e-commerce

Identification forte DSP2 : comment ça marche ?

Le 25/08/2021
par Cécile Vicini
La directive sur les services de paiement, dite DSP2, est une norme de sécurité, devenue obligatoire pour les sites de e-commerce depuis le 15 mai dernier. Objectif : lutter contre les fraudes à la carte bancaire, tout en protégeant e-commerçants et consommateurs. Elle concerne les paiements en ligne à partir de 30 € d’achat : les artisans sont donc concernés par cette mesure. Mais existe-t-il des exceptions ? Faisons le point.
Partager :

DSP2 : quelles sont les grandes lignes ? 

La directive sur les services de paiement est une mesure qui a été votée en 2015 par le Parlement Européen.

Elle est entrée en vigueur au cours du mois de septembre 2019 dans la réglementation sur les paiements en ligne en Union européenne. 

Au-delà d’une simple réglementation, elle vise à moderniser les services de paiement pour préserver la sécurité des consommateurs, mais aussi des entreprises qui commercialisent leurs produits en ligne

Quelles sont les dispositions prises par la DS2P ? 

Cette norme prévoit plusieurs points : 

 L’interdiction de la surfacturation, c’est-à-dire l’interdiction des frais imputés pour les paiements par carte bancaire ; 

 La franchise passe de 150 à 50 € en cas de paiement frauduleux par carte avant l’opposition ; 

 Les consommateurs bénéficieront d’un délai plus rapide pour le remboursement

 Un droit au remboursement inconditionnel pour les prélèvements en euros ; 

 L’authentification forte est obligatoire dès lors qu’un paiement de plus de 30 € est effectué. 

Comment se passe un achat en ligne ? 

Un seul élément ne suffit plus au client pour s’authentifier lors du paiement.

Désormais, lorsqu’un achat est réalisé sur un site marchand, plusieurs éléments d’identification sont demandés au consommateur : 

  • Un code numérique - élément de connaissance
  • Un numéro de téléphone - élément de possession
  • Une empreinte digitale, facile ou vocale - éléments d’inhérence

Dans la majorité des cas, les banques demandent à leurs clients de télécharger une application mobile spécifique au service d’authentification forte. 

Au moment du paiement, le client est notifié et invité à renseigner son mot de passe pour valider le paiement

Si le client ne dispose pas de smartphone, ou s’il ne souhaite pas utiliser cette application, des alternatives sont proposées par les établissements bancaires, comme le SMS et un mot de passe

Y a-t-il des exceptions à cette authentification forte ? 

Même si l’authentification forte est obligatoire dès 30 € pour un achat en ligne, les commerçants peuvent bénéficier d’exemptions auprès de leur banque dans plusieurs cas de figure : 

Les achats de plus de 30 € qui sont considérés comme peu risqués (dans ce cas, le commerçant utilise le mode "frictionless" du protocole 3-D Secure V2 pour un parcours d’achat sans friction). Pour cette exemption, d'autres facteurs doivent être réunis, notamment la fiabilité accordée au site, cf critères ci dessous ;

→ Les dépenses régulières

→ Les abonnements

→ Lorsqu’un site marchand est désigné comme bénéficiaire de confiance

→ Lorsqu’un site marchand compte un faible nombre de fraudes

Bon à savoir : les solutions de paiement telles que Apple Pay, Google Pay, Samsung Pay et PayPal sont conformes à la directive DSP2.

En complément de ces éléments, le e-commerçant doit apporter d’autres compétences pour bénéficier de ces exemptions, à savoir : 

→ Démontrer son potentiel technique quant à la gestion des paiements en ligne

→ Être en mesure de présenter son faible niveau de risque de fraude

>> Pour en savoir plus, la Banque de France a mis une vidéo dédiée au sujet sur sa chaîne YouTube. 

Partager :