L'entrée en vigueur de l'authentification forte du client (SCA) dans tous les pays d'Europe éligibles marque un tournant dans le secteur des paiements.
Afin de satisfaire aux nouvelles exigences, une authentification à deux facteurs est requise pour les paiements électroniques et pour l'accès aux comptes de paiement. En l'absence d'authentification, un grand nombre de paiements seront refusés par les banques de vos clients. Nous avons conçu des API de paiement pour aider les entreprises à appréhender ce changement et à tirer parti de toutes les exemptions de la SCA. Le moteur d'authentification de Stripe sélectionne automatiquement le flux optimal pour chaque transaction afin de favoriser les conversions tout en minimisant la fraude.
Ce guide vous aidera à comprendre pourquoi certains tunnels de paiement ont été modifiés en raison de la SCA et à adapter les vôtres en conséquence.
RESTEZ INFORMÉ
Nous collaborons avec les autorités de contrôle et les experts du secteur des paiements en général. Si vous souhaitez en savoir plus concernant les réglementations en vigueur et nos produits, veuillez consulter notre guide récent sur la DSP3 ou nous contacter.
Évolution des paiements par carte bancaire en ligne
Les paiements traditionnels par carte se font généralement en deux étapes : l'autorisation et la capture. Un paiement est autorisé lorsque la banque ou l'émetteur de la carte d'un client décide de l'approuver, et il est effectif au moment où la carte est débitée.
Avec la SCA, une autre étape obligatoire intervient avant l'autorisation et la capture : l'authentification. Cette étape a pour objectif de protéger les clients en prévenant la fraude. Pour authentifier un paiement, un client répond à une invite de sa banque à fournir des informations supplémentaires. Ce peut être un élément qu'il connaît, comme un mot de passe, un élément qu'il utilise, comme son téléphone, ou un élément qui l'identifie, comme son empreinte digitale.
La méthode d'authentification des paiements par carte en ligne la plus courante s'appelle 3D Secure. Vous connaissez peut-être 3D Secure sous ses dénominations commerciales comme « Visa Secure » ou « Mastercard Identity Check ». Sa nouvelle version, 3D Secure 2, est devenue la méthode standard d'authentification des paiements. Les différences entre ces méthodes sont expliquées dans notre guide relatif à 3D Secure 2. Nos produits prêts pour la SCA prennent tous cette nouvelle version en charge.
Quelle que soit la méthode que vous utilisez, les clients doivent être connectés à votre site Web ou à votre application pour s'identifier. L'ajout de cette étape est généralement plus simple pour les entreprises qui débitent leurs clients immédiatement, et plus complexe pour celles qui les débitent après qu'ils ont quitté le tunnel de paiement (c'est-à-dire hors session).
Les scénarios présentés dans ce guide illustrent la façon dont ces trois étapes (authentification, autorisation et capture) peuvent varier en fonction du moment où vous débitez vos clients et de la façon dont vous le faites.
AUTHENTIFICATION
Pour authentifier un paiement en ligne, un client répond à une invite 3D Secure de sa banque et fournit les informations complémentaires. Découvrez 3D Secure à travers la perspective client.
L'authentification multifacteur est nécessaire lorsqu'un paiement n'est pas admissible à une exemption ou lorsque cette dernière est refusée par la banque du client. Nos nouvelles API de paiements sollicitent automatiquement les exemptions admissibles avant d'ajouter l'étape d'authentification. Cela simplifie les tunnels de paiement et préserve les taux de conversion.
Le saviez-vous ? L'authentification doit avoir lieu pendant que le client est en session, c'est-à-dire lorsqu'il est connecté à votre site Web ou à votre application. En conséquence, cette étape se déroule généralement au moment où le client passe sa commande.
AUTORISATION
Votre entreprise demande à la banque du client d'approuver le paiement : la banque du client décide d'approuver ou de refuser ce paiement. En cas d'approbation, les fonds sont bloqués pendant sept jours. En cas de refus, votre entreprise doit faire en sorte que le client rouvre une session pour réauthentifier le paiement, puis demander une nouvelle autorisation.
Le saviez-vous ? Une demande d'autorisation peut encore être refusée par la banque du client après l'authentification, notamment si le client ne possède pas suffisamment de fonds ou si la carte a expiré.
Jusqu'à 7 jours
Le délai standard entre l'autorisation et la capture peut aller jusqu'à sept jours, mais la plupart des entreprises débitent le paiement immédiatement après son autorisation.
CAPTURE
L'entreprise débite la carte du client, ce qui valide le paiement.
Le saviez-vous ? La banque d'un client peut indiquer qu'un paiement est « en attente » s'il a été autorisé sans avoir été débité.
Comprendre les exemptions
Certains types de paiements, comme les transactions à faible risque, les abonnements forfaitaires, les ventes par téléphone et les transactions initiées par le marchand, peuvent être exemptés de la SCA. Les transactions initiées par le marchand sont des paiements réalisés alors que le client est hors session grâce à une carte enregistrée. Le paiement d'un abonnement à une salle de sport ou d'une facture d'électricité en sont des exemples courants. Pour bénéficier de cette exemption, votre entreprise doit avoir établi un accord avec le client, et lui demander d'authentifier sa carte au moment de son enregistrement ou d'authentifier le premier paiement. Notre guide relatif à l'authentification forte du client explique dans le détail les différents types d'exemption.
Les API de paiement et les produits prêts pour la SCA de Stripe aideront votre entreprise à tirer pleinement parti de ces exemptions en les sollicitant automatiquement. Une fois les exemptions acceptées par les banques de vos clients, ces derniers n'ont plus à s'authentifier, ce qui préserve vos taux de conversion.
Il convient néanmoins de concevoir des tunnels de paiement qui permettent d'authentifier les clients en cas de refus d'une exemption. Ce point est essentiel, dans la mesure où les règles relatives aux exemptions dépendent des banques de vos clients. Ces dernières évaluent en effet chaque paiement avant de décider si une exemption s'applique, en fonction de critères qui leur sont propres.
Scénarios commerciaux
Afin d'illustrer l'impact de la SCA et son application, nous vous présentons ci-dessous la façon dont une étape d'authentification peut être intégrée aux flux de paiement pour différents types d'entreprises.
E-commerce
Paiement ponctuel. Carte bancaire non enregistrée.
Les entreprises e-commerce débitent généralement leurs clients en cours de session, sans enregistrer les informations de carte pour les paiements ultérieurs. Si votre entreprise utilise un tunnel de paiement de ce type, l'ajout de l'authentification devrait être facile : vous pouvez réaliser l'authentification à l'aide de 3D Secure immédiatement après que le client a saisi les informations de sa carte et a passé sa commande.
Stripe demande automatiquement les éventuelles exemptions admissibles de façon à ce que vos clients ne soient pas obligés de s'authentifier. Toutefois, chaque banque appliquant les exemptions différemment, votre entreprise doit concevoir des tunnels de paiement qui permettent aux clients de s'authentifier lorsque cela est nécessaire.
Enregistrement d'une commande : Élisa saisit les informations de sa carte et ses coordonnées pour la livraison. Le total est de 29 €, TVA comprise.
AUTHENTIFICATION
Authentification avec 3D Secure pour un paiement de 29 € : Élisa effectue l'authentification 3D Secure.
Remarque : Stripe sollicite les exemptions automatiquement. Si sa banque accepte une exemption, Élisa n'aura pas à effectuer l'authentification 3D Secure.
AUTORISATION
Autorisation d'un paiement de 29 €
CAPTURE
Capture de 29 €
Expédition de la commande
Recommandations
Choisissez une option :
STRIPE CHECKOUT
Bénéficiez de flux de paiement préconfigurés optimisés pour la conversion et nécessitant très peu de codage.
API DE PAIEMENT
Concevez des flux de paiement dynamiques et optimisez les exemptions.
Covoiturage
Capture du paiement dans les sept jours suivant l'autorisation. Le montant du paiement final peut changer.
Les entreprises de covoiturage et d'autres services à la demande débitent généralement les paiements dans les sept jours qui suivent l'autorisation, et le montant final peut augmenter ou baisser. Si votre entreprise utilise un tunnel de paiement de ce type, vous pouvez réaliser l'authentification 3D Secure immédiatement après que le client a demandé la course, car il est encore en session. Si le montant final se révèle supérieur au montant initialement authentifié, le client devra se réauthentifier pour le montant majoré, à moins que les politiques régionales n'autorisent une tolérance d'écart de montant. Si le montant final est inférieur au montant initialement authentifié, aucune nouvelle authentification ne sera nécessaire.
Une autre manière de procéder avec ce tunnel de paiement consisterait à authentifier et à autoriser un montant plus élevé au moment où le client demande la course. Si le client souhaite ajouter un pourboire plus tard, et que le total est inférieur au montant authentifié, le client n'aura pas besoin de se réauthentifier. L'inconvénient de cette procédure est que l'authentification anticipée d'un montant plus élevé peut dissuader les clients sensibles au prix.
Demande de course : Sami ouvre l'application et demande une course d'un montant de 20 €.
AUTHENTIFICATION
Authentification avec 3D Secure pour un paiement de 20 € : Sami effectue l'authentification 3D Secure.
Remarque : Stripe sollicite les exemptions automatiquement. Si sa banque accepte une exemption, Sami n'aura pas à effectuer l'authentification 3D Secure.
AUTORISATION
Autorisation d'un paiement de 20 €
Prise en charge du passager : un chauffeur vient chercher Sami et le dépose à sa destination.
Ajout de pourboire : Sami ouvre l'application, évalue le chauffeur et ajoute un pourboire de 3 $.
AUTHENTIFICATION
Authentification avec 3D Secure pour un paiement de 23 € (20 € de course et 3 € de pourboire) : Sami effectue l'authentification 3D Secure.
Remarque : Stripe sollicite les exemptions automatiquement. Si sa banque accepte une exemption, Sami n'aura pas à effectuer d'authentification 3D Secure.
CAPTURE
Capture de 23 €
Remarque : la capture de 23 € annule l'autorisation précédente de 20 €.
Recommandation
API DE PAIEMENT
Concevez des flux de paiement dynamiques et optimisez les exemptions.
Financement participatif
Capture du paiement plus de sept jours après l'autorisation.
Les plateformes de financement participatif capturent généralement les paiements plus de sept jours après l'autorisation. Chaque campagne se déroule pendant une période définie et les paiements sont capturés une fois que la campagne a atteint son objectif. Si votre entreprise utilise ce type de tunnel de paiement, vous pouvez réaliser l'authentification à l'aide de 3D Secure au moment où les clients font une promesse de don, et effectuer l'autorisation et la capture au terme de la campagne si elle a atteint son objectif. En cas d'échec de l'autorisation, votre entreprise devra faire en sorte que le client rouvre une session pour se réauthentifier.
Paiement réussi
Lancement d'une campagne
Réalisation d'une promesse de don :
Lucas soutient la campagne en faisant une promesse de don de 40 €.
AUTHENTIFICATION
Authentification de la carte avec 3D Secure :
Lucas effectue l'authentification 3D Secure après avoir saisi les informations de sa carte.
30 JOURS APRÈS
Clôture de la campagne :
la carte de Lucas est débitée une fois que la campagne a atteint son objectif.
AUTORISATION
Tentative d'autorisation d'un paiement de 40 €
AUTHENTIFICATION
Authentification avec 3D Secure pour un paiement de 40 € :
Lucas effectue l'authentification 3D Secure.
AUTORISATION
Autorisation d'un paiement de 40 €
CAPTURE
Capture de 40 €
Paiement échoué
Lancement d'une campagne
Réalisation d'une promesse de don :
Lucas soutient la campagne en faisant une promesse de don de 40 €.
AUTHENTIFICATION
Authentification de la carte avec 3D Secure :
Lucas effectue l'authentification 3D Secure après avoir saisi les informations de sa carte.
30 JOURS APRÈS
Clôture de la campagne :
la carte de Lucas est débitée une fois que la campagne a atteint son objectif.
AUTORISATION
Tentative d'autorisation d'un paiement de 40 €
REFUS
L'autorisation a échoué, car la carte a expiré et une réauthentification est par conséquent requise.
E-mail envoyé :
Lucas ouvre un e-mail reçu du site Web de financement participatif, puis clique sur un lien.
Mise à jour d'informations :
il retourne sur le site Web de financement participatif et saisit les informations d'une nouvelle carte bancaire.
AUTHENTIFICATION
Authentification avec 3D Secure pour un paiement de 40 € :
Lucas effectue l'authentification 3D Secure.
AUTORISATION
Autorisation d'un paiement de 40 €
CAPTURE
Capture de 40 €
Recommandation
API DE PAIEMENT
Concevez des flux de paiement dynamiques et optimisez les exemptions.
Location de voitures
Capture du paiement plus de sept jours après l'autorisation. Le montant du paiement final peut changer.
Les entreprises de location de voitures capturent généralement les paiements plus de sept jours après l'autorisation, et le montant du paiement final est susceptible d'augmenter ou de baisser en fonction des remises, des surclassements ou des services complémentaires au moment de la remise des clés ou du retour de la voiture. Si votre entreprise utilise ce type de tunnel de paiement, vous pouvez fractionner le paiement en plusieurs débits : un premier débit utilisant l'authentification de la carte avec 3D Secure lors de l'enregistrement du paiement, puis un second débit pour autoriser et capturer le coût de la location et les frais accessoires ultérieurement.
Réservation de voiture : Emma loue une voiture pour ses prochaines vacances.
AUTHENTIFICATION
Authentification de la carte avec 3D Secure : Emma effectue l'authentification 3D Secure après avoir saisi les informations de sa carte.
Récupération de la voiture
Après plus de 7 jours
Retour de la voiture : elle rend la voiture sans faire le plein de carburant, ce qui lui occasionne des frais de 50 €.
AUTORISATION
Autorisation d'un paiement de 350 € (réservation)
Autorisation d'un paiement de 50 € (frais de carburant)
CAPTURE
Capture de 350 € (réservation)
Capture de 50 € (frais de carburant)
Recommandation
API DE PAIEMENT
Concevez des flux de paiement dynamiques et optimisez les exemptions.
Abonnement à une salle de sport
Paiements récurrents. Montant fixe.
Les abonnements aux salles de sport sont généralement des paiements récurrents d'un montant fixe et peuvent commencer par une période d'essai gratuit.
Les transactions initiées par le marchand sont des paiements réalisés alors que le client est hors session grâce à une carte enregistrée. Pour bénéficier de cette exemption, votre entreprise doit avoir établi un accord avec le client et lui demander d'authentifier sa carte au moment de son enregistrement ou d'authentifier le premier paiement.
Il est important de noter que les exemptions ne sont pas garanties et que les paiements ultérieurs pourront nécessiter une authentification. Chaque banque appliquant les exemptions différemment, votre entreprise doit concevoir des tunnels de paiement qui permettent aux clients de rouvrir une session pour se réauthentifier.
Paiement réussi
Souscription d'un abonnement :
Imani saisit son adresse e-mail et les informations de sa carte bancaire afin de s'inscrire à la salle de sport de son quartier pour un montant de 50 €/mois.
AUTHENTIFICATION
Authentification avec 3D Secure pour un paiement de 50 € :
Imani effectue l'authentification 3D Secure.
AUTORISATION
Autorisation d'un paiement de 50 €
CAPTURE
Capture de 50 €
30 JOURS APRÈS
Poursuite de l'abonnement :
Imani prend des cours collectifs et se rend souvent à la salle de sport.
AUTORISATION
Autorisation d'un paiement de 50 € :
ce paiement n'a pas nécessité d'authentification, car la banque d'Imani a accepté les exemptions pour abonnement forfaitaire et pour transaction initiée par le marchand.
CAPTURE
Capture de 50 €
Paiement échoué
Début d'un essai :
Imani s'inscrit à la salle de sport de son quartier pour 50 €/mois. Elle saisit son adresse e-mail et les informations de sa carte bancaire de façon à ce que son abonnement débute immédiatement après sa période d'essai de sept jours.
AUTHENTIFICATION
Authentification avec 3D Secure pour un paiement de 50 € :
Imani effectue l'authentification 3D Secure.
7 JOURS APRÈS
Fin de l'essai et début de l'abonnement :
la carte d'Imani est débitée automatiquement à la fin de l'essai.
AUTORISATION
Autorisation d'un paiement de 50 €
CAPTURE
Capture de 50 €
30 JOURS APRÈS
Poursuite de l'abonnement :
Imani prend des cours collectifs et se rend souvent à la salle de sport.
AUTORISATION
Tentative d'autorisation d'un paiement de 50 €
REFUS
L'autorisation a échoué et la réauthentification est requise
Envoi d'un e-mail :
Imani ouvre un e-mail, puis clique sur un lien.
Mise à jour d'informations :
elle retourne sur le site Web de la salle de sport et saisit les informations d'une nouvelle carte bancaire.
AUTHENTIFICATION
Authentification avec 3D Secure pour un paiement de 50 € :
Imani effectue l'authentification 3D Secure.
AUTORISATION
Autorisation d'un paiement de 50 €
CAPTURE
Capture de 50 €
Recommandations
Choisissez une option :
STRIPE BILLING
Gérez vos abonnements et profitez d'outils automatisés pour vous conformer à la SCA.
API DE PAIEMENT
Concevez des flux de paiement dynamiques et optimisez les exemptions.
Facture de service
Facturation à la consommation. Paiements récurrents.
Les factures d'eau ou d'électricité sont des paiements récurrents dont les montants sont susceptibles de varier d'un mois à l'autre en raison de la facturation à la consommation. Si votre entreprise utilise un tunnel de paiement de ce type, l'authentification 3D Secure est requise au moment où le client enregistre sa carte pour configurer les paiements automatiques. Pour ce faire, le client effectue l'authentification 3D Secure en dehors d'une transaction.
Il est important de noter que les exemptions ne sont pas garanties et que les paiements ultérieurs pourront nécessiter une authentification. Chaque banque appliquant les exemptions différemment, votre entreprise doit concevoir des tunnels de paiement qui permettent aux clients de rouvrir une session pour se réauthentifier si nécessaire.
Paiement avec exemption
Configuration d'un compte :
Salim emménage dans un nouvel appartement et s'inscrit pour régler automatiquement sa facture mensuelle d'électricité.
Enregistrement d'une carte bancaire :
Salim ajoute une carte bancaire à son compte.
AUTHENTIFICATION
Confirmation avec 3D Secure de la facturation automatique :
Salim effectue l'authentification 3D Secure.
30 JOURS APRÈS
Réception d'une facture :
Salim reçoit un e-mail de la compagnie d'électricité l'informant d'un paiement planifié de 63 €.
AUTORISATION
Autorisation d'un paiement de 63 € :
la compagnie d'électricité autorise un virement de 63 € et sollicite une exemption pour transaction initiée par le marchand.
La banque de Salim accepte l'exemption et l'autorisation.
CAPTURE
Capture de 63 €
30 JOURS APRÈS
Réception d'une facture :
Salim reçoit un e-mail de la compagnie d'électricité l'informant d'un paiement planifié de 91 €.
AUTORISATION
Tentative d'autorisation d'un paiement de 91 € :
la compagnie d'électricité tente d'autoriser 91 € et sollicite une exemption pour transaction initiée par le marchand.
REFUS
L'autorisation a échoué et la réauthentification est requise.
Envoi d'un e-mail :
Salim reçoit un e-mail de la compagnie d'électricité contenant une facture de 91 € et clique sur le lien.
AUTHENTIFICATION
Authentification avec 3D Secure pour un paiement de 91 € :
Salim effectue l'authentification 3D Secure.
AUTORISATION
Autorisation d'un paiement de 91 €
CAPTURE
Capture de 91 €
Paiement sans exemption
Réception d'une facture :
Salim reçoit un e-mail de la compagnie d'électricité contenant une facture de 63 € et clique sur le lien.
AUTHENTIFICATION
Authentification avec 3D Secure pour un paiement de 63 € :
Salim effectue l'authentification 3D Secure.
AUTORISATION
Autorisation d'un paiement de 63 €
CAPTURE
Capture de 63 €
30 JOURS APRÈS
Réception d'une facture :
Salim reçoit un e-mail de la compagnie d'électricité contenant une facture de 91 € et clique sur le lien.
AUTHENTIFICATION
Authentification avec 3D Secure pour un paiement de 91 € :
Salim effectue l'authentification 3D Secure.
AUTORISATION
Autorisation d'un paiement de 91 €
CAPTURE
Capture de 91 €
Recommandations
Choisissez une option :
STRIPE BILLING
Gérez vos abonnements et profitez d'outils automatisés pour vous conformer à la SCA.
API DE PAIEMENT
Concevez des flux de paiement dynamiques et optimisez les exemptions.