Depuis le 15 mai 2021, les prérogatives de la DSP2 s’appliquent pour la plupart des paiements en ligne. Ce dispositif permet de mieux lutter contre la fraude, grâce à un processus d’achat plus sécurisé.
E-commerce et le fléau de la fraude
La fraude est un véritable problème pour les e-commerçants. Lorsqu’elle est avérée, les conséquences se manifestent bien après que les produits achetés frauduleusement aient été expédiés. La perte de marchandises, les dépenses liées au transport, l’impact sur le chiffre d’affaires sont des points pénalisant pour les e-tous les commerçants qui en subissent les frais.
Cette situation concerne aussi l’acheteur (porteur ou client) qui est également pénalisé en cas de fraude. En dehors, de l’impact négatif sur sa confiance dans le processus d’achat en ligne, il y a surtout les conséquences catastrophiques des débits intempestifs réalisés afin d’acheter des produits plus ou moins onéreux qui n’ont jamais été commandé par le porteur, et que celui-ci, ne recevra jamais. Même s’il n’est pas à l’origine de ces transactions, c’est malheureusement lui, via son compte bancaire, qui sera débité des montants dépensés. On peut aisément imaginer la situation critique dans laquelle peut se retrouver le porteur, victime de fraude à la carte bancaire.
Depuis, que le e-commerce existe, les solutions pour permettre de sécuriser les paiements se sont multipliées. Des options proposées par les Fintechs permettant des alternatives pour que les coordonnées bancaires restent secrètes pendant le processus en ligne d’achat, aux banques qui ont aussi développé des solutions propres, il y a également, l’Union Européenne qui a légiféré le schéma d’authentification des achats (SCA : Strong Customer Authentification).
Quand on constate l’ampleur économique que représente la fraude à la carte bancaire et ses conséquences, on comprend aisément l’utilité de la DSP2 (Directive sur les Services de Paiement 2) établie par l’Union Européenne.
La fraude, un « ingénieux » système bien trop répandu… Quelques exemples à connaitre pour mieux les éviter
Le Spoofing ou l’usurpation d’identité
Le fraudeur, va mettre en place un mécanisme de confiance afin que le porteur de la carte, valide des transactions à distance. Il va, par exemple, se faire passer pour sa banque, via des e-mails (phishing), des appels, des prises de contacts qui feront penser à la victime (porteur) que c’est réellement, sa banque qui lui demande ces confirmations. Sans s’en rendre compte, le porteur, pensant répondre aux attentes de sa banque, va valider à des achats à distance.
Le faux conseiller
Le porteur va être contacté par « son conseiller bancaire ». Au cours de la discussion celui-ci, va insister pour sécuriser la communication. En énumérant des éléments sécuritaires connus uniquement par le porteur, il va l’inciter à lui transmettre identifiants personnels. Il aura ainsi accès au compte bancaire du porteur et pourra déjouer tous les processus de sécurité.
Ce type de fraude nécessite une vraie introspection dans la vie du porteur, trop souvent, perdre sa carte bancaire, perdre ses papiers d’identité, ne semble pas porté à conséquence, puisqu’ils sont justes perdus (chez soi, ou ailleurs) cependant, si ces éléments sont récupérés par des personnes mal intentionnées, votre identité peut être usurpée. Afin de vous prémunir, Il est primordial, de déclarer les pertes ou vols de documents officiels tels que la CNI, passeport, permis de conduire…aux autorités policières.
La SCA (Strong Customer Authentification), un moyen européen de lutte efficace
Face à la « créativité » des fraudeurs, l’Europe réagit avec le renforcement l’authentification existante. Il y avait déjà des moyens de sécuriser les achats e-commerce, telle que la transmission d’un code (sms, svi, token), mais ces moyens seuls, connaissent des limites. Pour y palier, la DSP2 précise les contours de la SCA. Il est donc de plus en plus complexe de faire des transactions sans être véritablement le porteur de la carte bancaire.
Une combinaison de contrôle pour valider une authentification forte
Chaque facteur de contrôle respecte un point précis et c’est la combinaison d’au moins 2 facteurs qui va permettre l’authentification forte.
Facteur de possession : AVOIR
Le porteur (l’acheteur) est le seul à détenir les éléments, un élément peut être son téléphone portable, sa montre connectée, sa carte bancaire voire un token.
Facteur de connaissance : SAVOIR
L’acheteur va devoir fournir une information que lui seul connait, ce peut-être un mot de passe ou un code.
Facteur dit personnel : ÊTRE
Les autres facteurs, comportent un risque car ils peuvent être transmis à des tiers. Ce dernier point apporte un caractère vraiment unique puisqu’il s’appuie sur le physique du porteur, le plus souvent, il s’agit de biométrie (reconnaissance faciale, empreinte digitale…)
A cette combinaison de facteurs, il faut ajouter la notion de « temps imparti » pour réaliser une transaction. Le délai étant court, il n’est donc pas possible pour un usurpateur de chercher les références ou des documents pour valider une transaction. La fraude est ainsi rendue extrêmement difficile.
1. Pour réaliser un achat, le porteur doit fournir son numéro de carte bancaire (possession) en l’inscrivant sur la page de paiement
2. Il devra ensuite, ouvrir son application bancaire depuis son smartphone (possession) via son mot de passe (connaissance) ou sa reconnaissance faciale (personnel)
3. Enfin, le temps imparti pour réaliser ses actions est limité. Si celui-ci est dépassé, la transaction sera automatiquement annulée. La combinaison de toutes ces actions permet l’authentification forte et si le porteur détient les fonds alors la transaction sera autorisée par sa banque.
Ce schéma d’authentification forte est totalement intégré dans nos solutions, que ce soit :
– Mobip : un commerçant propose le paiement à son client (porteur) que ce soit par un lien transmis par e-mail ou un lien transmis par sms, les paiements suivront ce même processus sécurisé. Ce qui assure la conformité des transactions.
– Webshop de notre caisse Addictill : une vraie boutique e-commerce associée à la caisse enregistreuse des commerçants qui leur permet de faire du click-and-collect en boutique.
Nos équipes peuvent vous aider à intégrer ces solutions, n’hésitez pas à nous contacter.
Les avantages de l’authentification forte (SCA)
Une meilleure couverture en cas de Fraude
Les achats effectués via une authentification forte, sont couverts par les banques. Par conséquent, en cas de fraude avérée, le commerçant et le porteur ne seront pas pénalisés.
Un meilleur taux de transformation grâce à une expérience acheteur, optimisée
La majeure partie des transactions utilisent la SCA sauf certaines exceptions (transactions inférieures à 30euros, le paiement en plusieurs fois dès la seconde échéance…), par conséquent, les clients s’habituent à utiliser leur application bancaire pour valider leur paiement, si au départ, cela pouvait paraitre fastidieux, aujourd’hui, l’expérience utilisateur liée aux achats en ligne est devenue bien plus fluide.
La « fin » des achats impayés
Un autre avantage est la réduction des impayés pour répudiation (lorsqu’un client affirme ne pas avoir fait l’achat et demande son remboursement). Avec la combinaison des deux facteurs lors de la transaction, les informations qui transitent entre le commerçant et la banque (émetteur) du porteur sont plus nombreuses et plus qualifiées, il devient donc difficile de justifier une demande ultérieure d’annulation d’un achat.
Le point essentiel pour bénéficier des garanties 3D-Sv2
En tant que commerçant, il vous suffit de demander à votre banque de vous fournir un numéro VADS, celui-ci vous permettra d’encaisser les paiements en 3D-secure v2 sur votre site internet. Ce numéro vous sera également utile pour l’utilisation du paiement par lien via Mobip et/ou pour votre Webshop Addictill.
Vous devrez également contacter votre développeur web afin de vous assurer que vous respectez les conditions de la DPS2 ou mettre à jour votre solution open source par vos soins.
