[Tribune] DSP2: les commerçants à l'épreuve des demandes d'exemption
Publié par Sasha Pons (Dalenys) le - mis à jour à
La maîtrise des exemptions apparaît crucial pour les e-commerçants, alors que la DSP2 impose une mise en conformité totale d'ici à avril 2021.
La migration progressive vers l'authentification forte pour tous les paiements électroniques exigée par la Directive sur les services de paiement 2 (DSP2) est source d'inquiétude chez les commerçants. Ils doivent accélérer leur transition vers ce nouveau modèle avec un double enjeu: garantir une conformité totale d'ici avril 2021, tout en préservant une expérience client optimale avec un maximum de "sans friction", lui permettant de maximiser ses ventes.
Aujourd'hui, il est possible de réussir cette transition en misant sur une maîtrise des exemptions prévues dans le cadre du nouveau modèle et sur une coopération vertueuse entre les acteurs de la chaîne du paiement. Plus il y aura d'échanges entre les banques, les prestataires de paiement et les commerçants, plus les relations de confiance seront établies, et plus les exemptions à l'authentification forte auront de chance d'être acceptées.
Le nouveau rôle du commerçant: les demandes d'exemption
Jusqu'à l'entrée en vigueur des RTS (Regulatory Technical Standards), le déclenchement de l'authentification forte était du ressort du commerçant. Lui seul décidait où placer le curseur entre le tout sécurisé et l'expérience totalement fluide du consommateur. Un exercice d'équilibriste pour maximiser ses revenus. Le prestataire de paiement, à l'aide d'outils de risques et de machine learning pour les plus précurseurs, évaluait avec les commerçants chaque situation. Selon le résultat de l'analyse de risques, la demande d'authentification se déclenchait sur les transactions dites suspectes.
Avec les RTS, le modèle initial est bouleversé. Ce sont désormais aux banques des clients (émetteurs) d'effectuer majoritairement la demande d'authentification. Selon les informations complémentaires que les commerçants pourraient leur fournir, les banques décideront d'accorder (ou non) l'exemption à l'authentification forte pour leurs clients. Leurs taux de conversion pourraient en être impactés sans un accompagnement expert.
Miser sur une collaboration vertueuse avec l'émetteur
Cette nouvelle réglementation repose sur la maîtrise de la fraude du côté émetteur comme du côté marchand, car ils ont des visions complémentaires. Les commerçants entrevoient la fraude par le prisme des impayés, qui est la partie visible de l'iceberg. Par exemple, toutes les contestations client ne donnent pas systématiquement lieu à un impayé. C'est le cas notamment des transactions de faible montant dont le coût de gestion est trop élevé pour une banque. Par ailleurs, les banques, qui voient passer l'ensemble des paiements par carte effectués par leurs porteurs, ont une grande connaissance de leurs habitudes de consommation et sont en capacité de déceler les anomalies. Par conséquent, le partage des données entre le marchand et l'émetteur permettra d'aboutir à une meilleure maîtrise du taux de fraude, sans impacter les clients légitimes.
Conserver des parcours sans friction
Un parcours sans friction consiste à ne pas ajouter d'étape supplémentaire au client lors du paiement. Dans le cadre de la DSP2, il est rendu possible grâce aux nouvelles données échangées entre le commerçant et la banque du client (l'adresse IP de l'acheteur, l'adresse de livraison, le type d'appareil utilisé, le type de navigateur, la version du système d'exploitation...). Après analyse de ces données enrichies, la banque du client décidera si elles correspondent au comportement de consommation de son porteur de carte et si elles sont suffisantes pour s'exempter de l'authentification de l'acheteur.
Certaines transactions pourront toutefois déroger à la règle de l'authentification systématique. Sont notamment exclus du champ d'application des RTS: les paiements initiés par les commerçants comme les paiements récurrents, les abonnements à l'exception du premier paiement et les paiements par courrier ou téléphone.
Pour transformer cette contrainte en opportunité, les commerçants doivent se saisir au plus tôt de ces nouvelles règles du jeu. Plus vite ils mettront en place une collaboration efficace avec les acteurs de la chaîne du paiement (banques et PSP), plus leurs chances de conserver des parcours client sans friction seront élevées.
L'auteur
Sasha Pons est chief product officer chez Dalenys. Il totalise plus de dix ans d'expérience dans les domaines de la cybersécurité, prévention de la fraude et conformité dans les secteurs de l'e-commerce international, du retail et des technologies. Depuis juin 2020, il dirige l'équipe produit de Dalenys, la plateforme de paiement unifiée pour le commerce, rattachée à Natixis Payments. De 2016 à 2019, il était directeur produit et prévention de la fraude de l'offre e-paiement d'Ingenico. Précédemment, il a occupé des postes de fraud management pour Booking.com et de sécurité informatique au sein du groupe Casino International.