E-commerçants, soyez prêts pour la DSP2 : l'authentification forte obligatoire fin 2020

La DSP2 est la Directive Européenne sur les Services de Paiement 2ème version. Initialement prévue pour le 14 septembre 2019, puis repoussée à mars 2020, la DSP2 est de retour en cette fin d'année 2020. Elle vient remplacer la DSP1 établit en 2013. 

Cette nouvelle directive vise à renforcer la protection des consommateurs. Il s'agit de renforcer la sécurité des paiements en ligne afin de lutter contre la fraude et l'usurpation d'identité. En instaurant un cadre juridique pour mieux protéger les banques et leurs clients face à la fraude, lors d'opérations effectuées depuis un compte bancaire.

Actuellement, un achat en ligne est soumis au système 3D Secure. Il s'agit d'un protocole de sécurité pour les paiements en ligne par carte bancaire. Ce système contre la fraude permet d'authentifier l'utilisateur lors de son achat en ligne. Cette procédure d'authentification vise à s'assurer que le consommateur qui effectue le paiement sur Internet est bien le porteur de la carte bancaire utilisée. Lors d'un achat en ligne, le consommateur est redirigé automatiquement vers le site de son établissement bancaire, avec le procédé d’authentification pour confirmer son identité. Il doit alors renseigner un code à usage unique, envoyé par SMS par sa banque.

La DSP2 estime à présent que ce contrôle n’est plus suffisant. Avant la fin d'année 2020, les e-commerçants auront l’obligation de permettre aux banques et solutions de paiement d’établir une authentification plus forte pour le paiement en ligne, grâce au 3D Secure 2.0. De manière à sécuriser davantage les achats en ligne.

L’authentification forte est une procédure qui permet de vérifier l’identité d’un client. De façon à permettre la validation du paiement en ligne et la finalisation de l'achat. La DSP2 impose dorénanvant l'authentification forte du client, via le procédé Strong Consumer Authentification (SCA). Cette nouvelle exigence européenne vise à renforcer la sécurité des paiements en ligne et à réduire la fraude.

L'authentification forte nécessite deux facteurs d'identification obligatoires, parmi les trois facteurs d’authentification possibles :

• La connaissance : une information que seul l’utilisateur connaît (un mot de passe, un code PIN, etc).
• La possession : une information que seul l’utilisateur possède (un mot de passe à usage unique, un téléphone, une clé USB, etc).
• La caractéristique personnelle : une information ou un élément qui caractérise l’utilisateur (une empreinte digitale, une reconnaissance vocale ou faciale par exemple).

Cette nouvelle version du 3D Secure 2.0 devra être mis en place par les banques et les prestataires de paiement. 

En tant qu'e-commerçant, vous devez vérifier auprès de votre banque que votre contrat VAD supporte bien les transactions 3D Secure. Vous devez ensuite vous assurer que votre solution de paiement est bien conforme à la DSP2. Il vous suffit de vous rapprocher de votre établissement bancaire ou de votre prestataire de paiement pour savoir s'ils mettent en place l'authentification forte avec grâce au 3D Secure 2.0. Vous devrez ensuite suivre ses recommandations, de façon à adapter la solution de paiement de votre boutique en ligne.

Si votre banque ou votre prestataire de paiement propose le 3D Secure 2.0, il est possible que vous deviez changer votre API. Il suffira certainement de la mettre à jour. Cela dépendra de votre solution de paiement. 

Heureusement, la grande majorité des établissements bancaires proposent le 3D Secure 2.0. Cependant, si votre prestataire de paiement ne propose pas le 3D Secure 2.0, vous devez obligatoirement mettre en place le 3D Secure 1.0, et ce pour tous les paiements. 

Ces démarches doivent être mises en oeuvres avant fin 2020. Nous vous invitons à vous rapprocher de votre solution de paiement rapidement, pour vous assurer que celle-ci propose bien l'authentification forte avec le 3D Secure 2.0. Et ainsi mettre votre site e-commerce en conformité avec la DSP2. 

Chez e-monsite, nous vous proposons plusieurs solutions de paiement en ligne. Payplug, Paypal, Paybox (Verifone), et Stripe sont déjà conformes à la DSP2. Rapprochez-vous de ces prestataires de paiement, pour savoir comment mettre en place l'authentification forte avec le 3D Secure 2.0 sur votre boutique en ligne.