Nouvelle norme de sécurité pour les paiements en ligne
Dans le cadre des conséquences de la crise sanitaire de la Covid-19, le nombre de e-transactions ou de paiements en ligne a connu une forte augmentation. Les usagers des paiements en ligne optent davantage pour cette solution grâce au bond de la digitalisation et de la technologie. La sécurité des e-transactions est ainsi plus que nécessaire.
Pour appliquer la directive DSP2, qui est la nouvelle règlementation sur les services de paiement, les paiements via carte bancaire sur internet et autres transactions de nature sensibles doivent systématiquement passer par une authentification forte.
Les présentes normes de sécurité donnant lieu à cette double authentification ou “authentification forte”, exigée par la directive sur les services de paiement en date du 25 novembre 2015, limitent la fraude relative aux différents paiements à distance. Les banques proposent en effet des services en ligne et également des services de proximité à leurs clients commerçants en ligne. Toutefois, il est nécessaire de mentionner que le taux de fraude est nettement en hausse pour les paiements sur les sites marchands en comparaison des achats auprès des commerces de proximité.
L’authentification forte : c’est quoi ?
Il n’est pas loin le temps où un client recevait un code de validation par SMS de sa banque pour clore sa commande en ligne et passer à la validation du paiement. Ce dernier devait ensuite renseigner sur le site le code reçu. Une mise à jour est maintenant appliquée et déployée en masse à destination de la clientèle des banques, des émetteurs de moyens de paiements bancaires (cartes) et des opérateurs de paiements. Les commerçants en ligne n’échappent pas non plus à cette nouvelle réglementation sur les services de paiement. Il s’agit de l’authentification forte de la DSP2.
L’authentification forte concerne tout l’écosystème de paiements dont les réseaux de cartes (MasterCard, Visa, etc.), les banques, les prestataires de paiement ainsi que les e-commerçants. Elle n’est cependant pas possible pour les personnes ne disposant pas de smartphone ou qui ne souhaitent tout simplement pas installer l’application de leur banque sur leur téléphone.
La fédération propose des solutions alternatives à toute personne sans smartphone ou application bancaire :
- Un SMS à usage unique associé à un mot de passe propre au client
- Le client utilise un dispositif physique dédié (lecteur de carte bancaire par exemple)
D’un point de vue plus global, l’objectif de la directive sur les services de paiement vise à réduire à un niveau convenable le taux de fraude constaté au titre d’un achat en ligne. Tout en étant un système de sécurité moderne, l’authentification forte propose pour les consommateurs un moyen de paiement facile d’utilisation, et pour les sites commerçants, des opérations de paiement sécurisées et renforcées.
Pour fluidifier son business, le commerçant peut intégrer le paiement en ligne sur son site. Par conséquent, il doit sécuriser ses encaissements par cartes bancaires via le système d’authentification forte. Avec Up2Pay e-Transactions et grâce au nouveau système 3D Secure V2, le commerçant peut sécuriser ses transactions en authentifiant l’acheteur avant la fin de la transaction.
Par ailleurs, demandez à être accompagné par votre prestataire bancaire pour les encaissements des achats en ligne de vos clients. La mise en place de la DSP2 peut effectivement impacter votre chiffre d’affaires. Toutefois, votre prestataire de paiement peut vous apporter son aide dans la compréhension des bases de statistiques relatives à l’usage de votre système de paiement au moyen d’une offre spécifique aux plateformes e-commerces : échecs, abandons, ratio de conversions des transactions. Il existe en effet des banques qui proposent des services de paiements en ligne compatibles avec les plateformes du marché avec un éventail de fonctionnalités et différentes méthodes de paiement.
Sécurisation des paiements en ligne sur les sites commerçants
Pour sécuriser les paiements, les banques proposent à l’acheteur en ligne plusieurs conditions. L’authentification est dite forte uniquement dans le cas où elle répondrait à ces trois points :
- Une condition de connaissance, un élément dont l’utilisateur uniquement connait. Il s’agit d’un code numérique ou d’un mot de passe ;
- Une condition de possession, il s’agit d’un objet qui appartient uniquement à l’utilisateur : montre connectée, smartphone, ordinateur…
- Une condition d’inhérence, qui représente l’utilisateur : une empreinte faciale ou digitale, le son de sa voix
L’authentification forte correspond à un système de sécurité dont l’objet porte à certifier l’identité de la personne titulaire du compte de paiement ou de la carte bancaire lors :
- D’un paiement sur internet
- De la consultation d’un compte en ligne
Note :
L’authentification forte requiert en plus, de la part du titulaire d’un compte en ligne, la saisie de ses codes d’accès (identifiant et mot de passe) pour que ce dernier puisse accéder à son compte de paiement en ligne.
La sécurité des transactions bancaires possède un niveau de sécurisation toujours plus élevé. Toutefois, les bons gestes de vigilance sont toujours nécessaires afin de réduire le taux de fraude. Retrouvez nos 7 conseils pour éviter les risques de piratage depuis ce lien.
L’authentification forte : dans quel besoin ?
L’authentification forte est à destination des opérations de gestion ci-après :
- L’accès de l’utilisateur à ses solutions de paiements en ligne
- Les opérations de paiement digitales comme les paiements par carte ou par virement
- La réalisation d’une opération jugée comme sensible à la fraude au moyen d’un dispositif de communication à distance (ajout d’un ou plusieurs bénéficiaires de virement depuis un compte bancaire sur internet)
L’authentification forte : les circonstances d’exemption ?
L’authentification forte est entrée progressivement en vigueur jusqu’au 12 juin 2021. Par l’entremise d’une avancée par étape, les normes de sécurité relatives à une authentification forte ont d’abord été appliquées sur les montants de 500 euros et plus depuis le 15 février, ensuite sur les montants de plus de 250 euros le 15 mars et puis sur les montants de 100 euros le 15 avril. Les établissements bancaires ont la possibilité de rejeter toutes les transactions jugées non conformes, à moins que le commerçant en ligne ait fait une demande d’exemption d’authentification forte sur son site.
En effet, pour ne pas imposer trop de procédures superflues aux clients lors de leur parcours d’achat, et nommant pour apaiser les sites marchands contraints par ce nouveau dispositif de sécurité, des exemptions sont prévues par la fédération en termes de DSP2.
Chaque prestataire de paiement est autorisé à analyser les risques en temps réel dans le cas d’une non-application de cette obligation d’identification. Cette étude porte notamment sur l’évaluation du taux de fraude qui ne doit pas dépasser 0,13 % auprès de la banque ou le prestataire de paiement des commerçants en ligne.
Dans ces cas de figure, l’authentification forte fait l’objet d’exemption :
- Les achats en ligne en dessous de 100 euros
- Les opérations récurrentes des clients tels que l’abonnement à un service ou produit à montant fixe (paiement facture énergie, eau, électricité, loyers, etc.)
- Le paiement des bénéficiaires de confiance ou préautorisés
Comment sécuriser vos transactions commerciales ?Par Manuel, le 24 février 2022-
Izicarte : qu’est-ce que c’est ?Par Philippe, le 15 octobre 2021
-
Formulaire S3201 : télécharger et bien remplirPar Marc, le 7 mars 2020
-
Entreprise : l’importance d’un bon hébergementPar Manuel, le 8 décembre 2020
-
Conseils pour choisir le cadeau d’entreprise parfaitPar John, le 27 février 2024
-
JAL (Journal d’Annonces Légales) : comment choisir ?Par Marc, le 31 juillet 2021
-
Carte de visite professionnelle : un réel impact pour faire toute la différencePar Marc, le 31 août 2023
-
Les solutions de rétention pour les liquides polluants dans les entreprisesPar Philippe, le 14 février 2020
