Que signifie l'authentification forte du client (SCA) requise par la DSP2 pour les utilisateurs de Mollie ?

29 août 2019

Que signifie l'authentification forte du client (SCA) requise par la DSP2 pour les utilisateurs de Mollie ?

SCA UPDATE: L’AUTORITÉ BANCAIRE EUROPÉENNE ANNONCE UNE NOUVELLE DATE LIMITE

Le paysage des réglementations en matière de paiements évolue. Prenez par exemple la DSP2, ou deuxième directive européenne sur les services de paiement. Son but est de simplifier les paiements dans l’Espace économique européen (EEE) tout en les rendant plus sûrs. Comment ? En demandant aux banques de partager leurs données avec des tierces parties, afin d’attirer davantage de ces parties dans le marché intérieur des services de paiement. Grâce aux données fournies par les banques, les entreprises peuvent en effet offrir une multitude de services à leurs clients tout en leur facilitant le paiement. Les consommateurs pourront par exemple autoriser un chatbot à effectuer un paiement en leur nom, ou leur boutique en ligne préférée à leur montrer l’état de leur compte au moment de payer. L’important étant bien sûr de s’assurer que ces paiements se font de manière sécurisée et d’empêcher la fraude. C’est pour cette raison que l’authentification forte du client (SCA), mesure de sécurité de la DSP2, sera mise en place le 14 septembre 2019. Voici en quoi cette mesure est susceptible d’affecter l’expérience des commerçants sur notre plateforme, et ce que nous faisons pour garantir que les paiements continuent à avoir lieu sans problème.

Qu’est-ce que l’authentification forte du client (SCA) ?

SCA PSD2 mollie SCA 680px in article FR

Actuellement, au moment d’effectuer un paiement en ligne, les consommateurs doivent bien souvent authentifier ce paiement au moyen d’un mot de passe, d’une empreinte digitale ou d’un autre appareil. Ce qui rajoute une couche de sécurité supplémentaire au processus de paiement. Les recommandations de la SCA rendent ce type de mesures d’authentification obligatoire pour tout paiement en ligne effectué par un consommateur. Les paiements en ligne doivent être authentifiés par au moins deux des critères suivants :

-Quelque chose que le consommateur a avec lui. Son téléphone, par exemple.
-Quelque chose que le consommateur connaît. Un code de sécurité, par exemple.
-Quelque chose d’inhérent au consommateur. Une preuve physique qu’il est bien qui il prétend être, comme une empreinte digitale ou son propre visage (de nombreux téléphones sont aujourd’hui équipés de scanners d’empreintes digitales et de logiciels de reconnaissance faciale).

L’application de ces règles repose en grande partie entre les mains de l’émetteur (la banque de votre client la plupart du temps), et c’est à cet émetteur de décider si un paiement effectué par votre client sera authentifié ou pas. Il existe un certain nombre d’exemptions de SCA qui dispensent de cette authentification. La SCA n’est par exemple pas requise pour une transaction inférieure à 30 €, à moins que cette exemption ne soit utilisée cinq fois sur la même carte ou que la somme totale de petits paiements exemptés de SCA dépasse les 100 €. Les paiements récurrents d’une somme fixe, comme ceux effectués pour Netflix ou pour un abonnement à une salle de sport, sont également exempts de SCA. Ces exemptions ont été incluses dans la DSP2 afin d’éviter que les clients n’abandonnent leur panier à cause des trop nombreuses étapes de sécurité pour effectuer un paiement en ligne.

Les paiements ne répondant pas aux exigences de la SCA se voyant rejetés par les banques, nous faisons tout ce qui est en notre pouvoir pour que tout continue à se dérouler le plus normalement possible.

N.B. : La SCA s’applique à toutes les entreprises acceptant les cartes de débit et de crédit de l’EEE et qui ont aussi des clients dans l’EEE.

La SCA et les commerçants

Que faisons-nous, concrètement, pour garantir que nos commerçants respectent les exigences de la SCA ? Pour commencer, il faut savoir que l’écrasante majorité des moyens de paiement déjà proposés sur Mollie sont conformes à la SCA. En outre, nous serons bientôt équipés de la seconde version du principal protocole de sécurité utilisé en Europe pour les cartes de crédit et de débit : 3D Secure.

3D Secure est une méthode d’authentification en deux étapes conforme à la SCA et qui est également la méthode la plus utilisée en Europe pour s’y conformer. Pas étonnant, étant donné qu’elle a été adoptée par deux des principaux fournisseurs de cartes européens : Visa et Mastercard. Nous disposons actuellement de 3D Secure 1.0 pour les cartes Visa, Mastercard/Maestro et American Express.

Outre cette version initiale de 3D Secure, Mollie a pris des mesures pour activer 3D Secure 2.0 pour les Visa et les Mastercard/Maestro et pour s’occuper des exemptions mentionnées plus haut. Ces exemptions permettent l’authentification sans friction, ce qui signifie que les émetteurs peuvent valider des paiements sans devoir avoir recours à une méthode d’authentification supplémentaire comme un mot de passe ou une empreinte digitale. En parlant d’empreintes digitales, 3D Secure 2.0 permet d’ailleurs l’utilisation de la biométrique - empreintes digitales, reconnaissance faciale - dans les cas où une authentification plus poussée est nécessaire, ce qui rend l’expérience de paiement plus fluide et plus sûre pour les commerçants comme pour les consommateurs qu’avec la version 1.0.

Nous travaillons actuellement à l’adaptation de 3D Secure 2.0 aux cartes American Express, afin que toutes les cartes de crédit et de débit que nous proposons soient couvertes par la dernière version de ce protocole d’authentification.

Pour résumer :
La grande majorité de nos moyens de paiement sont déjà conformes à la SCA.
Nous fonctionnons avec 3D Secure 1.0 et fonctionnerons bientôt avec 3D Secure 2.0, y compris pour les exceptions.

Nous vous tiendrons au courant de tout changement éventuel susceptible de vous affecter en termes de SCA.

Betaalmethodes SCA-compliant
Apple Pay
Bancontact
Belfius Pay Button
CBC Bouton de Paiement
Cartes Bancaires
Credit Cards
EPS
Giropay
iDEAL
Klarna
PayPal
Paysafecard n/a*
Postepay
Przelewy24
Les virements SEPA
Les prélèvements SEPA
SOFORT banking

** Paysafecard et les cartes cadeau étant des moyens de paiement anonymes et prépayés, ils ne sont pas concernés par la SCA.*