Où en sommes-nous aujourd’hui ?

À l’approche du délai initial du 14 septembre 2019, un nombre croissant de pays européens se sont aperçus que bon nombre de leurs banques et entreprises nationales actives dans le domaine de l’e-commerce ne seraient pas en mesure de respecter cette date d’entrée en vigueur.

Selon les estimations, les boutiques en ligne européennes perdraient en moyenne 20 % de leurs bénéfices si elles ne remplissaient pas à temps les conditions nécessaires. C’est pourquoi l’Autorité bancaire européenne (ABE), responsable des NTR, a décidé d’autoriser un nouveau report.

La nouvelle et dernière date limite annoncée dans un avis de l'ABE est le 31 décembre 2020, et les autorités nationales compétentes (ANC) de toute l'Europe ont annoncé le report aux acteurs nationaux concernés de leurs pays respectifs, c'est-à-dire les banques, les prestataires de services de paiement et les boutiques en ligne.

Néanmoins, pour éviter tout scénario où la prolongation du délai encouragerait certaines parties à ne rien entreprendre jusqu’à l’approche imminente de la nouvelle date butoir, l’ABE a soumis le report à une condition : produire des plans de mise en œuvre concrets de l’AFC. Autrement dit, l’ABE s’est assurée de ne pas se retrouver à nouveau dans la même situation à la veille de la nouvelle date limite.

Enfin, il importe de souligner que, sur le plan technique, les commerçants et leurs fournisseurs de paiement devront être prêts au plus tard à la fin du premier semestre 2020, afin d’avoir suffisamment de temps pour tester la chaîne complète avec leurs acquéreurs, les schémas de paiement et les émetteurs. En effet, il est probable que les nouvelles règles fassent l’objet d’interprétations divergentes et que la mise au point prenne du temps, alors qu’elle doit être achevée avant l’hiver (avec son lot d’évènements spéciaux comme le Black Friday, le Singles Day et Noël).

Que se passera-t-il après le 31 décembre 2020 ?

À compter du 1er janvier 2021, Worldline ne traitera plus les opérations de paiement non conformes à la PSD2.

Toutes les transactions sont-elles concernées ?

Les ventes par correspondance et par téléphone (vente à distance), les paiements initiés par le commerçant et indépendants du client, ainsi que les transactions entre les titulaires de carte ou les acquéreurs commerçants en dehors de l’espace économique européen (par ex. la Suisse, et vice versa) ne sont pas soumis à la règle AFC des NTR.

Qu’adviendra-t-il de mes paiements par Bancontact

Les paiements par Bancontact bénéficient d’une authentification forte à 100 % et sont donc conformes à la cette nouvelle règlementation.

Pourquoi devez-vous agir maintenant ?

L’objectif de l’identification forte du client par le biais de 3-D Secure 2 est de réduire la fraude sur les paiements à distance, tout en améliorant considérablement la convivialité pour le titulaire de la carte, notamment en dotant l’émetteur (la banque du titulaire de la carte) de plus d’informations sur le contexte de la transaction afin qu’il puisse décider s’il convient ou non de procéder à l’authentification forte du titulaire de la carte.

Quels sont les avantages de 3-D Secure 2 ?

1. Si vous utilisez déjà 3-D Secure 1 pour toutes vos transactions, le basculement à 3-D Secure 2 vous permettra de bénéficier d’un parcours sans friction sur certaines de vos transactions. Ce protocole augmentera votre taux de conversion tout en vous protégeant de la fraude.
2. Si vous n’utilisez pas du tout 3-D Secure 1 (transactions « SSL » uniquement) ou si vous ne l’utilisez qu’en partie (3-D Secure dynamique), sachez que l’implémentation de 3-D Secure 1 ou de 3-D Secure 2 est obligatoire pour satisfaire au principe de l’AFC. Dans le cas contraire, un grand nombre de transactions non 3-D Secure risquent d’être refusées par les émetteurs. 3-D Secure 2 augmentera votre taux de conversion par rapport à 3-D Secure 1.

Quelles sont les nouveautés du protocole 3-D Secure 2 ?

Les principaux ajouts de 3-D Secure 2 sont les suivants :

• une expérience client plus fluide et plus intégrée, en particulier pour les applications mobiles ;
• de nouvelles méthodes d’authentification du côté de la banque du titulaire de la carte ;
• une gestion des exemptions et des paiements sans friction.

Dans quels cas y a-t-il exemption de l’authentification forte du client (AFC) pour les paiements en point de vente ?

Les NTR prévoient 2 possibilités d’exception pour les paiements de proximité :

• Transactions sans contact de faible valeur

L’exemption pour une transaction sans contact peut être invoquée :

➔ si le montant de la transaction est inférieur à 50 € ;
➔ si depuis la dernière transaction avec authentification forte du titulaire de la carte, le montant maximum de transactions sans contact, quel que soit le commerçant, ou le nombre de transactions sans contact ne dépasse pas un plafond (critères de vélocité) défini par les NTR-AFC (max. 150 € ou 5 transactions, au choix de l’émetteur, qui peut également abaisser ces plafonds).

• Transactions sur un terminal sans présence d’un commerçant pour le stationnement ou le transport

Une exemption de l’authentification forte du client s’applique aux transactions avec et sans contact pour le paiement de frais de transport ou de stationnement sur un terminal sans présence d’un commerçant. L’exemption peut être invoquée :

➔ si la transaction se fait via des MCC spécifiques ;
➔ si le montant de la transaction est inférieur à un montant de transaction maximum spécifié par les schémas de paiement (Mastercard et Visa). Pour les transactions d’un montant supérieur au montant maximum autorisé, il sera toujours procédé à une authentification forte du titulaire de la carte.

Dans quels cas y a-t-il exemption de l’authentification forte du client (AFC) pour les paiements à distance ?

Les NTR prévoient 5 possibilités d’exemption pour les paiements d’achats à distance (e-commerce) :

• Bénéficiaires de confiance ou liste blanche (non applicable au commerçant)

La liste blanche consiste en l’option, pour un titulaire de carte, de désigner à l’émetteur de sa carte, en général sa banque, un commerçant en qui il a confiance et pour lequel il ne souhaite pas effectuer une authentification forte lors de l’exécution d’une transaction à distance, à condition que ce dernier réponde aux critères de sécurité établis par la banque.

• Transactions récurrentes

Une exemption de l’authentification forte du client s’applique pour les séries de transactions à distance d’un même montant vers le même bénéficiaire. Cependant, l’authentification forte du client est requise pour la première transaction (le contrat) ou à chaque modification des conditions de la série.

• Transactions de faible valeur

Une exemption de l’authentification forte du client pour un paiement à distance de faible valeur peut être invoquée :

➔ si le montant de la transaction est inférieur à 30 € ;
➔ si depuis la dernière transaction avec authentification forte du titulaire de la carte, le montant maximum de transactions à distance de faible valeur, quel que soit le commerçant, ou le nombre de transactions à distance de faible valeur ne dépasse pas un plafond (critères de vélocité) défini par les NTR-AFC (max. 100 € ou 5 transactions, au choix de l’émetteur, qui peut également abaisser les plafonds).

• Paiements d’entreprises sûrs (pas applicable au commerçant)

Il existe également des exemptions pour les paiements initiés par des entreprises avec un débit du compte d’entreprise (par exemple les cartes logées, les comptes centralisés et les cartes virtuelles). En revanche, les cartes d’entreprise (avec débit du compte bancaire du salarié sous certaines conditions) sont assimilées à des transactions B2C et ne relèvent pas de cette exemption particulière.

• Analyse des risques transactionnels

L’exemption de l’authentification forte du client pour une transaction à distance appelée « analyse des risques » peut être invoquée par l’acquéreur (au nom du commerçant) et par l’émetteur si les deux conditions suivantes sont remplies :

➔ La transaction est déclarée sûre (par ex. pas d’infection du poste de travail de l’utilisateur par un programme malveillant, pas de dépenses anormales du payeur, localisation du payeur, historique des transactions, etc.).
➔ Le taux de fraude (pour les transactions à distance) de l’établissement de paiement (pour l’acquéreur bancaire et l’émetteur bancaire, mais pas pour le commerçant ou son PSP) est inférieur à certains plafonds déterminés :

➩ 0,13 % si le montant de la transaction est inférieur à 100 € ;
➩ 0,06 % si le montant de la transaction est inférieur à 250 € ;
➩ 0,01 % si le montant de la transaction est inférieur à 500 € ;
➩ Exemption non applicable aux transactions supérieures à 500 €.

Que se passe-t-il si l’exemption n’est pas accordée ?

Les exemptions ne sont pas systématiques et même si les conditions d’exemption sont remplies, la décision finale appartient à l’émetteur (la banque du titulaire de la carte), qui peut ou non l’accorder. L’émetteur enverra un « soft decline » pour le paiement, ce qui entraînera une nouvelle soumission du paiement et une demande d’authentification forte de la part du titulaire de la carte.

Quand le protocole 3-D Secure 2 sera-t-il mis en œuvre ?

L’implémentation du protocole 3-D Secure 2, qui requiert des changements sur toute la chaîne de paiement électronique, sera effectuée progressivement en fonction des diverses parties prenantes (module de paiement, banques commerciales, réseaux, banques émettrices). Nous vous conseillons de contacter dès que possible le fournisseur de votre page de paiement (PSP) pour savoir s’il est déjà en mesure de vous aider dans la mise en œuvre de 3-D Secure 2.

Quand 3-D Secure 1 arrivera-t-il à échéance ?

La fin de 3-D Secure 1 est prévue pour décembre 2020 pour Visa et MasterCard.

Qu’adviendra-t-il des transactions récurrentes ultérieures si la première transaction a été effectuée sans AFC avant le 31 décembre ?

En tant qu’acquéreur, Worldline ne bloquera pas les transactions ultérieures à une transaction initiale effectuée avant le 31 décembre, mais continuera d’accepter ces transactions subséquentes. Pour les paiements récurrents effectués après le 31 décembre, Worldline conseille de procéder à une AFC pour le premier paiement et de mentionner celui-ci en référence des transactions ultérieures afin de garder le même taux d’approbation.

Le régulateur national de mon pays a approuvé une phase de transition pour l’AFC. Qu’est-ce que cela signifie pour mon entreprise ?

Les régulateurs nationaux surveillent les activités des acquéreurs et émetteurs locaux. Pour le commerçant, toutefois, il importe surtout de savoir où se situe cet acquéreur, car c’est de cela que dépendra l’éventuelle application d’une phase de transition. De plus, nous recommandons aux commerçants présents à l’international de consulter les règlements des pays où ils font affaire. En effet, certains émetteurs européens seront obligés de se conformer à l’AFC à partir du 14 septembre. Par conséquent, il est probable qu’ils refusent les transactions par carte effectuées sans 3-D Secure.

Que faire si vous avez choisi Worldline Sips comme solution de paiement en ligne ?

La page de paiement sécurisée Sips de Worldline applique déjà la reconnaissance plus rigoureuse du titulaire de carte via le protocole 3-D Secure 1.0. Bien que le protocole 3-D Secure 1.0 réponde encore actuellement aux nouvelles directives, votre page de paiement migrera automatiquement vers le protocole 3-D Secure 2.X avant l’été 2020. Vous ne devez donc rien faire.