Qu’est ce que la SCA : l’authentification forte du client ?
Qu’est ce que l’authentification forte du client (SCA) ?
Les exigences strictes en matière d’authentification client entrent officiellement en vigueur le 14 septembre 2019
L’Autorité bancaire européenne a publié de nouvelles règles en matière de sécurité pour les paiements. Cela implique également une mise à jour du coté de notre plateforme, en collaboration avec notre prestataire de paiement, STRIPE.
Dropshipprint et son outil de boutique en ligne est entièrement prévu pour correspondre à ces nouvelles exigences.
Decouvrez également l’article complet proposé par STRIPE : https://stripe.com/fr/payments/strong-customer-authentication
Voici le plan de migration proposé par la banque de France.
Le 9 juillet 2019, le régulateur français a pris acte des nouvelles orientations de l’Autorité bancaire européenne et a indiqué qu’il travaille actuellement sur un plan de mise en œuvre par étapes. La durée du déploiement de sécurité n’a pas encore été officiellement confirmés.
Il s’agit de nouvelles exigences en matière d’authentification des paiements en ligne demandées par l’Europe, dans le cadre de la deuxième directive sur les services de paiement (PSD2).
Nous vous détaillons ici les nouvelles exigences connues sous le nom de Strong Customer Authentication (SCA).
Qu’est-ce qu’une authentification client forte ?
L’authentification forte du client (SCA) est une nouvelle exigence réglementaire européenne visant à rendre les paiements en ligne plus sûrs. Pour accepter les paiements une fois que la SCA entrera en vigueur, il faudra intégrer une authentification supplémentaire dans le flux de paiement. La SCA exige que l’authentification utilise au moins deux des trois éléments suivants :
- un élément connu du client (ex., mot de passe ou NIP)
- un élément détenu par le client (ex., boîtiers ou téléphone)
- une preuve de l’identité du client (ex. empreintes digitales ou de visages)
Les banques devront donc commencer à interdire les paiements qui ne répondent pas à ces critères.
Quand une authentification client forte est-elle requise ?
Une forte authentification client s’appliquera aux paiements en ligne « initiés par le client » (en Europe). Par conséquent, la plupart des paiements par carte et tous les virements bancaires nécessiteront la SCA. En revanche, les prélèvements automatiques récurrents sont considérés comme « initiés par le commerçant » et ne nécessitent pas d’authentification forte. À l’exception des paiements sans contact, les paiements par carte en personne ne sont pas touchés par le nouveau règlement.
Pour les paiements par CB, ces exigences s’appliqueront aux transactions dont l’entreprise et la banque du titulaire de la carte sont toutes deux situées dans l’Espace économique européen (EEE).
Comment authentifier un paiement ?
Actuellement, la méthode la plus courante d’authentification d’un paiement par CB repose le 3D Secure, un standard d’authentification supporté par la grande majorité des cartes européennes. L’application de 3D Secure ajoute généralement une étape supplémentaire après le paiement, lorsque le titulaire de la carte est invité par sa banque à fournir des informations supplémentaires pour effectuer un paiement (par exemple, un code unique envoyé sur son téléphone portable ou une authentification par empreinte digitale via son application bancaire mobile).
Le 3D Secure 2
La nouvelle version du protocole d’authentification sera déployée en 2019. Celle-ci sera la principale méthode d’authentification des paiements par CB et répondra aux nouvelles exigences du SCA. Cette nouvelle version introduit une meilleure expérience utilisateur qui aidera à minimiser une partie de la friction que l’authentification ajoute dans le flux de paiement.
D’autres méthodes de paiement par carte, comme Apple Pay ou Google Pay, prennent déjà en charge les flux de paiement avec une couche d’authentification intégrée (biométrique ou mot de passe). Il s’agit d’une excellente façon pour les entreprises d’offrir une expérience de paiement sans friction tout en répondant aux nouvelles exigences.
Exemptions à l’authentification forte du client
En vertu de ce nouveau règlement, certains types de paiements à faible risque peuvent être exemptés de l’authentification forte. Les fournisseurs de paiement comme Stripe pourront demander ces exemptions lors du traitement du paiement. La banque du titulaire de la carte recevra alors la demande, évaluera le niveau de risque de la transaction et décidera finalement s’il y a lieu d’approuver l’exemption ou si l’authentification est toujours nécessaire.
L’intégration de l’authentification dans votre flux de paiement introduit une étape supplémentaire qui peut ajouter de la friction et augmenter le nombre de clients qui abandonnent leurs achats. L’utilisation d’exemptions pour les paiements à faible risque peut réduire le nombre de fois où vous devrez authentifier un client et réduire les frictions.
Ainsi, les nouveaux moyens de paiements STRIPE permettent d’optimiser et de minimiser le nombres de paiements avec forte authentification.
Les exemptions les plus pertinentes pour les e-commerce sont :
Opérations à faible risque
Un fournisseur de services de paiement (comme Stripe) sera autorisé à effectuer une analyse des risques en temps réel afin de déterminer s’il doit appliquer la SCA à une transaction.
Paiements inférieurs à 30 euros
Il s’agit d’une autre exemption qui peut être utilisée pour les paiements d’un faible montant. Les transactions inférieures à 30 euros seront considérées comme « de faible valeur » et pourront être exemptées de SCA. Les banques devront toutefois demander une authentification si l’exemption a été utilisée cinq fois depuis la dernière authentification réussie du titulaire de la carte ou si la somme des paiements précédemment dépasse 100 euros. La banque du titulaire de la carte devra faire le suivi du nombre de fois où cette exemption a été utilisée et décider si une authentification est nécessaire.
Opérations à l’initiative du commerçant (y compris les ABONNEMENT)
Les paiements effectués avec des cartes bancaires enregistrées lorsque le client n’est pas présent dans le flux de paiement (parfois appelé « hors session ») peuvent être considérés comme des transactions initiées par le commerçant. Techniquement, ces paiements n’entrent pas dans le champ d’application de SCA. Dans la pratique, le fait de marquer un paiement comme une » transaction initiée par le commerçant » sera semblable à une demande d’exemption. Et comme pour toute autre exemption, il appartiendra toujours à la banque de décider si l’authentification est nécessaire pour la transaction.
C’est le cas de votre abonnement à votre outil « boutique ».
La nouvelle API de Stripe vous permet d’authentifier une carte lorsqu’elle est sauvegardée pour une utilisation ultérieure et de marquer les paiements ultérieurs comme des « transactions initiées par le commerçant ».
Outre la prise en charge de nouvelles méthodes d’authentification telles que 3D Secure 2, nous pensons que le traitement réussi des exemptions deviendra un élément clé pour créer une expérience de paiement de première classe qui minimise les frictions. Nous nous attendons à ce qu’il y ait des différences dans la façon dont les organismes de réglementation nationaux et même les banques individuelles appuieront les exemptions et élaboreront des solutions pour optimiser ces processus de paiements.