La DSP2 (Directive sur les Services de Paiement 2) est une directive européenne mise en application depuis le 13 janvier 2018 dont l’objectif est d’augmenter la sécurité des transactions en ligne. Dans ce cadre, le 14 septembre prochain verra la mise en place graduelle d’un nouveau standard de 3-D Secure : le 3-D Secure 2.0.
Ceci aura nécessairement un certain nombre d’implications pour les banques de vos clients, les solutions de paiement et votre boutique. Pour vous accompagner dans leur compréhension, j’accueille aujourd’hui la solution Payplug qui va revenir sur ce qu’est la DSP2 ainsi que sur les outils et concepts clés à maîtriser afin de continuer à fluidifier au maximum l’étape du paiement pour vos clients.
Il en va de la sauvegarde du taux de conversion de votre site et donc de votre chiffre d’affaires !
Qu’est-ce que la DSP2 ?03
Aujourd’hui, c’est le 3-D Secure (1.0) qui permet de s’assurer que la personne qui paye sur votre boutique est bien la propriétaire de la carte bancaire utilisée. Comment cela fonctionne ? Le porteur de carte reçoit généralement un code par SMS et le renseigne dans une fenêtre prévue à cet effet, afin de terminer l’achat.
Vous l’avez certainement déjà rempli vous-même en réalisant un achat en ligne. Certaines banques demandent aussi de déverrouiller l’application et de cocher une case, d’autres encore de renseigner un code obtenu en passant la carte bancaire dans un petit boîtier possédé par votre acheteur.
Lorsque la DSP2 sera appliquée par tous les acteurs du paiement, l’authentification du porteur de carte se fera de manière différente : pour faire simple, il s’agira d’une authentification passive ou active du porteur de carte.
L’authentification passive (ou sans friction)
L’authentification de votre client en tant que porteur de carte se fera sans aucune action de la part de celui-ci : les informations échangées entre la solution de paiement et la banque de votre client suffiront pour lui permettre de passer commande sans étape d’authentification spécifique.
Justement, la DSP2 impose aux banques et aux solutions de paiement d’échanger un plus grand nombre d’informations qu’actuellement, comme l’adresse de livraison ou de facturation pour la commande, dans le but que ce type d’authentification soit le plus répandu possible.
L’authentification active (ou forte)
l’authentification du porteur de carte se fera nécessairement grâce à l’action de votre client, par exemple en entrant un mot de passe, en utilisant une empreinte digitale ou la reconnaissance faciale.
En tous cas, elle se basera sur 2 de ces 3 facteurs : “quelque chose que l’utilisateur connaît” (un mot de passe par exemple), “quelque chose que l’utilisateur possède” (un téléphone ou un ordinateur) et “quelque chose que l’utilisateur est” (une empreinte digitale ou une reconnaissance faciale). Jusqu’ici, le 3-D Secure 1.0 prenait en compte seulement 1 facteur sur les 3. D’où la nécessité de concevoir le 3-D Secure 2.0.
L’authentification sera soit active, soit passive
Le choix entre les deux types d’authentification se fera de manière automatique : votre solution de paiement “demandera” l’une ou l’autre en fonction du niveau de risque estimé de la transaction, et en fin de parcours, c’est la banque de votre client qui acceptera (ou non) le type d’authentification suggéré.
Ceci permet de mettre en lumière l’importance d’avoir à vos côté une solution de paiement qui entretient une relation de proximité avec la banque émettrice (c’est à dire la banque de vos clients). D’autant plus qu’il est probable que des programmes partenaires se mettent en place, renforçant les liens entre tous les membres du réseau bancaire, afin de favoriser l’application de l’authentification sans friction.
Important : pour maximiser votre taux de conversion, vous devrez faire le nécessaire pour obtenir majoritairement des authentifications passives sur vos transactions.
Comment optimiser l’expérience utilisateur avec la DSP2 ?
Nous allons maintenant voir ensemble les moyens à votre disposition pour optimiser l’expérience de vos clients tout en maîtrisant votre niveau de risque.
Dotez-vous des bons outils pour simplifier l’expérience d’achat de vos clients
Pour simplifier l’expérience d’achat de vos clients au moment du paiement, vous connaissez peut-être déjà un certain nombre de méthodes : ne pas proposer plus de trois moyens de paiement différents, vous assurer de présenter une page de paiement qui s’affiche parfaitement sur mobile, qui offre des éléments de réassurance…
Avec l’arrivée de la Directive sur les Services de Paiements 2, vous devrez également penser à d’autres éléments. En voici deux majeurs :
- Votre solution de paiement doit pouvoir échanger un certain nombre de données clés avec les banques de vos clients.
- Vous devriez songer à mettre en place un outil intelligent de prévention contre la fraude.
Comme expliqué un peu plus haut, au plus votre solution de paiement échange des informations avec les banques de vos clients, au plus celles-ci seront “rassurées” sur la sécurité de la transaction à venir. Cela signifiera pour vous un maximum de transactions réalisées de manière transparente pour votre client … et donc une meilleure conversion de vos ventes.
Les informations échangées automatiquement incluront par exemple : les adresse de livraison et de facturation, des informations sur la nature de la transaction ou même sur l’appareil utilisé. La banque de votre client sera ainsi en mesure, par exemple, de déterminer si celui-ci réalise une transaction avec son téléphone habituel en se faisant livrer à son adresse.
Nous vous conseillons donc de contacter votre solution de paiement et de lui demander si elle est bien au fait des informations à échanger avec les banques émettrices.
Dans ce même but de favoriser les authentifications sans friction, il devient presque nécessaire pour vous d’utiliser un système intelligent de détection de la fraude : ce type d’outil permet d’identifier, avant qu’une transaction ne soit réalisée, son niveau de risque. Les plus perfectionnés fonctionnent grâce à des technologies de pointe comme le machine learning.
Le Smart 3-D Secure, développé par PayPlug, fonctionne par exemple sur ce modèle. Il sera ainsi capable de prévoir avec justesse le type d’authentification à appliquer (forte pour les transactions qui semblent présenter un risque de fraude, sans friction pour les autres).
Dans cette situation, lorsque votre solution de paiement (qui dispose d’un tel outil) “demandera” une authentification sans friction par exemple, il y a plus de chance que la banque accepte cette recommandation puisque celles émanant de cette solution de paiement sont généralement pertinentes. De manière plus simple : cela vous permettra, sans risque, de bénéficier plus souvent d’authentification sans friction, et ainsi d’augmenter votre taux de conversion.
En parallèle, grâce aux vérifications de votre solution de paiement (via son moteur de fraude intelligent) et à celles de la banque, vous êtes doublement protégé contre la fraude.
Ayez une parfaite connaissance des transferts de responsabilité en cas d’impayés
Aujourd’hui, lorsque l’un de vos acheteurs conteste un paiement réalisé sans 3-D Secure, la responsabilité du remboursement vous incombe. Après la mise en place de la DSP2, vous devriez avoir moins d’impayés à gérer.
En effet, l’authentification, plus forte qu’actuellement, limitera encore plus le nombre de fraudes, l’une des raisons principales des impayés aujourd’hui. Cela étant dit, il vous faut connaître sur le bout des doigts les transferts de responsabilité dans les différents cas :
Type d’authentification demandée par votre boutique | Décision de la banque de votre client | Responsabilité |
Authentification passive | Authentification passive | Votre boutique |
Authentification passive ? | Authentification forte | Banque de votre client |
Authentification forte | Authentification forte | Banque de votre client |
Authentification forte | Authentification passive | Banque de votre client |
Nous avons mis en avant deux points d’attention dans le tableau (en rouge) :
- Vous ne prenez un risque que lorsque vous demandez une authentification sans friction (passive) et que la banque de votre client accepte (c’est la première ligne du tableau)
- Ce n’est pas parce que vous ne voyez pas d’authentification forte pour une transaction donnée sur votre site que vous n’êtes pas protégé (c’est la dernière ligne du tableau).
Ceci permet d’appuyer sur un message clé : si votre solution de paiement ne dispose pas d’un outil de détection de fraude intelligent et demande donc toujours une authentification sans friction à la banque de vos clients afin de fluidifier au maximum l’étape d’achat sur votre boutique, vous prenez le risque au contraire de voir le nombre d’impayés augmenter sur votre boutique.
Maîtrisez les implications de la DSP2 sur les différentes facilités de paiement proposées
Pour satisfaire vos visiteurs et clients, vous proposez peut-être plusieurs facilités de paiement sur votre boutique : le paiement en un clic, le paiement en plusieurs fois ou encore le paiement différé (à la livraison). C’est une excellente idée !
Sachez néanmoins que la DSP2 aura des conséquences sur certains d’entre eux.
Le paiement en un clic
À partir de la mise en place complète de la DSP2, le paiement en un clic se fera désormais plutôt en deux ou trois clics. En effet, si aujourd’hui le 3-D Secure n’était jamais appliqué sur une transaction de ce type (une fois la carte de paiement enregistrée lors d’un premier achat), il le sera parfois lorsque la DSP2 sera appliqué par tous les membres du réseau bancaire.
En cas d’authentification forte, votre client cliquera sur “payer” puis sera dirigé vers une fenêtre afin de remplir une information (à la date de publication de l’article, le type d’information demandé n’est pas encore connu).
Aujourd’hui, les informations demandées dans cette fenêtre pour ce type de transaction sont actuellement conçue par les banques elles-mêmes. Votre solution de paiement, de son côté, devra faire son maximum pour que cette fenêtre donne l’impression à votre client de rester dans l’environnement de votre boutique, par exemple en affichant cette fenêtre en surimpression sur la dernière page consultée sur la boutique elle-même dans le cas d’une visite de votre boutique sur ordinateur.
Dans tous les cas, les banques et les marques de cartes bancaires font actuellement tout leur possible pour que cette étape soit moins complexe que le 3-D Secure actuel.
En cas d’authentification sans friction, l’expérience de paiement sera la même qu’aujourd’hui.
Le paiement en plusieurs fois
Pour que cette fonctionnalité soit compatible avec la DSP2, il faut que votre solution de paiement soit en mesure de prouver à la banque de votre client que celui-ci a déjà été identifié lors de la première transaction pour éviter qu’une authentification forte soit demandée à chaque échéance. Pas besoin de rentrer ici dans des détails plus techniques : contactez simplement votre solution de paiement pour vous assurer qu’elle a prévu ce type de cas dans la mise à jour de son module.
Le paiement différé
La DSP2 n’aura pas de conséquence particulière sur vos transactions en paiement différé : comme pour un paiement réalisé sur le moment, un choix automatique sera fait entre authentification sans friction ou forte, sans action requise de votre part ni de celle de votre client.
Pensez à vérifier les fonctionnalités de votre solution de paiement actuelle
En conclusion, en tant qu’e-commerçant, ce qui est essentiel est de vérifier que votre solution de paiement propose les fonctionnalités techniques les plus avancées au regard de ce que les banques de vos clients proposent. Cela permettra une communication très fluide entre elles et garantira à votre boutique de maintenir un fort taux de conversion.
Pour information :
En juillet dernier, suite à une publication de l’Autorité Bancaire Européenne, la Banque de France a annoncé un planning de déploiement graduel à partir du 14 septembre pour la mise en conformité des acteurs soumis à la Directive Européenne sur les Services de Paiement 2.
Cela impliquera nécessairement une cohabitation temporaire du 3-D Secure 1.0 et 2.0 donc votre solution de paiement doit suivre les évolutions techniques au plus prêt possible des décisions prises par les autorités bancaires tout au long de cette phrase de transition et vous accompagner au mieux.