Quelles sont les obligations relatives à la DSP2 ?

DSP2 : pourquoi généraliser l'authentification forte ?

La réglementation DSP2 ou la directive sur les services de paiements régit les normes de sécurité pour les paiements en ligne. Son objectif est :

• De favoriser la concurrence et l'efficience ;
• De promouvoir l'innovation ;
• De renforcer la sécurisation des paiements en ligne ;
• D'instaurer une solution d'authentification forte lors des transactions ;
• D'améliorer la confiance des clients.

La directive européenne DSP2 est pleinement en vigueur depuis 2021 en France, pour une date théorique d'application en 2018.

DPSP2 : c'est quoi l'authentification forte ?

Selon la directive DSP2, pour que l'utilisateur puisse accéder au volet paiement, il doit :

• Utiliser un mot de passe ;
• Posséder un appareil sécurisé (smartphone, tablette, carte à puce, etc.) ;
• Se servir de ses données personnelles (empreinte digitale, reconnaissance faciale ou vocale, etc.).

Lors d'un achat en ligne, le client peut effectuer un paiement via sa carte bancaire. La confirmation de la transaction (par le système 3D Secure par exemple) permet d'éviter les piratages. Cette étape prévient également les tentatives de fraude durant le parcours de paiement.

DPSP2 : y a-t-il des exceptions ?

La réglementation DSP2 a prévu quelques exceptions. Parmi les paiements non soumis à l'authentification forte, il est possible de citer :

• Les transactions à risque minime : montant en dessous de 30 euros et taux de fraude faible ;
• Les abonnements et les paiements répétitifs : la première transaction requiert quand même le Strong Customer Authentication ;
• Les listes blanches : chaque client peut dresser une liste de fournisseurs de confiance ;
• Les transactions MOTO ou Mail Orders and telephone Orders ;
• Les transactions interrégionales ;
• Les paiements via une carte d'affaires.

DSP2 : comment gérer ses demandes d'exemptions ?

Les grandes sociétés disposent souvent d'un service antifraude et couvrent les garanties en cas de problème.  Elles effectuent donc leur propre scoring.

En revanche, les TPE et les PME doivent procéder à une authentification forte pour garantir la sécurité des transactions.

Vous pouvez demander des exemptions à la banque émettrice. Cette dernière analyse et évalue votre demande selon :

• Sa capacité de gestion ;
• Le risque de fraude ;
• Les accords conclus avec le titulaire de la carte.

DSP2 : comment conserver un parcours de paiement fluide ?

La DSP2 prend en compte les enjeux sécuritaires, mais complique le parcours de paiement. Pour garantir un parcours client fluide, certaines alternatives de paiement s'avèrent pratiques. Parmi eux, vous pouvez opter pour :

• Le paiement via PayPal : la plateforme gère les litiges et les fraudes ;
• Le virement Sepa (taux de fraude à 0,03 %) ;
• Les paiements via une carte bancaire (0,17 %) ;
• La cryptomonnaie ;
• Le Rakuten Cash.

Pour minimiser les impacts de la directive DSP2, vous pouvez :

• Communiquer votre préférence selon l'analyse des risques à l'émetteur ;
• Gérer les taux de fraude en fonction de la Transaction Risk Analysis ;
• Communiquer auprès des consommateurs l'impact de la réglementation DSP2 sur leur parcours d'achat.