Contenu
Pour renforcer la protection des clients lors de paiements à distance, la DSP2 rend obligatoire l'authentification SCA (Strong Customer Authentication) du porteur pour tout paiement électronique qu'il initie. Tous les cas de paiements initiés par le porteur entrent dans le champ d’application des RTS : Paiement à la commande Paiement à l’expédition Paiement sur un site e-commerce Paiement 3X-4X Sont exclus du champ d’application : 5 exemptions à l’obligation d’authentification forte pour les paiements carte ont été fixés par l’ABE Paiement de faible montant Whitelisting (bénéficiaire de confiance) Analyse par les risques Paiement récurrent Protocoles de paiement sécurisés par les entreprises Cette exemption concerne tous les paiements dont le montant est inférieur ou égal à 30€, sauf si le montant cumulé est supérieur à 100€ ou si 5 transactions ont eu lieu consécutivement depuis la dernière authentification forte. Selon le GIE CB cela concerne 53% des transactions en volume. Une liste de bénéficiaires de confiance est déclarée auprès de la banque du porteur. Cette dernière pourra donc exempter d’authentification forte toutes les transactions entre le porteur et ses bénéficiaires. A noter que la création ou la modification de la liste déclenchera une SCA. Pour les commerçants cette exemption est très intéressante car elle s’applique pour les montants supérieurs à 100€ qui représentent 15% des transactions en volume et 30% en montant. Son application pourrait permettre de maintenir les parcours d’achat pour les paiements one-click, cependant sa mise en œuvre n’est pas encore définie à ce jour par les émetteurs. Une analyse de risque de la transaction est réalisée par l’émetteur à la condition que le taux de fraude de l’émetteur (et éventuellement de l’acquéreur) soit sous les seuils définis par les RTS SCA. Le taux de fraude est calculé en divisant le montant total de l’ensemble des transactions à distance frauduleuses ou non autorisées par le montant total de l’ensemble des transactions à distance effectuées au moyen de l’instrument de paiement en question, qu’il y ait ou non authentification forte, sur une base de 90 jours. L’émetteur ne peut plus utiliser l’exemption pour un instrument de paiement donné si le taux de fraude excède celui fixé pour les transactions de 100 euros pendant plus de 180 jours. Il ne pourra retrouver cette faculté que lorsque le taux sera repassé en dehors du seuil pendant plus de 90 jours. Calcul trimestriel du taux de fraude par type de transaction Taux de fraude = [valeur totale des transactions non autorisées par le payeur ou frauduleuse] / [valeur totale des transactions] Plafond d’exemption Paiements cartes à distance 500€ 0.01% 250€ 0.06% 100€ 0.13% Les transactions en dessous de 100€ représentent 85% des transactions en volume, l’objectif pour tous les acteurs (banques, commerçants) est de collaborer afin de maintenir le taux de fraude en dessous des 0.13%. Pour cela l’analyse de risque réalisée par le marchand (qui a une très bonne connaissance de ses clients) sera nécessairement prise en compte par l’émetteur lors de sa prise de décision d’application d’une SCA. Dans le cas où un payeur crée, modifie ou initie pour la première fois une série d’opérations récurrentes ayant le même montant et le même bénéficiaire, une authentification forte sera réalisée uniquement sur la première opération. Les suivantes entreront dans le cadre de l’exemption. Exemples d’application : abonnement de type musique en ligne, vidéo à la demande, dating. Cette exemption concerne les paiements initiés par des payeurs « personnes morales » ayant des processus spécifiques de sécurisation.RTS SCA
Type de paiement Cas d’usage Paiement fractionné Abonnement Abonnement montant total connu à la commande Transactions hors scope
Type de paiement Cas d’usage Paiement complémentaire Paiement des suppléments facture d’hôtel après le checkout Paiement no show Réservation d’une location non réalisée Abonnement montant variable ou sans échéance Abonnement téléphone-internet Abonnement montant fixe sans échéance Abonnement chaine de streaming Les exemptions
Liste des exemptions Paiement de faible montant
Whitelisting
Analyse par les risques
Paiement récurrent (abonnement)
Protocoles de paiement sécurisés par les entreprises