Des exigences de sécurité plus strictes pour le paiement en ligne

L’amélioration de la sécurité du paiement en ligne est le plus grand défi dans le cadre de la protection des consommateurs. Les normes techniques de réglementation instaurent de nouvelles exigences de sécurité et les prestataires de services de paiement (dont les banques et les autres établissements de paiement) doivent s’y mettre pour les respecter lors des traitements des opérations de paiement ou des offres de services connexes. Pour permettre une « authentification forte » des clients, ces normes définissent les exigences à remplir.

L’authentification forte, c’est quoi exactement ?

Pour que les clients puissent atteindre à leur compte de paiement ou effectuer des paiements en ligne, la condition de base à mettre en place est l’authentification forte. Avec les normes techniques prévues dans la DSP2, l’authentification forte devient une obligation est non plus une simple recommandation. Pour prouver son identité, l’utilisateur devra au moins répondre à deux des trois conditions exigées : un mot de passe ou un code que lui seul connaît ; un appareil (téléphone mobile, carte à puce, ou autres) que lui seul possède ; une caractéristique personnelle comme une empreinte digitale, reconnaissance faciale ou vocale par exemple.

Pour mettre en place une authentification forte, parmi les différents moyens disponibles est sans conteste le 3D Secure, la double sécurité la plus appréciée dans l’e-commerce.

L’amélioration de la sécurité des paiements en ligne est maintenant une obligation

La directive est claire, l’authentification forte est une exigence à respecter afin de pouvoir atteindre l’objectif, celui de vérifier l’identité des utilisateurs pour toutes les transactions de proximité et à distance, peu importe le canal employé. Tous les prestataires de services de paiement doivent donc désormais se plier aux normes techniques de réglementation en mettant en commençant par mettre les infrastructures nécessaires en place.

Authentification forte : des exceptions sont prévues par la directive

Quelques exceptions sont prévues concernant la mise en place de l’authentification forte. Elles ont découlé des craintes soulevées par certains e-commerçants du fait que la pratique va rallonger le tunnel d’achat, voir baisser le taux de conversion même si la technique est efficace et utile contre la fraude. La DSP2 prévoit des exceptions sur :

  • Les opérations à faible montant (inférieurs à 30 euros) et à faible risque.
  • Les abonnements et transactions récurrentes si leur montant ne varient pas.
  • Les listes blanches (listes de bénéficiaires de confiance). Les consommateurs qui achètent régulièrement auprès d’une même enseigne ne vont pas entrer des SCA supplémentaires à chaque transaction.
  • Les transactions MOTO (Mail Orders and telephone Orders) car ces commandes ne sont pas considérées comme des paiements électroniques.
  • Les transactions inter-régionales.
  • Les paiements par carte d’affaires (carte professionnelle).