Gestion de la fraude en ligne, vers une déresponsabilisation des e-commerçants?
Publié par Stéphanie Marius le - mis à jour à
Alors que l'authentification forte des payeurs est au centre des débats, les e-marchands craignent d'être dépossédés de la sécurisation de leurs paiements. La diversité des moyens de paiement et l'apparition du 3D Secure 2.0 constituent des réponses partielles à ces questions.
Pour la cinquième année consécutive, le taux de fraude sur les paiements en ligne s'inscrit à la baisse, selon le rapport de l'Observatoire de la sécurité des moyens de paiement, publié en juin 2017 et concernant les données relatives à l'exercice de 2016. Le chiffre s'élève à 0,1999 %, contre 0,229 % en 2015, notamment grâce à l'adoption massive du 3D Secure (appliqué à 30% des transactions) et des outils de scoring par les e-marchands et les banques. "Cependant, ce taux demeure plus de 20 fois plus élevé que le taux de fraude sur les paiements de proximité", souligne l'étude.
Ainsi, la deuxième directive européenne sur les services de paiement (DSP2), en vigueur depuis le 13 janvier 2018, exhorte les acteurs à passer à une authentification forte, ou double authentification.
La fin de l'approche par les risques?
Les nouvelles normes techniques réglementaires (RTS) seront quant à elles effectives dans 18 mois. "L'approche par les risques, qui prévalait jusqu'à présent, est remplacée par un recours systématique à l'authentification forte, de type 3D Secure", déplore Bertrand Pineau, responsable veille, innovation et développement de la Fevad. La gestion de la sécurité est donc déplacée des e-commerçants vers les banques. "Or, les acteurs ont fortement investi, ces dernières années, dans des outils de sécurisation, notamment de scoring", avertit Bertrand Pineau.
Afin de ne pas nuire trop fortement à la fluidité du canal d'achat, un système d'exemption est prévu. Il concerne les achats d'un montant inférieur à 30 euros, les paiements récurrents de même montant auprès d'un même bénéficiaire, les bénéficiaires de confiance [ce point demeure pour l'heure en discussion pour les membres de GIE Carte Bancaire, Visa et MasterCard, NDLR]. Une exemption est également permise en fonction du taux de fraude par tranche du chiffre d'affaires de la banque émettrice.
"Cela doit pousser les e-marchands à réfléchir à des moyens de paiement innovants", indique Bertrand Pineau. Ainsi, le protocole 3D Secure 2.0 peut véhiculer beaucoup plus d'informations que son prédécesseur (adresse IP, lieu de livraison, habitudes de consommation du client)... "C'est pourquoi les webmarchands doivent continuer à maintenir leurs outils antifraude", note Bertrand Pineau. En effet, si le fournisseur du service de 3D Secure considère que la transaction n'est pas à risque, il pourra indiquer à la banque du client que le 3D Secure est inutile. Ce système permettrait de rester à un niveau d'authentification forte, identique à celui d'aujourd'hui, voire légèrement inférieur, au grand soulagement des e-marchands soucieux de leur taux de conversion.