Suivant la réglementation DSP2, l’authentification 3DSecure2 permet de proposer des solutions fiables et sécurisées. Elle intervient avant la validation du paiement. Elle vérifie que le porteur de la carte bancaire qui règle l’achat est bien la même personne qui passe commande, sans interaction avec l’acheteur. Découvrons ensemble quel est ce nouveau dispositif et comment peut-il vous être bénéfique tout en luttant contre les fraudes.
Comprendre la DSP2
La DSP2 (Seconde Directive sur les Services de Paiements), est une directive européenne concernant les services de paiement. Elle a pour but de protéger les banques, les fintechs et les marchands contre la fraude. En effet, elle impose aux banques de nouvelles règles d’authentification forte notamment lors des opérations effectuées depuis un compte bancaire. Une authentification est considérée forte à partir du moment où elle demande un élément que seul l’acheteur connait ou possède (mot de passe, empreinte digitale…).
Qu’est-ce-que l’authentification 3DSecure 2 ?
Lors d’un achat, l’authentification du porteur de la carte est un élément clés. Le 3DSecure s’occupe de cette étape : vérifier que le porteur de la carte est bien celui qui passe commande. Cela se fait grâce à une authentification forte, où l’acheteur doit interagir : il reçoit une notification l’invitant à se connecter sur son espace de banque en ligne pour confirmer son identité. Avec le 3DSecure 2, il est possible d’éviter de solliciter l’acheteur dans certains cas. Pour se faire, lors de la demande de paiement, le marchand doit demander une authentification frictionless.
Lors de ces quelques secondes, c’est la banque émettrice, de l’acheteur, qui va assurer l’authentification : elle vérifie les données du panier, de l’acheteur, de livraison, du moyen de paiement… Si durant l’authentification la banque détecte un risque de fraude ou d’exemption, alors elle déclenche automatiquement la demande d’une authentification forte. C’est donc grâce à la transmission de données que la banque émettrice peut juger de la criticité de la transaction et ainsi demander ou non une authentification renforcée. Grâce au 3DSecure 2, proposez un parcours client optimal tout en sécurisant vos paiements.
Certifications 3DS2
Dans le cadre du 3DS2 et pour des raisons évidentes de maîtrise du parcours de paiement, un prestataire de paiement doit obtenir l’ensemble des certifications en direct et non via un fournisseur. Sans cela, votre taux de conversion risque d’être impacté fortement.
Les différents agréments 3DS2 indispensables
- EMVCO : Certification socle. C’est la première étape pour s’assurer que la solution est 3DS2 compliant pour American Express, Discover, JCB, Mastercard, Visa…
Vérifiez que votre prestataire de paiement soit certifié
À la suite de cette première certification, une seconde est demandée pour chaque réseau carte, tel que :
- CB : Certification émise par le GIE Carte Bancaire.
- Visa : Certification nommée « EMV 3DS compliant ». Vérifiez que votre prestataire de paiement soit certifié
- Mastercard : Certification « 3DS server ». Vérifiez que votre prestataire de paiement soit certifié
- AMEX : Certification « Safekey » définie par American Express. Vérifiez que votre prestataire de paiement soit certifié
- Diners : Certification « ProtectBuy » pour les paiements via Diners Club International
Lyra & le 3DS2
Lyra a été la première plateforme française à obtenir la certification 3DSecure 2 EMVCO et Mastercard. L’aboutissement de plusieurs années de préparation pour garantir une mise en conformité dans les règles de l’art à nos 200 000 clients en France et à l’étranger.
3DS 2 > Softdecline & Retry
Depuis le 15 mai 2021, les paiements en ligne se doivent d’être conformes aux nouvelles directives réglementaires « DSP2 » qui se caractérisent par la mise en place d’un système d’authentification forte (3DS 2) permettant de s’assurer de l’identification de l’acheteur.
Même si les transactions en dessous de 30€ ne sont normalement pas concernés (excepté si l’acheteur a réalisé plus de 5 transactions ou que le montant cumulé de ses achats sur la journée dépasse 100€), dans les faits l’émetteur de la carte peut demander une authentification forte de l’acheteur dès 0 euros. Si la demande d’autorisation lui parvient sans les données d’authentification, il peut renvoyer un code retour dit de Soft Decline.
Ce code ne signifie pas que le paiement est définitivement refusé. Il offre une 2ème chance à la plateforme de paiement qui doit initier une authentification de l’acheteur avant de demander une nouvelle autorisation.
Le retry automatique : l’outil indispensable pour limiter les abandons de panier
Chez Lyra, si une demande de paiement reçoit un retour « Softdecline », une nouvelle tentative est émise automatiquement avec cette fois-ci une demande d’authentification.
Le protocole 3DS est activé et une session d’authentification est automatiquement lancée. L’acheteur ne se rend pas compte que la première autorisation a émis un code « softdecline ». Son parcours de paiement reste fluide et identique à un paiement classique avec authentification qu’il connait bien (authentification sur le serveur de sa banque).
Si l’authentification est positive, la 2ème demande d’autorisation est envoyée. Cette dernière sera acceptée si bien sûr les conditions tel qu’un solde positif ou plafond de la carte suffisant sont réunis.
Une richesse de données pour suivre vos garanties de paiement
Lyra vous donne une visibilité totale et de nombreux détails sur le déroulement de chaque transaction. Il vous est donc facilement possible de connaitre le statut de votre garantie sur un paiement (si ce dernier a bénéficié du retry automatique par exemple ou bien pourquoi il a été refusé).
Des infos essentielles pour vous assurer un passage maîtrisé vers la généralisation du protocole 3D secure2.