Strong Customer Authentication (SCA) : Paiements en ligne avec authentification forte

À compter du 14 septembre 2019, une directive européenne relative aux services de paiements inter-Europe, la Directive des Services de Paiement 2 (DSP2), entrera en vigueur. Cette réglementation vise à renforcer la sécurité des paiements et à protéger les consommateurs en imposant des procédures d'authentification fortes lors des paiements réalisés sur Internet.

La SCA, qu'est-ce que cela veut dire ?

Avec cette nouvelle réglementation, nous serons obligés de valider une transaction grâce à 2 de ces 3 types de vérifications :

 

Quelque chose que nous savons : un mot de passe, un code, une question secrète, un schéma, un numéro d'identification
Quelque chose qui nous appartient : un téléphone, un appareil connecté, un jeton éléctronique, une carte à puce, un badge
Quelque chose qui nous caractérise : Empreinte digitale, reconnaissance faciale, vocale, iris, empteinte génétique

Pour réaliser un paiement sur une plateforme e-commerce, nous devrons alors par exemple saisir un mot de passe et nous authentifier avec notre empreinte digitale.

Aujourd'hui, la plupart des banques et sites utilisent 3DSecure 1.0 qui redirige vers une page où l'on doit renseigner un code pour vérifier la transaction. La vérification se fait donc grâce aux codes de la carte bancaire et d'un code de vérification, généralement envoyé par sms. Ce protocole évolue également avec 3DSecure 2.0. À partir du 14 septembre 2019, le numéro de carte bancaire ne sera plus considéré comme un facteur d’authentification valide car il peut être connu par une personne malveillante. Celui-ci sera donc remplacé par un des 2 types de vérification (connaissance ou inhérence).

Un certain nombre de dérogations sont déjà prévues

Les opérations à risque faible et à montant faible

Pour une transaction d’un montant inférieur à 30 euros, jusqu’à 100 euros cumulés ou jusqu’à 5 transactions depuis la dernière SCA. Au delà de 100 euros ou au delà de 5 transactions non authentifiées, un nouveau SCA est requis.

Même si les montants de ses transactions sont toujours inférieurs à 30€, le site marchand doit tout de même prendre en compte la SCA car il peut alors dépasser les 2 autres règles : les 100 euros de cumul ou les 5 dernières transactions.

Les abonnements et opérations récurrentes

Les paiements récurrents tels que les abonnements ne sont pas soumis au SCA dès lors que le montant et le bénéficiaire sont les mêmes. Toutefois, le premier paiement fera lui l'objet d'une authentification forte.

A noter que cela pose problème pour les paiements récurrents avec des montants qui peuvent fluctuer : augmentation après une remise sur une période définie, paiement à la consommation etc.

Les marchands sur liste blanche

Les clients peuvent ajouter des « bénéficiaires de confiance » à une liste blanche auprès de leur banque. Les commerçants sur liste blanche ne sont pas concernés par l'authentification via 3D Secure non plus. Ceci permet d'éviter aux clients qui achètent régulièrement dans une entreprise d'entrer des SCA supplémentaires.

Vous avez un doute ?

Vous avez un site e-commerce Drupal Commerce, Sylius ou OroCommerce, vous ne savez pas si votre site est à jour pour la SCA ou vous avez besoin d'être accompagné ?