L’authentification forte du client pour les entreprises de e-commerce

L’authentification forte du client (dite SCA pour Strong Customer Authentication) est une réglementation européenne relative aux paiements mobiles, sans contact et en ligne. Elle fait partie de la 2e Directive européenne sur les services de paiement (DSP2), qui vise à améliorer le système de mot de passe à usage unique actuel.

S’il était pertinent de demander aux clients de s’authentifier au moyen d’un TAN (numéro d’authentification de transaction) ou d’un unique SMS il y a 10 ans, ça ne l’est plus aujourd’hui. La technologie relative aux paiements électroniques a évolué et les fraudeurs ont trouvé des moyens de contourner les systèmes de sécurité.

La DSP2 requiert une authentification à deux facteurs au moment du paiement. Si l’authentification du client est réalisée par la banque de ce dernier, il est néanmoins de votre responsabilité de rendre cette double authentification possible sur votre boutique en ligne.

How is your business affected by this double authentication requirement? Is reducing fraud worth creating more payment friction? Let’s take a closer look.

Quand l’authentification forte du client est-elle entrée en vigueur ?

L’Autorité bancaire européenne a approuvé la SCA en 2019, mais cette nouvelle réglementation n’a été appliquée au e-commerce dans l’UE qu’à partir du 1er janvier 2021. Au Royaume-Uni, la SCA a été appliquée aux paiements le 15 septembre 2021.

Qu’est-ce que l’authentification à deux facteurs ?

La SCA exige que l’authentification du client inclue au moins deux des éléments suivants :

1. un élément connu uniquement du client ;
2. un élément possédé uniquement par le client ;
3. un élément inhérent au client ;

Un élément connu uniquement du client

Il peut s’agir d’un mot de passe, d’un code PIN ou d’une réponse à une question précise. Le plus souvent, il s’agit d’un mot de passe existant ou d’un code à 4 ou 6 chiffres envoyé par SMS.

Un élément possédé uniquement par le client

Il peut s’agir d’un téléphone portable, générateur de jetons, lecteur de cartes, ordinateur, tablette ou tout autre appareil autorisé. Cette vérification ne nécessite aucune action du client.

Un élément inhérent au client

Il s’agit généralement de données biométriques, comme la reconnaissance faciale ou les empreintes digitales.

SCA requires two-factor authentication to reduce the risk of fraud. This double verification makes it possible in particular to guarantee better security and confidentiality of the client’s sensitive data.

Quand l’authentification forte du client s’applique-t-elle ?

SCA applies when a customer initiates a transaction online and both your and the customer’s bank are in the EU or UK.

If you’re refunding a customer, for example, SCA doesn’t apply because the transaction was initiated by your business. If your customer’s bank is located in the US and yours is in the EU, or vice versa, SCA also does not apply.

Quelles transactions sont exemptées de SCA ?

L’UE est consciente qu’ajouter des étapes au processus d’achat en ligne crée de la friction à un moment clé de la vente. Afin de réduire cette friction, certaines transactions ont été exemptées de SCA :

Les transactions à faible risque

Un fournisseur de services de paiement bien établi peut être autorisé à estimer lui-même le risque de fraude d’une transaction et choisir d’appliquer la SCA ou non.

Pour qu’une transaction soit exemptée de SCA, il faut que le risque de fraude estimé par le fournisseur de services de paiement soit inférieur au seuil de référence associé à ce type de transaction dans l’UE.

Other factors are taken into account to estimate the risk of fraud, such as the amount of the transaction, which must be less than €500, or the customer’s behavior and location, which must be consistent with the type of transaction and to the payment method used.

À noter que cette estimation est effectuée par le fournisseur de services de paiement et n’a rien à voir avec la santé ou le profil de votre entreprise.

Les transactions à faible montant

Si le client a effectué moins de cinq paiements dans les dernières 24 heures ou si la somme des paiements effectués dans les dernières 24 heures est inférieure à 100€, la transaction est généralement exemptée de SCA.

Paiements récurrents

Les paiements récurrents sont généralement des abonnements ou des versements échelonnés. Lorsque vous débitez votre client chaque mois via carte de crédit ou de débit, la SCA ne s’applique qu’au premier paiement. Si le montant varie d’un mois à l’autre, alors la SCA pourrait être appliquée.

Les paiements récurrents effectués par prélèvement SEPA sont soumis à leurs propres procédures de sécurité, lesquelles sont complètement distinctes de la SCA.

Les bénéficiaires de confiance (liste blanche)

Si votre client utilise une carte bancaire professionnelle, c’est-à-dire une carte émise par une autre entreprise, toutes les transactions seront probablement exemptées. En effet, la SCA ne s’applique pas aux transactions B2B.

Qu’en est-il des portefeuilles électroniques ?

La SCA permet des paiements rapides et sécurisés via des portefeuilles électroniques comme Apple Pay ou Google Wallet.

Rappelez-vous : pour être autorisée, une transaction doit remplir deux des trois critères énumérés plus haut. Or, les portefeuilles numériques sont généralement utilisés sur smartphone ou tablette, lesquels sont souvent équipés de la reconnaissance faciale ou d’un capteur d’empreintes digitales. Deux des trois critères sont donc déjà remplis.

Whether your customer pays by credit or debit card does not matter. As long as his bank allows him to register his card on Apple Pay or Google Wallet, it’s good.

Comment appliquer la SCA ?

Vous êtes tenu de respecter la SCA si :

• votre entreprise est située dans l’Espace économique européen (EEE) ou vous effectuez des paiements avec des comptes basés dans l’EEE ;
• vos clients sont localisés dans l’EEE ;
• vous acceptez les paiements par carte de crédit ou de débit.

La manière la plus simple d’y parvenir est d’utiliser un prestataire de paiement conforme à la SCA, comme Mollie.

Si vous utilisez votre propre passerelle de paiement personnalisée, vos développeurs devront ajouter l’authentification à deux facteurs à votre infrastructure de paiement. Ces vérifications additionnelles permettent aux banques de croiser et recouper les informations des clients.

Contactez Mollie pour obtenir plus de conseils pertinents sur la façon de garantir la conformité de votre entreprise avec cette réglementation européenne. Créez un compte dès aujourd’hui pour proposer des méthodes de paiement sécurisées sur votre boutique en ligne.