L’authentification forte du client pour les entreprises de e-commerce

Familie & Finanzen: So gehen Familien in Deutschland mit Geld umFamilie & Finanzen: So gehen Familien in Deutschland mit Geld um
Iryna Agieieva
Head of Product - Payments
Product leader. Data-driven and passionate about payments.

L’authentification forte du client (dite SCA pour Strong Customer Authentication) est une réglementation européenne relative aux paiements mobiles, sans contact et en ligne. Elle fait partie de la 2e Directive européenne sur les services de paiement (DSP2), qui vise à améliorer le système de mot de passe à usage unique actuel.

S’il était pertinent de demander aux clients de s’authentifier au moyen d’un TAN (numéro d'authentification de transaction) ou d’un unique SMS il y a 10 ans, ça ne l’est plus aujourd’hui. La technologie relative aux paiements électroniques a évolué et les fraudeurs ont trouvé des moyens de contourner les systèmes de sécurité.

La DSP2 requiert une authentification à deux facteurs au moment du paiement. Si l’authentification du client est réalisée par la banque de ce dernier, il est néanmoins de votre responsabilité de rendre cette double authentification possible sur votre boutique en ligne.

Comment votre entreprise est-elle affectée par cette obligation de double authentification ? Est-ce que la diminution des fraudes vaut la peine de créer plus de friction au paiement ? Regardons cela de plus près.

Quand l’authentification forte du client est-elle entrée en vigueur ? 

L’Autorité bancaire européenne a approuvé la SCA en 2019, mais cette nouvelle réglementation n’a été appliquée au e-commerce dans l’UE qu’à partir du 1er janvier 2021. Au Royaume-Uni, la SCA a été appliquée aux paiements le 15 septembre 2021.

Qu’est-ce que l’authentification à deux facteurs ?

La SCA exige que l’authentification du client inclue au moins deux des éléments suivants :

  1. un élément connu uniquement du client ;

  2. un élément possédé uniquement par le client ;

  3. un élément inhérent au client ;

Un élément connu uniquement du client

Il peut s’agir d’un mot de passe, d’un code PIN ou d’une réponse à une question précise. Le plus souvent, il s’agit d’un mot de passe existant ou d’un code à 4 ou 6 chiffres envoyé par SMS.

Un élément possédé uniquement par le client 

Il peut s’agir d’un téléphone portable, générateur de jetons, lecteur de cartes, ordinateur, tablette ou tout autre appareil autorisé. Cette vérification ne nécessite aucune action du client.

Un élément inhérent au client

Il s’agit généralement de données biométriques, comme la reconnaissance faciale ou les empreintes digitales. 

La SCA exige une authentification à deux facteurs afin de réduire les risques de fraude. Cette double vérification permet notamment de garantir une meilleure sécurité et confidentialité des données sensibles du client.

Quand l’authentification forte du client s’applique-t-elle ?

La SCA s’applique lorsqu’un client initie une transaction en ligne et que votre banque et celle du client se trouvent en UE ou au Royaume-Uni.

Si vous remboursez un client, par exemple, la SCA ne s’applique pas, car la transaction a été initiée par votre entreprise. Si la banque de votre client est située aux États-Unis et la vôtre en UE, ou vice versa, la SCA ne s’applique pas non plus.

Quelles transactions sont exemptées de SCA ? 

L’UE est consciente qu’ajouter des étapes au processus d’achat en ligne crée de la friction à un moment clé de la vente. Afin de réduire cette friction, certaines transactions ont été exemptées de SCA :

Les transactions à faible risque 

Un fournisseur de services de paiement bien établi peut être autorisé à estimer lui-même le risque de fraude d’une transaction et choisir d’appliquer la SCA ou non.

Pour qu’une transaction soit exemptée de SCA, il faut que le risque de fraude estimé par le fournisseur de services de paiement soit inférieur au seuil de référence associé à ce type de transaction dans l’UE.

D’autres facteurs sont pris en compte pour estimer le risque de fraude, comme le montant de la transaction, qui doit être inférieur à 500€, ou le comportement et la localisation du client, qui doivent être cohérents par rapport au type de transaction et à la méthode de paiement utilisée.

À noter que cette estimation est effectuée par le fournisseur de services de paiement et n’a rien à voir avec la santé ou le profil de votre entreprise.

Les transactions à faible montant

Si le client a effectué moins de cinq paiements dans les dernières 24 heures ou si la somme des paiements effectués dans les dernières 24 heures est inférieure à 100€, la transaction est généralement exemptée de SCA.

Les paiements récurrents 

Les paiements récurrents sont généralement des abonnements ou des versements échelonnés. Lorsque vous débitez votre client chaque mois via carte de crédit ou de débit, la SCA ne s’applique qu’au premier paiement. Si le montant varie d’un mois à l’autre, alors la SCA pourrait être appliquée. 

Les paiements récurrents effectués par prélèvement SEPA sont soumis à leurs propres procédures de sécurité, lesquelles sont complètement distinctes de la SCA.

Les bénéficiaires de confiance (liste blanche)

Si votre client utilise une carte bancaire professionnelle, c’est-à-dire une carte émise par une autre entreprise, toutes les transactions seront probablement exemptées. En effet, la SCA ne s’applique pas aux transactions B2B.

Qu’en est-il des portefeuilles électroniques ?

La SCA permet des paiements rapides et sécurisés via des portefeuilles électroniques comme Apple Pay ou Google Wallet. 

Rappelez-vous : pour être autorisée, une transaction doit remplir deux des trois critères énumérés plus haut. Or, les portefeuilles numériques sont généralement utilisés sur smartphone ou tablette, lesquels sont souvent équipés de la reconnaissance faciale ou d’un capteur d’empreintes digitales. Deux des trois critères sont donc déjà remplis.

Que votre client paie par carte de crédit ou de débit n’a pas d’importance. Tant que sa banque l’autorise à enregistrer sa carte sur Apple Pay ou Google Wallet, c’est bon.

Comment appliquer la SCA ? 

Vous êtes tenu de respecter la SCA si :

  • votre entreprise est située dans l’Espace économique européen (EEE) ou vous effectuez des paiements avec des comptes basés dans l’EEE ;

  • vos clients sont localisés dans l’EEE ;

  • vous acceptez les paiements par carte de crédit ou de débit.

La manière la plus simple d’y parvenir est d’utiliser un prestataire de paiement conforme à la SCA, comme Mollie.

Si vous utilisez votre propre passerelle de paiement personnalisée, vos développeurs devront ajouter l’authentification à deux facteurs à votre infrastructure de paiement. Ces vérifications additionnelles permettent aux banques de croiser et recouper les informations des clients.

Contactez Mollie pour obtenir plus de conseils pertinents sur la façon de garantir la conformité de votre entreprise avec cette réglementation européenne. Créez un compte dès aujourd’hui pour proposer des méthodes de paiement sécurisées sur votre boutique en ligne.

Développez votre activité avec Mollie
Choisissez vos méthodes de paiement