[Tribune] DSP2: 4 conseils pour développer des parcours client sans friction
Publié par Sasha Pons (Dalenys) le - mis à jour à
Maîtriser les exemptions à l'authentification forte et repenser son analyse de risques dans le cadre de la DSP2 deviennent des impératifs.
Banques, prestataires de services de paiement (PSP) et e-commerçants accélèrent sur la DSP2 (Directive sur les services de paiement 2). L'obligation d'authentification forte pour tous les paiements électroniques soulève des inquiétudes chez les commerçants qui craignent une dégradation de l'expérience client et in fine une perte de chiffre d'affaires... À raison, ces bouleversements peuvent impacter leur activité s'ils ne se saisissent pas rapidement des nouvelles règles du jeu.
En effet, la directive prévoit des exemptions d'authentification, dont certaines peuvent être obtenues grâce une analyse de risques poussée et efficace en temps réel. Une analyse de risques conforme aux RTS (Regulatory Technical Standards) et fiable assurera par la suite un meilleur taux de fraude globale et favorisera les chances d'obtenir des parcours dits "frictionless".
Connaître les exemptions indispensables pour optimiser sa conversion
Il est essentiel de maîtriser les conditions d'exemptions prévues par les RTS pour limiter l'impact de l'authentification à double facteurs sur le parcours d'achat. Certaines exemptions sont accordées uniquement si l'acquéreur et la banque émettrice maîtrisent leurs taux de fraude. Cette règle implique donc une politique de fraude rigoureuse sur l'ensemble de la chaîne de paiement. Une interdépendance des acteurs est ainsi instituée de facto, chaque maillon de la chaîne étant impacté par les taux de fraude. Pour se préparer, émetteurs, acquéreurs et commerçants doivent donc élever dès aujourd'hui leur niveau de détection de fraude afin de pouvoir offrir à moyen terme les exemptions au plus grand nombre.
À savoir:
Échanger les bonnes données
Les commerçants doivent être acteurs dans la décision du déclenchement en communiquant les informations utiles aux émetteurs pour statuer. Une donnée est utile si elle est partagée (champ valorisé), de qualité (e-mail complet, adresse valorisée dans les champs correspondants) et représentative (adresse IP publique et non pas privée, patronyme en caractère latin...). Voici les quelques données qu'ils devront intégrer à leurs flux de paiement et envoyer aux émetteurs: appareil depuis lequel la transaction est initiée; informations relatives aux précédentes; authentifications du client sur leur site, leur évaluation de risque concernant la commande du client et leur demande d'exemption (ou non) sur la transaction.
Faire évoluer son analyse de risques
L'évolution du modèle induit par les RTS implique également de faire évoluer les solutions d'analyse de risques. N'ayant plus vocation à déclencher la demande d'authentification, ces solutions devront être en mesure de transmettre leur analyse (et leur recommandation) aux émetteurs en s'appuyant, entre autres, sur de nouvelles données comportementales. Pour anticiper ce changement, le commerçant doit s'assurer que son prestataire de paiement est en capacité d'assumer ce rôle, ou vérifier si une solution externe est nécessaire.
Bien qualifier ses demandes d'exemption et les transmettre à l'émetteur
Grâce à leur analyse de risques, les commerçants seront en mesure d'identifier précisément les transactions qui pourraient être exemptées. Vigilance toutefois avec ce levier, puisqu'il agit directement sur leur taux de fraude, leur taux d'acceptation et la responsabilité de l'impayé. En effet, s'ils demandent une exemption et que la banque émettrice suit leur recommandation, ils seront responsables de l'impayé en cas de fraude, et contribueront à l'augmentation du taux de fraude.
Les banques émettrices devront alors réagir, en déclenchant davantage les demandes d'authentification forte sur leurs clients, pouvant réduire significativement leur taux d'acceptation. Les RTS mettent alors en lumière la relation de confiance nécessaire entre marchands et banques émettrices.
Ces dernières sont certes les décisionnaires dans le déclenchement de l'authentification forte, mais elles ne peuvent prendre cette décision sans l'appui des marchands. En apportant des informations complémentaires au profilage d'un fraudeur, les marchands aident les banques émettrices à statuer et contribuer à des déclenchements plus efficients. Dans ces conditions, il est possible de limiter les impacts potentiellement négatifs de l'obligation d'authentification forte sur l'activité des e-commerçants avec à la clé des opportunités d'accélération sur les enjeux de digitalisation et de fidélisation client.
L'auteur
Sasha Pons est chief product officer chez Dalenys. Il totalise plus de dix ans d'expérience dans les domaines de la cybersécurité, prévention de la fraude et conformité dans les secteurs de l'e-commerce international, du retail et des technologies. Depuis juin 2020, il dirige l'équipe produit de Dalenys, la plateforme de paiement unifiée pour le commerce, rattachée à Natixis Payments. De 2016 à 2019, il était directeur produit et prévention de la fraude de l'offre e-paiement d'Ingenico. Précédemment, il a occupé des postes de fraud management pour Booking.com et de sécurité informatique au sein du groupe Casino International.