches alourdies, certains e-commerçants craignent que l’allongement du processus d’achat en ligne ne dissuade quelques utilisateurs. En effet, ils s’inquiètent de voir exploser le nombre d’abandons de panier, suite à des transactions ralenties. Des dispositions sont alors prises pour des transactions jugées peu risquées.
Quels sont les Paiements en Ligne Exemptés de cette Nouvelle Norme ?
Certains paiements échappent à cette réglementation :
- Les paiements inférieurs à 30 euros.
- Les paiements vers un bénéficiaire de confiance, désigné par vous même comme digne de confiance.
- Les paiements récurrents en cas d’abonnement, …
- Les transactions à faible risque, au regard de l’historique du commerçant.
Le Virement Instantané, l’Alternative au Paiement par Carte Bancaire
Les commerçants s’inquiètent, de nouvelles alternatives émergent. Un nouveau concept contourne l’achat par carte bleue et donc tout intermédiaire en proposant une nouvelle méthode de paiement : le paiement en ligne par virement instantané.
Les Virements SEPA
La DSP1 a motivé l’accélération de la création de la SEPA (Single Euro Payments Area), une zone unique de paiement. Grâce à cela, les virements bancaires et prélèvements automatiques en UE et dans l’EEE sont facilités et moins chers. Le virement instantané permet de transférer une somme d’argent en euros d’un compte vers un autre, entre deux établissements bancaires de la zone SEPA de façon quasi-immédiate. Ce dernier a été intégré à Paypal et Stripe (Direct Sepa).
Les Paiements Récurrents
GoCardless, par exemple, simplifie les prélèvements bancaires sur Internet et les rend accessibles à tous. Depuis sa création en 2011, GoCardless s’évertue à simplifier et démocratiser les prélèvements automatiques à toutes les entreprises. Le prélèvement est un moyen efficace (pas d’attente), économique (pas d’intermédiaire) et sûr pour gérer les paiements récurrents.
Solutions de Paiement Proposées par les GAFA
Les GAFA proposent leur propre solution de paiement, tels GooglePay, AmazonPay, FacebookPay, AliPay, auxquelles s’ajoutent ApplePay et SamsungPay.
Les FinTech et l’Open Banking
D’autres start-up proposent leur solution de paiement. Reda Charai, fondateur de Fintecture, propose cette méthode de paiement et explique qu’il suffira à l’utilisateur de cliquer sur le logo de sa banque. Gratuite et déjà disponible en France, cette alternative peine néanmoins à s’imposer. Les technologies d’Open Banking sont désormais nombreuses comme celles de Budget Insight, de Papam, de Lyra, de BridgeApi, …
Les Applications Mobiles de Paiement Instantané
Le paiement instantané, lancé depuis novembre 2017 dans le cadre européen par le Comité Européen des Paiements (EPC), se répand rapidement.L’explosion du nombre d’ applications comme PayLib, Lydia, Pumpkin,Paylib et LifPay en sont la preuve. Elles sont très utilisées notamment pour les transferts d’argent de particulier à particulier. Elles permettent également d’effectuer des paiements en ligne et chez certains commerçants.
Les nouvelles règles de l’ABE pourrait alors accélérer la démocratisation du virement instantané.
Pilotez la Croissance de Votre e-Commerce
Régler les problèmes triviaux comme les paiement et blocage de compte c’est l’étape 0.
Mettre le nez dans ses données pour identifier des leviers de croissance, c’est l’étape suivante