Extrait | |||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
RTS SCAet 3DSPour renforcer la protection des clients lors de paiements à distance, la DSP2 rend obligatoire l'authentification SCA (Strong Customer Authentication) du porteur pour tout paiement électronique qu'il initie. Tous les cas de paiements initiés par le porteur entrent dans le champ d’application des RTS :
Transactions hors scopeSont exclus du champ d’application :
L'authentification 3DSecure version V1 et V2 répond aux exigences des RTS - SCA L'authentification 3DS V1 reste possible jusqu'à la fin 2020. A partir de 2021, toutes les authentifications 3DS doivent utiliser la version 2 .Les exemptions5 exemptions à l’obligation d’authentification forte pour les paiements carte ont été fixés par l’ABE :
Paiement de faible montantCette exemption concerne tous les paiements dont le montant est inférieur ou égal à 30€, sauf si le montant cumulé est supérieur à 100€ ou si 5 transactions ont eu lieu consécutivement depuis la dernière authentification forte. Selon le GIE CB cela concerne 53% des transactions en volume. WhitelistingUne liste de bénéficiaires de confiance est déclarée auprès de la banque du porteur. Cette dernière pourra donc exempter d’authentification forte toutes les transactions entre le porteur et ses bénéficiaires. A noter que la création ou la modification de la liste déclenchera une SCA. Pour les commerçants cette exemption est très intéressante car elle s’applique pour les montants supérieurs à 100€ qui représentent 15% des transactions en volume et 30% en montant. Son application pourrait permettre de maintenir les parcours d’achat pour les paiements one-click, cependant sa mise en œuvre n’est pas encore définie à ce jour par les émetteurs. Analyse par les risquesUne analyse de risque de la transaction est réalisée par l’émetteur à la condition que le taux de fraude de l’émetteur (et éventuellement de l’acquéreur) soit sous les seuils définis par les RTS SCA. Le taux de fraude est calculé en divisant le montant total de l’ensemble des transactions à distance frauduleuses ou non autorisées par le montant total de l’ensemble des transactions à distance effectuées au moyen de l’instrument de paiement en question, qu’il y ait ou non authentification forte, sur une base de 90 jours. L’émetteur ne peut plus utiliser l’exemption pour un instrument de paiement donné si le taux de fraude excède celui fixé pour les transactions de 100 euros pendant plus de 180 jours. Il ne pourra retrouver cette faculté que lorsque le taux sera repassé en dehors du seuil pendant plus de 90 jours. Calcul trimestriel du taux de fraude par type de transaction Taux de fraude = [valeur totale des transactions non autorisées par le payeur ou frauduleuse] / [valeur totale des transactions]
Les transactions en dessous de 100€ représentent 85% des transactions en volume, l’objectif pour tous les acteurs (banques, commerçants) est de collaborer afin de maintenir le taux de fraude en dessous des 0.13%. Pour cela l’analyse de risque réalisée par le marchand (qui a une très bonne connaissance de ses clients) sera nécessairement prise en compte par l’émetteur lors de sa prise de décision d’application d’une SCA. Paiement récurrent (abonnement)Dans le cas où un payeur crée, modifie ou initie pour la première fois une série d’opérations récurrentes ayant le même montant et le même bénéficiaire, une authentification forte sera réalisée uniquement sur la première opération. Les suivantes entreront dans le cadre de l’exemption. Exemples d’application : abonnement de type musique en ligne, vidéo à la demande, dating. Protocoles de paiement sécurisés par les entreprisesCette exemption concerne les paiements initiés par des payeurs « personnes morales » ayant des processus spécifiques de sécurisation.
|