Ce guide passe en revue les exigences d'authentification forte du client (SCA) de l'Europe introduite par la directive sur les services de paiement 2e version (DSP2) ainsi que les types de paiements concernés. Nous aborderons également les exemptions possibles qui peuvent être demandées au nom des entreprises pour offrir une expérience de paiement fluide.
Un guide a également été publié pour vous aider à déterminer quand ajouter l'authentification dans votre parcours client de même qu'un guide sur la manière de vous préparer à la directive sur les services de paiement 3e version (DSP3). Consultez notre site pour plus d'informations sur les produits prêts pour la SCA de Stripe.
Qu'est-ce que l'authentification forte du client ?
L'authentification forte du client (SCA) est une réglementation européenne visant à réduire la fraude et à sécuriser les paiements en ligne et sans contact. Pour accepter des paiements tout en vous conformant aux exigences de la SCA, vous devez ajouter une étape d'authentification supplémentaire à votre tunnel de paiement. L'authentification forte du client utilise au moins deux des trois éléments suivants.
Si vous souhaitez connaître les exigences de la SCA, veuillez consulter le document Normes techniques réglementaires ou RTS. Les banques doivent refuser les paiements qui ne satisfont pas aux exigences de la SCA.
Quand l'authentification forte du client est-elle requise?
L'authentification forte du client concerne les paiements en ligne initiés par les clients et les paiements hors-ligne sans contact effectués au Royaume-Uni et en Europe. Tous les paiements électroniques (c'est-à-dire les paiements par carte et les virements bancaires) sont assujettis aux exigences de l'authentification forte du client, à moins qu'une exemption puisse s'appliquer ou que la transaction soit jugée hors périmètre pour cette authentification, notamment les transactions effectuées par le marchand (p. ex. les prélèvements automatiques).
Dans le cas des paiements par carte en ligne, ces exigences s'appliquent aux transactions pour lesquelles l'entreprise et la banque du titulaire de la carte sont toutes deux situées dans l'espace économique européen (EEE).
Comment authentifier un paiement par carte
À l'heure actuelle, les paiements en ligne sont le plus souvent authentifiés via le protocole 3D Secure, une norme d'authentification prise en charge par la majorité des cartes européennes. L'utilisation de 3D Secure ajoute généralement au flux de paiement une étape supplémentaire dans laquelle la banque invite le titulaire de la carte à fournir d'autres informations pour finaliser le paiement (par exemple, un code ponctuel envoyé sur son téléphone ou la reconnaissance de ses empreintes digitales par le biais de son application bancaire mobile).
3D Secure 2, est principalement utilisée pour authentifier les paiements en ligne effectués par carte et garantir le respect des exigences de l'authentification forte du client.
Les transactions par carte effectuées hors-ligne en saisissant un code PIN satisfont déjà les exigences d'authentification. D'autres moyens de paiement qui utilisent une carte, comme Apple Pay ou Google Pay prennent déjà en charge des flux de paiement comportant une couche d'authentification intégrée (biométrique ou mot de passe). Ces moyens de paiement permettent aux entreprises d'offrir une expérience de paiement fluide tout en respectant les réglementations.
Comment fonctionne la responsabilité en cas de litiges pour fraude dans le cadre de la 3DS
Parmi les avantages de l'application de la SCA en cas d'authentification multifactorielle réussie, les entreprises peuvent jouir d'une protection de leur responsabilité en cas de litiges pour fraude.
Exemptions à l'authentification forte du client
Ce ne sont pas tous les paiements qui relèvent du périmètre de l'authentification multifactorielle dans le cadre de l'authentification forte du client. Dans certains cas, une exemption prévue par le règlement peut être invoquée, mais la mise en œuvre de l'authentification forte du client peut aussi être hors périmètre pour le paiement. Dans les cas où une exemption est demandée et acceptée par l'institution financière du titulaire de la carte, la responsabilité des litiges pour fraude incombe à l'entreprise.
Les prestataires de services de paiement comme Stripe sont en mesure de demander des exemptions lors du traitement du paiement. La banque du titulaire de carte reçoit la demande d'exemption, estime le niveau de risque de la transaction avant de décider d'autoriser l'exemption ou de maintenir l'authentification. L'application d'exemptions aux paiements à faible risque peut réduire le nombre de fois qu'un client doit s'authentifier et ainsi simplifier le processus et limiter le taux d'abandon des clients.
Stripe fait appel à l'apprentissage automatique pour déterminer l'exemption optimale dans chaque cas afin de vous aider à offrir à vos clients l'expérience de paiement la plus fluide possible. Nous avons conçu nos services de paiement prêts pour la SCA de façon à protéger vos taux de conversion tout en tirant parti des exemptions lorsque cela est possible.
Les exemptions les plus pertinentes pour les entreprises qui acceptent les paiements en ligne sont les suivantes :
Transactions à faible risque
Un prestataire de services de paiement (comme Stripe) peut effectuer une analyse des risques en temps réel, appelée analyse des risques liés aux transactions, afin de déterminer si une transaction doit être soumise à l'authentification forte du client. Il n'est possible de recourir à cette exemption que si le taux de fraude des paiements par carte du prestataire de services de paiement n'excède pas les seuils suivants :
- 0,13 % pour exempter les transactions inférieures à 100 €/85 £
- 0,06 % pour exempter les transactions inférieures à 250 €/220 £
- 0,01 % pour exempter les transactions inférieures à 500 €/440 £
Ces seuils seront convertis, le cas échéant, dans les montants locaux équivalents.
Ceci est sans doute l'une des exemptions les plus utiles pour les entreprises et l'une des plus largement autorisées par les banques. L'évaluation des risques complète en temps réelle de Stripe Radar nous permet d'accorder cette exemption à nos utilisateurs.
Paiements inférieurs à 30 €/25 £
Les paiements dont le montant est peu élevé peuvent également être exemptés. Les transactions inférieures à 30 € ou 25 £ sont considérées de « faible valeur » et peuvent faire l'objet d'une exemption d'authentification forte du client. Les banques doivent néanmoins demander l'authentification si le titulaire de la carte a déjà bénéficié de cinq exemptions depuis sa dernière authentification réussie ou si la somme des paiements précédemment exemptés dépasse 100 € ou 85 £. La banque du titulaire de la carte doit savoir combien de fois cette exemption a été utilisée et si l'authentification est nécessaire.
Compte tenu des limites strictes de cette exemption, elle pourrait ne pas être appropriée pour de nombreux paiements. Cependant, nous prenons en charge cette exemption pour nos clients.
Transactions récurrentes
Cette exemption peut être appliquée lorsque le client effectue des paiements récurrents de même montant à la même entreprise. L'authentification forte du client est requise lors du premier paiement du client. Les paiements suivants peuvent ensuite être exemptés de la SCA.
Cette exemption est particulièrement utile pour les entreprises qui facturent des abonnements et elle est largement prise en charge par les banques européennes. Si vous utilisez Stripe Billing pour créer des abonnements, nous appliquons automatiquement cette exemption lorsque cela est possible et pouvons vous aider à gérer les demandes d'authentification dans le cas où l'exemption serait refusée par la banque du client.
Transactions initiées par le marchand (y compris les abonnements variables)
Les paiements effectués avec des cartes enregistrées alors que le client n'est pas présent dans le flux de paiement (également appelés les paiements hors session) peuvent être considérés comme des transactions initiées par le marchand. De par leur nature, ces paiements ne sont pas concernés par la SCA. En pratique, signaler un paiement comme une « transaction initiée par le marchand » revient à demander une exemption, et, au même titre que les autres exemptions, il revient à la banque de décider si la transaction doit faire l'objet d'une authentification.
Pour utiliser des transactions initiées par le marchand, vous devez authentifier la carte au moment de son enregistrement initial ou lors du premier paiement. Enfin, vous devez recueillir le consentement (mandat) du client afin de pouvoir débiter sa carte ultérieurement.
Il s'agit d'un cas d'usage essentiel pour les modèles économiques reposant sur les retards de paiement, les abonnements à montant variable ou les factures pour des modules complémentaires. Cela est pris en charge par la plupart des banques européennes et accepté si la transaction est considérée à faible risque par la banque.
L'API de Stripe vous permet d'authentifier une carte lorsqu'elle est enregistrée pour une utilisation ultérieure et de marquer les paiements ultérieurs comme "transactions initiées par le marchand". Les entreprises ont tout intérêt à utiliser les plus récentes API de Stripe pour être prêt pour la SCA.
Ventes par téléphone
Les informations de carte collectées par téléphone ne sont pas concernées par la SCA et ne requièrent donc pas d'authentification. Ce type de paiement est parfois appelé « commandes par courrier ou téléphone ». Tout comme les paiements exemptés, ces transactions doivent être signalées à la banque du titulaire de la carte afin que cette dernière puisse décider d'accepter ou de rejeter la transaction.
Il s'agit d'un cas d'usage majeur pour toute entreprise qui accepte les paiements par téléphone et qui est largement pris en charge par les institutions financières. Les paiements créés par l'intermédiaire du Dashboard Stripe peuvent être automatiquement marqués comme des paiements MOTO pour ce cas d'usage.
Si votre entreprise est conforme PCI et que vous avez créé votre propre système pour accepter les commandes par téléphone, nos nouvelles API de paiements vous permettent de marquer un paiement en tant que MOTO. Veuillez nous contacter pour activer cette fonctionnalité sur votre compte Stripe et accéder à la documentation technique.
Corporate payments
Cette exemption concerne les paiements effectués avec une carte d'entreprise hébergée (c'est-à-dire une carte d'entreprise utilisée pour payer les dépenses de transport des employés et conservée directement par une agence de voyages en ligne), ainsi que les dépenses d'entreprise réglées avec des numéros de carte virtuelle (également utilisés dans le secteur du transport).
Cette exemption n'a qu'une utilisation pratique réduite hors de l'industrie du tourisme en raison de sa portée très limitée. L'exemption elle-même ne peut être demandée que par la banque du titulaire de la carte, étant donné que ni l'entreprise ni les prestataires de paiement (tels que Stripe) sont en mesure de détecter si une carte appartient à l'une de ces catégories.
Bénéficiaires de confiance
Lors de l'authentification d'un paiement, les clients ont la possibilité de placer une entreprise dans laquelle ils ont confiance sur une liste blanche de façon à ce qu'elle n'ait pas à s'authentifier pour de prochains achats. Ces entreprises sont ajoutées à une liste de « bénéficiaires de confiance » gérée par la banque du client ou le prestataire de services de paiement.
Alors que les listes blanches simplifient les achats récurrents et les abonnements, peu de banques utilisent cette fonctionnalité.
Que se passe-t-il si une exemption est refusée?
Bien que les exemptions soient très utiles, il ne faut pas oublier que seule la banque du titulaire de la carte peut décider d'accepter ou non une exemption. Les institutions financières peuvent transmettre des codes de refus précis pour les paiements qui ont échoué en raison du rejet de l'exemption et, par conséquent, du fait que le paiement n'était pas assorti d'une authentification. Ces paiements doivent alors être renvoyés au client avec une demande d'authentification forte du client. Les produits prêts pour la SCA de Stripe déclenchent automatiquement cette authentification supplémentaire quand les institutions financières l'exigent.
Si votre entreprise est concernée par la SCA, il est probable que votre taux d'abandon de panier augmente si des exemptions sont refusées et que les clients doivent s'authentifier. Ceci est particulièrement important si vous débitez vos clients alors qu'ils sont absents de votre tunnel de paiement (par exemple, lorsqu'ils sont hors session) et qu'ils doivent retourner sur votre site Web ou votre application pour s'authentifier. Pour plus d'informations, consultez notre guide sur la conception de tunnels de paiement pour la SCA.
Comment Stripe vous aide à satisfaire les exigences de l'authentification forte du client
Les changements introduits par cette réglementation ont des conséquences importantes sur le commerce en ligne en Europe. Les entreprises concernées qui n'adhèrent pas à ces exigences pourraient voir leurs taux de conversion affectés à mesure que les règles de l'authentification forte du client évoluent au sein des banques européennes.
Outre la prise en charge de méthodes d'authentification comme 3D Secure 2, nous pensons que la gestion des exemptions est essentielle pour proposer une expérience de paiement optimisée qui permet de limiter la fraude tout en simplifiant le processus pour vos clients. Optimisés pour les règles des organismes réglementaires, des banques et des réseaux de cartes, nos produits de paiement appliquent des exemptions pertinentes aux paiements à faible risque de façon à déclencher le protocole 3D uniquement si nécessaire. Nos modèles avancés d'apprentissage automatique vous permettent également de vous adapter aux règles modifiées concernant l'authentification forte du client.
Prochaines modifications
Les régulateurs de l'UE et du Royaume-Uni travaillent également à la révision des règles qui façonneront l'avenir de la SCA dans les deux régions. La Commission européenne a révisé le cadre actuel de la DSP2 et a publié des propositions pour la directive sur les services de paiement 3e version et la réglementation des services de paiement. Stripe a publié ce guide lequel expose en détail ce à quoi les entreprises peuvent s'attendre dans le cadre des nouvelles règles, et nous suivons de près l'évolution de règles similaires sur le marché du Royaume-Uni.
En savoir plus sur les produits prêts pour la SCA de Stripe. Si vous avez des questions ou des remarques, n'hésitez pas à nous en faire part.