Skip to main content

La deuxième directive sur les services de paiement élaborée par l’UE devait entrer en vigueur en septembre. Elle a été reportée , donnant à tous les pays de l’UE la possibilité de se préparer à appliquer l’authentification supplémentaire (Strong Customer Authentification) à toutes les transactions en ligne.

Un peu d’histoire

La DSP1 a été mise en place en 2007. La directive établissait le même ensemble de règles pour tous les pays de l’UE en ce qui concerne les transactions non monétisées et les paiements en ligne. De plus, cette directive inclut un nouvel ensemble d’entreprises spécialisées dans la gestion de paiements, autres que les banques, appelés Services de paiement.

Récemment, l’UE a examiné la législation pour l’améliorer et inclure de nouveaux services de paiement en ligne tels que ceux fournis via des dispositifs mobiles. Et, l’Union Europénne a confié à l’Autorité Bancaire Européenne (EBA) un rôle plus important dans la coordination des autorités et l’élaboration des normes techniques.

Finalement, cette nouvelle législation a été créée pour mettre en place des mesures de sécurité supplémentaires pour prévenir la fraude et les chargebacks relatifs aux paiements en ligne, comme nous l’avions précédemment mentionné dans notre blog Une vue d’ensemble sur la situation des paiements en ligne.

Selon la Banque Centrale Européenne, 73% des fraudes étaient dues à des paiements effectuées sans la présence réelle de la carte bancaire (CNP), ce qui inclut évidemment les paiements via Internet. Cela dépasse de beaucoup les transactions en point de vente avec 19% et 8% via des distributeurs automatiques.

Tournons nous vers l’avenir..

Quels sont les avantages de la SCA (Strong Customer Authentification)?

Avantages

Cela va réduir le risque de fraude en ligne.

Cela peut devenir un élément de différenciation vis à vis de la concurrence.

Selon une étude réalisée par Stripe, 60% des acheteurs en ligne européens sont favorables à la SCA. Les consommateurs y voient donc une étape positive.

Dans cet article, nous vous expliquerons tout ce que vous devez savoir sur la PSD2 pour être bien informé et savoir ce que vous devez considérer en tant qu’agence de locations saisonnières.

Allons droit au but…

Tout d’abord, l’authentification client sécurisée est apparue en raison de la nouvelle réglementation européenne PSD2, qui a dû être révisée en raison de la croissance des transactions de paiement en ligne et des différents dispositifs utilisés pour réaliser ces paiements.

Qu’est-ce que la SCA?

C’est une vérification de paiement supplémentaire lorsque le client effectue un paiement en ligne. Pour cette vérification supplémentaire, les clients devront réaliser 2 des 3 authentifications suivantes:

  1. Quelque chose qu’un utilisateur connaît. Les clients devront donc insérer un mot de passe ou un code PIN.
  2. Quelque chose que l’utilisateur possède. Cela pourrait être une carte de crédit, un téléphone portable ou un autre appareil sans fil à travers lequel les clients effectuent les paiements.
  3. Quelque chose qui représente l’utilisateur. Il s’agit de biométrie, autrement dit une reconnaissance faciale, une empreinte digitale ou un scan oculaire.

Qu’est-ce que le 3D Secure?

Le 3D Secure est un contrôle de sécurité effectué à partir des cartes bancaires. Il est également appelé «Visa Secure» ou «Mastercard Identity Check». LE 3DS1 a été utilisé par les professionnels du tourisme pour prévenir la fraude, mais aujourd’hui, cette première version a presque 20 ans. De ce fait, la EMVCo (une organisation composée de 6 réseaux de cartes principaux) a créé la deuxième version, la 3DS2.

La 3DS1 a été créé en 2001 car les autres mesures de sécurité en place, telles que AVS et CVC, comportaient toujours des risques élevés de fraude et de rétrofacturation.

3DS1 VS 3DS2

Sans trop entrer dans les détails techniques, la principale différence entre les deux versions est que la 3DS2 possède des fonctionnalités qui améliorent l’expérience client dans le flux de paiement, celui-ci est davantage sécurisé et prend en charge les achats effectués depuis des appareils mobiles et autres applications.

Même si la stratégie principale relative à la SCA consiste à activer le 3D Secure avec votre banque ou votre fournisseur de paiement, vous devez également tenir compte des exceptions et des formes de paiement sortant du champ de la vérification supplémentaire.

Moyens de paiements en dehors des paramètres de la SCA

Transactions “One-Leg”

Ce règlement ne s’applique qu’aux entités financières qui fournissent des services de paiement dans l’UE. Ainsi, par exemple, si un titulaire de carte américain effectue un paiement sur un site internet basé dans un pays de l’UE, la SCA ne s’appliquera pas.

MOTO (Commandes par email et par téléphone)

Les transactions effectuées par téléphone ou par correspondance ne nécessitent pas d’authentification supplémentaire.

MIT (Commerçant Initié)

Cela signifie que la transaction est effectuée lorsque le titulaire de la carte n’est pas présent. Les paiements relevant de l’Autorité bancaire européenne et ne nécessitant pas d’authentification supplémentaire sont:

  • Les paiements de services publics tels que factures domestiques, abonnements payants à la télévision et aux téléphones portables.
  • Les transactions de covoiturage ou partage de vélo.
  • Les abonnements à des services numériques (par exemple, Spotify, Netflix, etc.).
  • Les paiements d’assurance.

Les paiements ci-dessus sont des prélèvements dans lesquels le client est hors ligne. L’EBA (European Banking Authority) considère donc qu’une authentification en tant que telle ne peut pas être effectuée car ils ont préalablement donné leur accord pour que leur facturation soit effectuée par contrat.

Sachez cependant que les paiements effectués avec des cartes enregistrées auprès de marchands doivent obligatoirement passer par une authentification supplémentaire. Un bon exemple est lorsqu’un client enregistre sa carte sur un site internet ou une application et déclenche le paiement via un bouton d’achat.

En effet, l’EBA considère que cet achat est effectué en ligne par le consommateur sans autorisation préalable et nécessite par conséquent une étape de sécurité supplémentaire.

Seules les entreprises qui facturent des clients qui ne sont pas présents dans le flux de paiement, et procèdent à l’aide des informations d’identification de paiement enregistrées (avec le consentement préalable) sont reconnus commes commerçants initiés.

Les dérogations

Paiements au montant peu élevé

Les achats inférieurs à 30€ seront exemptés, mais il y a un point important ici car la SCA sera sollicitée par la banque du client si ces transactions sont effectuées plus de cinq fois ou atteignent un montant total de 100€.

Dans le cas des agences de location de vacances, cette dérogation s’applique par exemple lorsque le client paie un supplément via un site internet, si le service supplémentaire se maintient en dessous du montant mentionné ci-dessus. Mais si le même client paie le même extra plus de 5 fois ou atteint le montant de 100€, l’authentification doit être effectuée en conséquence via son PSP ou sa banque.

Liste blanche

Cette dérogation s’applique lorsque le client initie une transaction et que le commerçant est inclus dans une liste de bénéficiaires de confiance. Cette exception prend en compte les paiements à distance et en face à face. Cependant, sachez que le client devra passer par une authentification initiale avant de figurer dans cette liste.

Alors, comment ça marche? Fondamentalement, les banques émettrices ajouteront une nouvelle case à cocher dans l’Iframe 3DS qui posera la question suivante: Faites-vous confiance à cette entreprise du secteur touristique? ¨, une fois que le client a coché la case, la société est inscrite sur la liste blanche. La bonne nouvelle est donc qu’il n’y aura qu’un seul moment de vérification initiale dans le flux de paiement.

Mais ce que vous devez considérer avec cette dérogation est que, sur le plan technique, il est difficile de la mettre en œuvre. Par conséquent, tous les émetteurs ne seront pas en mesure de préparer ces exigences pour le mois de septembre.

Paiements d’entreprise

Dans le cas des paiements d’entreprise B2B, l’authentification n’aura pas lieu si un processus de paiement sécurisé est déjà en place ou s’il s’agit de cartes d’entreprise qui ne sont pas utilisées par des personnes comme des cartes de frais de déplacement ou bien des cartes virtuelles.

Transactions à faible risque

Cette dérogation, également appelée TRA (Transaction Risk Analysis), peut être mise en place par les prestataires de services de paiement ou bien même par les banques. Ceux ci peuvent appliquer une analyse de risque en temps réel pour définir si la SCA est applicable.

Néanmoins, dans le cas de cette dérogation, les prestataires de services de paiement et les banques doivent également passer un contrôle supplémentaire pour pouvoir utiliser l’analyse de risque en temps réel. Elles doivent s’assurer que leurs taux de fraude pour les paiements par carte ne dépassent pas les seuils suivants:

  • 0,13% pour exempter les transactions inférieures à 100 €.
  • 0,06% pour exempter les transactions inférieures à 250 €.
  • 0,01% pour exempter les transactions inférieures à 500 €.

Selon Stripe, cette dérogation sera la préférée des entreprises et c’est celle qui sera probablement le plus utilisée par les banques.

Pour mettre en œuvre ces dérogations, vous devez contacter votre fournisseur de services de paiement pour savoir s’il est préparé et équipé de matériel spécifique pour la détection de la dérogation la plus adaptée..

Borja Santos, responsable de l’Espagne et du Portugal chez Stripe, explique le fonctionnement de ces Systèmes de reconnaissance de dérogation:

“Nous utilisons l’apprentissage automatique pour décider quelle est la meilleure dérogation à prévoir afin de maximiser le taux d’autorisation et d’éviter de passer à l’authentification. Tandis que d’autres fournisseurs permettront aux utilisateurs de sélectionner une dérogation, nous, nous pouvons prédire celle qui sera la plus utile pour une transaction donnée et l’appliquer de manière dynamique.”

Qu’adviendra-t-il de l’écosystème complexe des paiements au sein du secteur touristique?

La mise en œuvre de la nouvelle méthode d’authentification est assez simple avec les plateformes de e-commerce où le paiement intégral est effectué en une seule transaction, mais ont-elles pris en compte tous les différents scénarios de paiement, en particulier celui du secteur touristique?

Le marché des voyages est un espace où de nombreux acteurs interagissent les uns avec les autres. Parmi les principaux acteurs figurent notamment les OTAs et les plateformes de Métarecherche , les compagnies aériennes, les agences de locations saisonnières et d’autres services liés aux voyages.

Dans le cas des agences de locations saisonnières, les processus de paiement peuvent varier en fonction des conditions de la réservation, où les délais de paiement diffèrent.

De plus, s’ils sont connectés via un Channel Manager avec une OTA, un Marketplace ou même un site de métarecherche, ils doivent prendre en compte de nombreuses variables car les conditions de paiement peuvent varier d’un portail à l’autre, où une communication à trois voies peut être impliquée entre les fournisseurs de services de paiement, les systèmes PMS et les moteurs de réservation des portails eux-mêmes.

L’EBA (European Banking Authority) n’a pas encore pris en compte de nombreux facteurs et possibles problèmes techniques, ce qui représente un défi dans les mois à venir pour l’industrie du voyage.

Comment les agences de locations saisonnières peuvent-elles se préparer pour la SCA?

Face aux nombreux défis à venir, la meilleure façon pour les agences de locations saisonnières de se préparer est tout d’abord de comprendre tous les paramètres liés à la nouvelle réglementation.

De plus, les professionnels doivent contacter leur banque afin de vérifier que celles ci travaillent effectivement avec le 3DS et leur demander de l’activer pour eux.

Si vous travaillez avec un prestataire de services de paiement, vous pouvez le contacter pour obtenir plus d’informations sur la mise en œuvre du 3DS et savoir si une stratégie de dérogation est applicable.

La SCA est une opportunité qui va donner aux agences de locations saisonnières un avantage concurrentiel

Le règlement DSP2 et la loi SCA sur l’authentification supplémentaire ne doivent pas être considérés comme une menace, mais plutôt comme une opportunité pour les agences d’assurer la sécurité des paiements et de gagner un avantage concurrentiel.

Selon notre directeur général, Manuel Giner, la réglementation PSD2 et l’authentification supplémentaire sont davantage une opportunité qu’une menace:

“Les objectifs recherchés par la directive, à savoir la réduction de la fraude et des coûts, sont extrêmement positifs, même si cela prendra du temps pour qu’ils soient pleinement conformes.

La DSP2 est l’occasion d’adopter une plateforme de paiement avancée qui, outre le respect de la DSP2 et une sécurité accrue des paiements, nous aide à être plus efficaces et compétitifs.

Cette nouvelle authentification ouvre de nouvelles possibilités aux agences de locations saisonnières, qui peuvent désormais adopter des politiques de paiement plus flexibles et augmenter la conversion depuis leur site internet.”

Avantio prépare également l’arrivée de la nouvelle réglementation et sera en mesure de proposer des solutions. Avec Avantio Payments, les agences pourront automatiser leurs paiements 3D Secure via notre système de gestion de location saisonnières (VRMS)

Pour plus d’informations sur ce sujet, vous pouvez contacter l’un de nos responsables de compte ici.