Avec l’augmentation du e-commerce, les fraudes par carte bancaire sont de plus en plus fréquentes. Ainsi la norme de sécurisation des paiements DSP2 s’applique à tous les achats en ligne à partir de 30 euros, depuis mai 2021.
QU'EST CE QUE LA CONSIGNE DE PAIEMENT DSP2 ?
La directive sur les services de paiement, dite DSP2, voté en 2015 par le Parlement Européen et entrée en vigueur en septembre 2019. Son but est d’harmoniser la réglementation sur les paiements au sein de l’Union Européenne.
Son objectif est de moderniser les services de paiement en Europe au profit tant des consommateurs que des entreprises, de faciliter l’usage des moyens de paiement et de renforcer la sécurité des opérations de paiements des entreprises.
La DSP2 porte sur 3 sujets en particulier :
- L’obligation de l’authentification forte pour les paiements en ligne de plus 30 euros, c’est-à-dire différents mots de passe ou code pour valider un achat comme l’empreinte digitale ou l’iris par exemple.
- L’interdiction des pratiques de surfacturation : interdiction de l’application de frais dans le cas de paiements à l’aide d’une carte de débit ou de crédit et ce que cela soit en magasin comme en ligne.
- Le renforcement des droits des consommateurs avec l’abaissement de la franchise restant à la charge du client en cas de paiement frauduleux par carte avant opposition de 150 à 50 euros, le raccourcissement des délais de remboursement et la mise en place d’un droit au remboursement inconditionnel pour les prélèvements en euros.
UN SYSTEME D’AUTHENTIFICATION FORTE POUR SECURISER LES PAIEMENTS EN LIGNE DE SON SITE E-COMMERCE
L’authentification forte fait partie intégrante de la directive DSP2. Elle inclut les banques, les prestataires de paiements, les sociétés de carte comme Visa par exemple et les e-commerçants. Sa mise en place est donc compliquée et longue du fait de ce grand nombre d’intervenants.
Au moment de payer en ligne, le client doit fournir au moins deux éléments qui permettent à son identification : un mot de passe ou code numérique, son numéro de téléphone ou un élément biométrique (son de sa voix ou encore empreinte faciale).
En outre, les banques incitent leurs clients détenteurs d’un smartphone, à télécharger l’application mobile qui intègre d’ores et déjà des systèmes d’authentification forte. Grâce à cela les éléments de connaissance (code), d’inhérence (empreinte digitale) et de possession (le téléphone) sont combinés. Au moment de procéder à l’achat, le client reçoit une notification qui le redirige vers l’application de la banque et soit valider son paiement grâce à son mot de passe ou son empreinte biométrique.
Dans le cas où le client ne possède pas de smartphone ou ne souhaite pas utiliser l’application, il existe des alternatives sans surcoût comme l’envoi d’un SMS à usage unique couplé d’un mot de passe ; ou mise à disposition d’un dispositif physique comme un lecteur de cartes bancaires.
AUTHENTIFICATION FORTE : DES EXCEPTIONS PREVUES PAR LA DIRECTIVE
Quelques exceptions sont à prévoir par la DSP2 :
- Les listes blanches : il s’agit d’une liste que le bénéficiaire peut faire en y inscrivant ses bénéficiaires de confiance, cette dernière est conservée par la banque. Ces bénéficiaires sont des commerçants qui ne sont pas concernés par l’authentification 3D Secure.
- Les opérations à faible montant et à faible risque (inférieur à 30 euros)
- Les abonnements et opérations récurrentes : Le montant ne varie pas alors inutile d’utiliser une authentification forte. Si le montant est modifié, une authentification est demandée via 3D Secure et ce à chaque changement.
- Les paiements par carte d’affaires : Les paiements réalisés avec une carte professionnelle ne sont pas concernés par l’authentification forte.
- Les transactions inter-régionales : si le détenteur de la carte ou l’émetteur ne sont pas basés en Europe, alors la transaction n’a pas besoin d’authentification forte
- Les transactions MOTO (Mail Orders And Telephones Orders) : elles seront exemptées de l’authentification 3D Secure car elles ne sont pas considérées comme un paiement électronique.
Il est indispensable pour vos projets de bien connaître votre système d’information. Ainsi, nous pouvons comprendre vos différentes problématiques et les enjeux de votre système d’information en lien avec votre activité. Acropole Expert Informatique réalise des audits de votre infrastructure, pour plus d’informations sur le sujet, vous pouvez nous contacter à support@acropole-expert.com.