Authentification forte du client

Ce que les entreprises en ligne doivent savoir sur la directive européenne

  1. Introduction
  2. Qu’est-ce que l’authentification forte du client ?
    1. Quand l’authentification forte du client est-elle requise ?
    2. Comment authentifier un paiement par carte bancaire
    3. Fonctionnement de la responsabilité associée aux litiges pour fraude dans le contexte de la 3DS
    4. Exemptions de l’authentification forte du client
    5. Que se passe-t-il si une exemption est refusée ?
    6. Comment Stripe vous aide à satisfaire les exigences de l’authentification forte du client
    7. Modifications à venir

Ce guide passe en revue les exigences européennes d'authentification forte du client (SCA) introduites par la Directive sur les services de paiement 2e version (DSP2) ainsi que les types de paiements concernés. Il décrit également les exemptions qui peuvent être sollicitées au nom des entreprises afin d'offrir une expérience de paiement fluide.

Nous avons également rédigé un guide pour vous aider à déterminer quand ajouter l'authentification dans votre parcours client et un autre sur la manière d'appréhender la Directive sur les services de paiement 3e version (DSP3) à venir. Consultez notre site pour plus d'informations sur les produits prêts pour la SCA de Stripe.

Qu'est-ce que l'authentification forte du client ?

L'authentification forte du client (SCA) est une réglementation européenne visant à réduire la fraude et à sécuriser les paiements en ligne et sans contact. Pour accepter des paiements tout en vous conformant aux exigences de la SCA, vous devez ajouter une étape d'authentification supplémentaire à votre tunnel de paiement. L'authentification forte du client utilise au moins deux des trois éléments suivants.

Ces exigences sont évoquées dans le texte original sur les Normes techniques réglementaires ou RTS. Les banques doivent refuser les paiements qui ne satisfont pas aux exigences de la SCA.

Quand l'authentification forte du client est-elle requise ?

L'authentification forte du client concerne les paiements en ligne initiés par les clients et les paiements hors-ligne sans contact effectués au Royaume-Uni et au sein de l'Europe. Tous les paiements électroniques (soit les paiements par carte et les virements bancaires) sont soumis à la SCA, à moins qu'une exemption puisse être appliquée ou que la transaction soit considérée comme hors périmètre (par ex. : les transactions initiées par les marchands, comme les prélèvements automatiques).

Ces exigences concernent les transactions par carte pour lesquelles l'entreprise et la banque du titulaire de la carte sont toutes deux implantées dans l'Espace économique européen (EEE).

Comment authentifier un paiement par carte bancaire

À l'heure actuelle, les paiements en ligne sont le plus souvent authentifiés via le protocole 3D Secure, une norme d'authentification prise en charge par la majorité des cartes européennes. L'utilisation de 3D Secure ajoute généralement une étape supplémentaire au tunnel de paiement, dans laquelle la banque invite le titulaire de la carte à fournir d'autres informations (par exemple, un code ponctuel envoyé sur son téléphone ou la reconnaissance de ses empreintes d'identification par le biais de son application bancaire mobile).

3D Secure 2 est principalement utilisée pour authentifier les paiements en ligne effectués par carte et garantir le respect des exigences de l'authentification forte du client.

Les transactions par carte effectuées hors-ligne en saisissant un code PIN satisfont déjà les exigences d'authentification. D'autres moyens de paiement qui utilisent une carte, comme Apple Pay ou Google Pay prennent déjà en charge des tunnels de paiement qui comportent une couche d'authentification intégrée (biométrique ou par mot de passe). Ces moyens de paiement permettent aux entreprises d'offrir une expérience de paiement fluide tout en respectant les réglementations.

Fonctionnement de la responsabilité associée aux litiges pour fraude dans le contexte de la 3DS

L'un des avantages de l'application de la SCA en cas d'authentification multifacteur est que les entreprises bénéficient d'une protection contre les litiges pour fraude.

Exemptions de l'authentification forte du client

Tous les paiements n'entrent pas dans le périmètre d'application de l'authentification multifacteur prévu par la SCA. Certains peuvent en effet bénéficier de l'une des exemptions officiellement prévues ou ne sont simplement pas concernés. Dans les cas où une exemption est demandée et acceptée par la banque du titulaire de la carte, la responsabilité des litiges pour fraude incombe à l'entreprise.

Les prestataires de services de paiement comme Stripe sont en mesure de demander des exemptions lors du traitement du paiement. C'est à la banque du détenteur de la carte qu'il revient toutefois d'estimer le niveau de risque de la transaction et de décider d'approuver l'exemption ou d'exiger l'authentification. L'application d'exemptions aux paiements à faible risque peut réduire le nombre d'authentifications nécessaires et ainsi simplifier le processus et réduire l'attrition.

Stripe s'appuie sur l'apprentissage automatique pour déterminer l'exemption la mieux adaptée à chaque cas et vous permettre d'offrir à vos clients l'expérience de paiement la plus fluide possible. Nous avons conçu nos services de paiement prêts pour la SCA de façon à vous aider à protéger vos taux de conversion en tirant parti des exemptions lorsque cela est possible.

Les exemptions les plus fréquentes pour les entreprises qui acceptent des paiements en ligne sont les suivantes.

Transactions à faible risque

Un prestataire de services de paiement (comme Stripe) peut effectuer des analyses du risque en temps réel (soit des évaluations des risques inhérents aux transactions ou TRA) afin de déterminer si une transaction doit être soumise à la SCA. L'application d'une exemption n'est possible que si le taux de fraude des paiements par carte du prestataire de services de paiement n'excède pas les seuils suivants :

  • 0,13 % pour les transactions inférieures à 100 €/85 £
  • 0,06 % pour les transactions inférieures à 250 €/220 £
  • 0,01 % pour les transactions inférieures à 500 €/440 £

Ces seuils seront convertis, le cas échéant, dans les devises locales.

Ceci est sans doute l'une des exemptions les plus utiles pour les entreprises et l'une des plus largement autorisées par les banques. L'évaluation des risques complète en temps réelle de Stripe Radar nous permet d'accorder cette exemption à nos utilisateurs.

Paiements inférieurs à 30 €/25 £

Les paiements de faible montant sont également éligibles à une exemption. Les transactions inférieures à 30 € ou à 25 £ sont considérées de « faible valeur » et peuvent faire l'objet d'une exemption de SCA. Les banques doivent néanmoins demander l'authentification si le titulaire de la carte a déjà bénéficié de cinq exemptions depuis sa dernière authentification réussie ou si la somme des paiements précédemment exemptés dépasse 100 €/85 £. La banque du titulaire de la carte doit savoir combien de fois cette exemption a été utilisée et si l'authentification est nécessaire.

En raison de ces conditions strictes, cette exemption peut ne pas être pertinente pour de nombreux paiements. Nous la prenons toutefois en charge pour nos clients.

Transactions récurrentes

Cette exemption peut être appliquée lorsque le client effectue des paiements récurrents de même montant à la même entreprise. L'authentification forte du client est requise lors du premier paiement du client. Les paiements suivants peuvent ensuite être exemptés de la SCA.

Cette exemption est particulièrement utile pour les entreprises qui facturent des abonnements. Elle est largement prise en charge par les banques européennes. Si vous utilisez Stripe Billing pour créer des abonnements, nous appliquons automatiquement cette exemption lorsque cela est possible et pouvons vous aider à gérer les demandes d'authentification dans le cas où l'exemption serait refusée par la banque du client.

Transactions initiées par le marchand (notamment les abonnements à tarif variable)

Les paiements effectués avec des cartes enregistrées alors que le client n'est pas présent dans le tunnel de paiement (également appelés paiements hors session) peuvent être considérés comme des transactions initiées par le marchand. De par leur nature, ces paiements ne sont pas concernés par la SCA. Dans la pratique, signaler un paiement comme « transaction initiée par le marchand » revient à demander une exemption, et, au même titre que les autres exemptions, il revient à la banque de décider si la transaction doit faire l'objet d'une authentification.

Pour effectuer des transactions initiées par le marchand, vous devez authentifier la carte au moment de son enregistrement ou lors du premier paiement. Enfin, vous devez recueillir le consentement (mandat) du client afin de pouvoir débiter sa carte ultérieurement.

Il s'agit d'un cas d'usage essentiel pour les modèles économiques qui reposent sur les retards de paiement, les abonnements à montant variable ou les factures pour des produits additionnels. Il est pris en charge par la plupart des banques européennes et accepté si la transaction est considérée à faible risque par la banque.

L'API de Stripe vous permet d'authentifier une carte lorsqu'elle est enregistrée pour une utilisation ultérieure et de marquer les paiements ultérieurs comme « transactions initiées par le marchand ». Il est important que les entreprises utilisent les dernières API de Stripe pour s'assurer de leur compatibilité avec la SCA.

Ventes par téléphone (MOTO)

Les informations de carte collectées par téléphone ne sont pas concernées par la SCA et ne requièrent donc pas d'authentification. Ce type de paiement est parfois appelé « commandes par courrier ou téléphone » (MOTO). Tout comme les paiements exemptés, ces transactions doivent être signalées à la banque du titulaire de la carte afin que cette dernière puisse décider d'accepter ou de rejeter la transaction.

Il s'agit d'un cas d'usage important pour toute entreprise qui accepte des paiements par téléphone. Il est largement pris en charge par les banques. Dans ce contexte, les paiements créés via le Dashboard Stripe peuvent être marqués automatiquement comme étant des paiements MOTO.

Si votre entreprise est conforme PCI et que vous avez créé votre propre système pour accepter les commandes par téléphone, nos API de paiements vous permettent de marquer un paiement comme MOTO. Veuillez nous contacter pour activer cette fonctionnalité sur votre compte Stripe et accéder à la documentation technique.

Paiements par carte d'entreprise

Cette exemption concerne les paiements effectués avec une carte d'entreprise hébergée (par exemple, une carte d'entreprise utilisée pour payer les dépenses de transport des employés mais hébergée par une agence de voyages en ligne), ainsi que les dépenses d'entreprise réglées avec des numéros de carte virtuelle (également utilisés dans le secteur du transport).

En raison de sa portée très limitée, cette exemption n'a qu'une utilisation pratique réduite hors du secteur du tourisme. L'exemption elle-même ne peut être demandée que par la banque du titulaire de la carte, étant donné que ni l'entreprise ni les prestataires de paiement (tels que Stripe) ne sont en mesure de détecter si une carte appartient à l'une de ces catégories.

Bénéficiaires fiables

Lors de l'authentification d'un paiement, les clients ont la possibilité de placer une entreprise dans laquelle ils ont confiance sur une liste blanche de façon à ce qu'elle n'ait pas à s'authentifier pour de futurs achats. Ces entreprises sont ajoutées à une liste de « bénéficiaires de confiance » gérée par la banque du client ou le prestataire de services de paiement.

Alors que les listes blanches simplifient les achats récurrents et les abonnements, peu de banques utilisent cette fonctionnalité.

Que se passe-t-il si une exemption est refusée ?

Bien que les exemptions soient très utiles, il ne faut pas oublier que seule la banque du titulaire de la carte peut décider d'accepter ou non une exemption. Les banques peuvent renvoyer des codes de refus pour les paiements qui échouent pour non-acceptation d'une exemption et qui, par conséquent, n'ont pas été authentifiés. Ces paiements doivent alors être de nouveau soumis au client en l'invitant à procéder à une authentification forte. Les produits prêts pour la SCA de Stripe déclenchent automatiquement cette authentification supplémentaire lorsqu'elle est demandée par les banques.

Si votre entreprise est concernée par la SCA, il est probable que votre taux d'abandon de panier augmente si des exemptions sont refusées et que les clients doivent s'authentifier. Ceci est particulièrement important si vous débitez vos clients alors qu'ils sont absents de votre tunnel de paiement (par exemple, lorsqu'ils sont hors session) et qu'ils doivent retourner sur votre site Web ou votre application pour s'authentifier. Pour plus d'informations, consultez notre guide sur la conception de tunnels de paiement pour la SCA.

Comment Stripe vous aide à satisfaire les exigences de l'authentification forte du client

Les changements introduits par l'authentification forte du client ont de profondes répercussions sur le commerce en ligne en Europe. Les entreprises concernées qui n'adhèrent pas à cette réglementation pourraient voir leur taux de conversion chuter à mesure que les règles relatives à la SCA gagnent du terrain parmi les banques européennes.

Outre la prise en charge de méthodes d'authentification comme 3D Secure 2, nous pensons qu'une gestion efficace des exemptions est essentielle pour proposer une expérience de paiement optimisée qui réduit la fraude tout en limitant les complexités pour les clients. Optimisés pour les règles des organismes réglementaires, des banques et des réseaux de cartes, nos produits de paiement appliquent des exemptions pertinentes aux paiements à faible risque de façon à déclencher le protocole 3D Secure uniquement si nécessaire. Par ailleurs, nos modèles avancés d'apprentissage automatique sont conçus pour vous aider à vous adapter à l'évolution de la réglementation relative à la SCA.

Modifications à venir

Les organismes de réglementation du Royaume-Uni et de l'Union européenne travaillent également à la révision des règles qui façonneront l'avenir de la SCA dans les deux régions. À la suite de la révision par la Commission européenne du cadre DSP2 actuel, des propositions ont été émises en faveur d'une troisième directive et d'un règlement sur les services de paiement. Stripe a publié ce guide qui décrit en détail ce à quoi les entreprises peuvent s'attendre avec les nouvelles règles et nous suivons de près l'évolution des réglementations similaires sur le marché britannique.

En savoir plus sur les produits prêts pour la SCA de Stripe. Si vous avez des questions ou des remarques, n'hésitez pas à nous en faire part.

Envie de vous lancer ?

Créez un compte et commencez à accepter des paiements rapidement, sans avoir à signer de contrat ni à fournir vos coordonnées bancaires. N'hésitez pas à nous contacter pour discuter de solutions personnalisées pour votre entreprise.
Payments

Payments

Acceptez des paiements en ligne, en personne et dans le monde entier, grâce à une solution de paiement adaptée à toutes les entreprises.

Documentation Payments

Trouvez un guide qui vous aidera à intégrer les API de paiement Stripe.