DSP2 : comment les e-commerçants doivent-ils s'adapter aux nouvelles règles de lutte contre la fraude ?
DSP2, la réglementation qui change la donne pour les paiements en ligne.
Avec une progression de 12% de chiffre d'affaires en moyenne chaque année sur les 5 dernières années (source : Rapport annuel Fevad 2021), l'e-commerce poursuit une forte croissance. Mais qui dit croissance des paiements en ligne, dit augmentation des fraudes. La Directive sur les Services de Paiement 2 DSP2 s'est emparée du sujet avec son volet sur l'authentification forte. Cette réglementation européenne vient remplacer la DSP1 et renforce la lutte contre la fraude, la sécurité des paiements en ligne et des opérations bancaires.
Elle exige de procéder à une authentification forte sur toutes les transactions (sauf exemptions), et de passer par une nouvelle version du protocole de sécurité 3D Secure (3DS) : la version 2. Son application en France est devenue obligatoire depuis le 15 mai 2021.
Face à ces évolutions, les prestataires de services de paiement (PSP) sont en première ligne pour aider les e-commerçants à anticiper la réglementation. Par exemple la Fintech spécialiste des paiements digitaux Dalenys, avec son expertise en lutte contre la fraude et son infrastructure data, a anticipé les changements pour accompagner ses clients au mieux. Car l'objectif est double : se conformer à la réglementation, mais sans perdre la fluidité des parcours clients, qui impacte directement les taux de conversion.
Avec la DSP2, les changements sont en effet profonds. Avant son entrée en vigueur, le déclenchement de l'authentification forte était du ressort du e-commerçant, qui décidait où placer le curseur entre le tout sécurisé et la fluidité de parcours client sans authentification. Les prestataires de paiement, à l'aide d'outils de risques et de Machine Learning pour les plus précurseurs, évaluait avec les e-commerçants chaque situation. En fonction de son analyse de risques, le e-commerçant décidait lui-même la stratégie à adopter, et pouvait déclencher ou non l'authentification. Avec la DSP2, le modèle est bouleversé : les commerçants n'ont plus le choix, ce sont les banques des clients (appelées banques émettrices) qui ont la main. Selon les données qu'elles reçoivent de la part des e-commerçants, elles décident d'accorder (ou non) l'exemption à l'authentification forte.
Des parcours clients modifiés avec la DSP2
Avec la DSP2, la majorité des transactions donne lieu à une authentification forte. Des exemptions existent, mais elles sont soumises à des seuils de taux de fraude à ne pas dépasser pour y avoir accès. Dans la majorité des cas, elle s'applique donc.
Cette authentification forte modifie le parcours d'achat des clients : elle ajoute une étape, qui consiste pour le consommateur à donner au moins deux facteurs d'identification parmi la possession (ce que le client possède), la connaissance (ce qu'il connaît) et l'inhérence (ce qu'il est). Concrètement, il s'agit souvent d'approuver son achat en entrant un code sur son application bancaire, ou avec de la biométrie. Que le consommateur n'ait pas son téléphone à portée de main, ou encore qu'il ne capte pas bien à ce moment... de nombreux facteurs peuvent le mettre en difficulté, et conduire à un abandon de panier. Selon une enquête menée pour Dalenys par OpinionWay « E-commerce 2022 : évolutions et attentes des Français », 88% des consommateurs pensent que l'authentification forte est un moyen efficace pour garantir la sécurité des transactions en ligne. Mais 38% le considèrent aussi comme un frein à la consommation en ligne.
Les e-commerçants ont donc intérêt à étudier les exemptions possibles et comment y accéder, afin de ne pas imposer l'authentification forte de manière systématique à leurs clients. Les prestataires de services de paiement comme Dalenys sont parfaitement outillés pour leur fournir des analyses poussées et baisser aux maximum leurs taux de fraude pour accéder à ces fameuses exemptions.
Pour accompagner ses clients face à la DSP2, et leur permettre de gagner en performance, Dalenys a mis en place un programme d'accompagnement complet avec un ensemble de solutions :
- Un moteur de règles adapté à l'activité de chaque e-commerçant, avec des règles sur-mesure pour bloquer en temps réel les transactions frauduleuses
- Un monitoring efficace qui permet de prendre les bonnes décisions dans le cadre de la DSP2 : frictionless (parcours sans authentification forte) ou challenge (parcours avec authentification forte).
- Des reportings et une analyse en continu pour optimiser la stratégie : revue des impayés, surveillance de trafic, amélioration d'algorithmes...
La migration vers le 3DSv2 imposée par la DSP2 : comment sauter le pas ?
Le 3D Secure v2 (3DSv2) est l'évolution du 3D Secure v1, protocole de sécurité conçu pour lutter contre le blanchiment d'argent et la fraude bancaire lors des transactions en ligne. Introduit par la DSP2, il co-existe pour le moment avec le 3DSv1 jusqu'en 2022. L'objectif du 3DSV2 est de permettre d'échanger de nombreuses données avec la banque émettrice, afin d'accéder aux exemptions à l'authentification forte prévues par la réglementation, et donc de continuer à offrir des parcours d'achat fluides aux clients, dits « frictionless » (sans friction).
Il est donc dans l'intérêt des commerçants d'anticiper cette migration en commençant à récolter et envoyer des données par le biais du nouveau protocole 3DS v2. Le commerçant doit également veiller à spécifier pour chaque transaction s'il demande une exemption ou non.
Enfin, il faut s'assurer que les taux de conversion ne soient pas trop impactés par le changement de protocole. Il convient de migrer progressivement, avec l'aide du PSP qui vérifiera le bon déroulé des opérations et les impacts sur les flux concernés. L'idéal est de prévoir une réunion avec le Prestataire de Services de Paiement pour définir la stratégie de migration et un planning.
Une fois la migration effectuée, il est important de renforcer le pilotage des indicateurs de performance pour contrôler les impacts de la DSP2 sur le business (et pouvoir adapter les paramètres si besoin). Des KPIs comme l'évolution du taux d'acceptation, le suivi du pourcentage de « soft decline » et « frictionless », ou encore l'analyse du taux de fraude (impayés) sont de bons indicateurs.
De nombreuses actions sont donc en cours du côté des e-commerçants, des prestataires de services de paiement comme des banques émettrices pour intégrer les évolutions de la DSP2. C'est tout l'écosystème qui adapte ses modes de fonctionnement face aux nouvelles règles de lutte contre la fraude, qui constituent un nouveau paradigme dans le monde du e-commerce.
Sur le même thème
Voir tous les articles Cybersécurité