Votre guide pratique de la migration DSP2 - LIVRE BLANC - E-COMMERÇANTS TOUTES LES ÉTAPES POUR INTÉGRER LES CHANGEMENTS ET PILOTER VOTRE ...
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
LIVRE BLANC Votre guide pratique de la migration DSP2 E-COMMERÇANTS TOUTES LES ÉTAPES POUR INTÉGRER LES CHANGEMENTS ET PILOTER VOTRE PERFORMANCE
2. Sommaire 3 Place à l’action 9 Echanger les bonnes données 10 Identifier les exemptions 4 Une période de transition avec le soft decline 11 Faire le bon choix : Challenge, Frictionless ou No Preference ? 5 Le “Soft Retry” : l’outil Dalenys qui minimise l’impact sur votre 12 Comment vous assurer acceptation de pouvoir demander des exemptions « TRA » ? 13 Quels sont les taux de fraude 6 Pourquoi à respecter ? migrer en 3DS v2 maintenant ? 14 Tester & Migrer 7 3DS v2 et authentification forte 15 Communiquer sont-ils indissociables ? auprès des clients Dalenys | Votre guide pratique de la migration DSP2 | Février 2022 8 La checklist 16 Piloter DSP2 des e-commerçants 17 Glossaire 9 Intégrer les changements
3. Place à l’action Avec l’essor du e-commerce et de la fraude par carte bancaire qui sévit toujours, la DSP2 (Directive sur les Services de Paiement 2) vise à renforcer davantage la sécurisation des ventes en ligne. Cette réglementation européenne a instauré de nouvelles exigences technologiques, appelées RTS (Regulatory Technical Standards), que les acteurs du e-commerce ainsi que leur prestataire de paiement doivent intégrer pour tirer parti de la DSP2. La pleine application de la DSP2 s’applique depuis le 15 mai 2021 avec un double changement : Le modèle se transforme Le déclenchement de l’authentification est passé aux mains des banques émettrices (celles de vos clients). La méthodologie évolue L’authentification forte est devenue obligatoire pour toutes les transactions, avec deux facteurs parmi la possession (ce que le client possède), la connaissance (ce qu’il connaît) et l’inhérence (ce qu’il est). Dalenys | Votre guide pratique de la migration DSP2 | Février 2022 Ce qu’il connaît Ce qu’il possède Ce qu’il est ex : mot de passe ex : smartphone ex : biométrie Ces évolutions majeures impactent de plus en plus votre activité avec une augmentation du taux de déclenchement 3D Secure, ce qui entraîne une diminution de votre taux d’acceptation. Afin d’optimiser votre conversion, la DSP2 prévoit des exemptions à l’authentification forte vous permettant ainsi de continuer à proposer des parcours sans friction (frictionless) au plus grand nombre. Bonne lecture ! L’objet de ce guide est ainsi de vous donner les clés pour effectuer une migration réussie et tirer entièrement profit des exemptions offertes par la DSP2.
4. Application de la DSP2 : une période de transition avec le soft decline Depuis le 15 mai 2021, toute transaction non authentifiée de manière forte et non justifiée par une demande d’exemption est refusée par l’émetteur. Les banques peuvent émettre deux types de refus en réponse à une transaction non authentifiée qui aurait dû l’être : Le hard decline Il s’agit d’un refus catégorique de l’émetteur. La transaction est alors définitivement perdue. Le soft decline Ce refus, moins définitif, permet aux commerçants de présenter à nouveau la transaction en intégrant cette fois-ci une authentification forte. Après une mise en place progressive par tranches de montant, initiée en Dalenys | Votre guide pratique de la migration DSP2 | Février 2022 France depuis octobre 2020, ce mécanisme est appliqué à l’ensemble des transactions quel que soit leur montant depuis le 15 mai 2021. En France, les banques ont décidé d’utiliser le soft decline pour permettre aux commerçants de migrer progressivement vers le 3DS v2. Ce mécanisme vise à pousser l’ensemble des acteurs à appliquer pleinement la réglementation, en présentant les paiements de façon conforme : authentifiés ou dûment justifiés par une demande d’exemption.
5. Le “Soft Retry” : l’outil Dalenys qui minimise l’impact sur votre acceptation Suite à l’apparition de ces soft declines, Dalenys a mis en place un système de “Soft Retry” : la transaction est représentée automatiquement en 3DS, rendant ainsi le refus de la banque entièrement invisible pour le client. Après authentification, elle est soumise en autorisation auprès de l’émetteur, comme toute transaction. Ce système de retry a l’avantage de pouvoir convertir des paiements autrement refusés, et ainsi de minimiser l’impact de ce nouveau type de refus sur votre acceptation. 100% Les clients de Dalenys bénéficient déjà depuis octobre 2020 de des transactions Dalenys cette innovation, sous réserve en soft decline sont rejouées d’avoir activé le protocole 3DS automatiquement (quelle que soit la version). vs. 31,7% observées sur l’ensemple des transactions traitées par Natixis* Dalenys s’assure ainsi que leur conversion reste maximale durant cette période de transition. Dalenys | Votre guide pratique de la migration DSP2 | Février 2022 * Données Natixis Payments, Mars 2021 portant sur 20% des transactions françaises
6. Pourquoi migrer en 3DS v2 maintenant ? Bien que l’utilisation du 3DS v1 soit tolérée jusqu’en octobre 2022, il est essentiel pour les commerçants de migrer dès à présent vers le 3DS v2. Les émetteurs appliquent strictement la DSP2 depuis le 15 mai 2021. Cela implique que l’authentification forte devient obligatoire pour chaque transaction, sauf pour les exemptions prévues ou transactions qui ne sont pas dans le champ des RTS (paiements à l’initiative du marchand, paiement par téléopérateur…). Si vous restez en 3DS v1 : Envoyer une transaction non Non, 100% des transactions non authentifiée (non 3DS), est-ce toujours authentifiées subiront un soft decline. possible ? Seul le protocole 3DS v2 le permet. L’utilisation du 3DS v1 ne pourra plus Comment demander une exemption ? permettre à vos clients de bénéficier d’un parcours dit sans friction. Rester en 3DS v1 a-t-il un coût ? La facturation sera plus élevée qu’en 3DS v2. Puis-je migrer en 3DS v2 sans rien faire ? Cela dépend de votre prestataire de paiement, que nous vous invitons à contacter. Chez Dalenys, l’activation est automatique pour nos clients dès qu’ils nous ont donné leur accord. Dalenys | Votre guide pratique de la migration DSP2 | Février 2022 Quels sont les avantages du 3DS v2 ? Optimisation de l’acceptation : Le nombre de faux positifs diminue. Avec ce dispositif de partage d’informations entre les commerçants et les émetteurs, ces derniers seront en capacité de mieux détecter les comportements frauduleux et ainsi réduire le taux de rejet associé à des suspicions de fraude. Amélioration de l’expérience client : Le processus d’authentification est mieux intégré dans le parcours d’achat grâce au déploiement sur tous les types de canaux (mobile, app, digital wallet, montres connectées…). L’authentification du porteur peut se faire sans l’intervention de celui- ci, permettant ainsi de réduire les points de friction lors du parcours d’achat.
7. 3DS v2 et authentification forte sont-ils indissociables ? Non, ces deux notions sont à décorréler. Le 3DS v2 est un protocole technique venant remplacer le 3DS v1, avec de nouveaux champs à intégrer par le commerçant, le PAT/PSP et l’émetteur. Il permet entre autres de véhiculer vos demandes d’exemption. L’authentification forte est une notion instaurée par la DSP2 venant renforcer la méthode d’authentification avec 2 facteurs. Il s’agit donc d’une modification de l’expérience client. Les autorités ont en effet estimé que la méthode la plus couramment utilisée, à savoir le SMS OTP (One time password) n’était pas suffisamment sécurisée. Cette nouvelle méthode d’authentification du porteur s’appuie à la fois sur l’utilisation d’une application bancaire et sur un code de sécurité. Certains émetteurs ont déjà migré vers cette nouvelle méthode depuis 2019. Ainsi, une authentification forte peut être faite avec le protocole 3DS v1 ou v2. Mais Dalenys | Votre guide pratique de la migration DSP2 | Février 2022 les exemptions à l’authentification forte ne peuvent être accordées qu’avec le protocole 3DS v2.
8. La checklist DSP2 des e-commerçants Intégrer les changements Echanger les bonnes données : champs recommandés et optionnels Identifier les exemptions et les transactions hors champ des RTS Savoir faire le bon choix : Challenge, Frictionless ou No Preference Tester & Migrer Contacter son prestataire de paiement Commencer à récolter des données Créer un compte test Migrer progressivement Communiquer auprès des clients Dalenys | Votre guide pratique de la migration DSP2 | Février 2022 Relayer les changements de parcours client Piloter Taux d’acceptation Impayés Taux de fraude Analyse des transactions frauduleuses
9. Intégrer les changements 1. Echanger les bonnes données Proposer un parcours fluide à vos clients est toujours possible avec la pleine application de la DSP2, grâce à une collaboration entre tous les acteurs de la chaîne de paiement. Certaines données aident les émetteurs à statuer si la transaction doit être authentifiée de manière forte ou non. Voici les champs que Dalenys recommande à ses clients* : Données Données consommateur comportementales Adresse de facturation Articles du panier et d’expédition ✓ Contrôle de la valeur ✓ Points de données dérivés, Indicateur d’âge du compte par ex. INSEE DB ✓ Contrôle de la période Numéro de téléphone Délai de livraison ✓ Détection de l’opérateur téléphonique , comme LYRA ✓ Contrôle de la période mobile Catégorie de produit E-mail ✓ Liste blocage selon la ✓ Vélocité valeur, par exemple pour ✓ Liste blocage sur le domaine le secteur high tech Device Scoring Dalenys | Votre guide pratique de la migration DSP2 | Février 2022 Navigateur IP Scoring commerçant ✓ Vélocité ✓ Points de données brutes ✓ Liste blocage selon les fournisseurs de services Internet en anglais dans la documentation technique Dalenys * Il convient d’envoyer a minima les champs dits « recommandés », qui sont My bank spécifiés sur le site développeur de Dalenys : Validez la transaction Vous avez une transaction en attente avec My Bank Mastercard se terminant en 1234 http://bit.ly/dev-3dsecure
10. 2. Identifier les exemptions Dans le cadre de la DSP2, toutes les transactions doivent être authentifiées de manière forte, sauf exemptions et transactions hors du périmètre des RTS. Les transactions qui ne sont pas concernées par l’authentification forte : Petits Transaction Paiement Bénéficiaire Carte non- montants Risk Analysis récurrent de confiance nominative Sauf toutes les 6 opérations Si le taux de 0 - 30€ de paiement ou fraude de montant cumulé l’émetteur OU de >100€ l’acquéreur est Cette < 0,13% Si l’opération 30 - 100€ dérogation de paiement Si le bénéficiaire vise les est effectuée Si le taux de est inscrit par paiements dans le cadre fraude de le payeur sur initiés par d’un paiement 100 - 250€ l’émetteur OU de la liste des des payeurs récurrent à l’acquéreur est bénéficiaires « personnes montant et < 0,06% de confiance morales » bénéficiaire Si le taux de (whitelisting) (cf. article 17 constants fraude de des RTS) 250 - 500€ l’émetteur OU de l’acquéreur est < 0,01% + de 500€ Les transactions hors Evolutions techniques Dalenys | Votre guide pratique de la migration DSP2 | Février 2022 périmètre RTS sont par nature Des évolutions techniques exemptées d’authentification sont à prévoir dans l’envoi du flux de paiement pour les ✓ Paiements à l’initiative du transactions hors périmètre RTS marchand (MIT) et les exemptions. ✓ Paiements par courrier ou téléphone (MOTO) Certaines nécessitent une action de votre part. Renseignez ✓ Transactions inter-régionales vous auprès de votre prestataire (one-leg) de paiement.
11. 3. Faire le bon choix : Challenge, Frictionless ou No Preference ? Avec l’instauration du nouveau protocole 3DS v2, ce sont les banques émettrices qui décident de déclencher ou non l’authentification forte. Toutefois, en tant que commerçant, vous pouvez indiquer votre préférence via votre prestataire de paiement. 3 choix sont possibles : Challenge Frictionless No Preference Vous souhaitez que Vous souhaitez Vous laissez la transaction soit que la transaction l’émetteur choisir. authentifiée. passe sans 3DS, Cela vous prémunit favorisant ainsi la contre l’impayé conversion. mais vous risquez d’avoir davantage de transactions authentifiées. Si vous faites le choix du frictionless, assurez-vous au préalable que la transaction ne comporte pas un risque de fraude. En effet : ✓ c’est vous qui portez la responsabilité de l’impayé en cas de fraude, ✓ vous donnez une mauvaise image de la maîtrise de votre fraude à l’émetteur, qui risque d’appliquer du challenge systématique pour ne prendre aucun risque. Dalenys | Votre guide pratique de la migration DSP2 | Février 2022 Qui porte la responsabilité de l’impayé ? Demandedu Demande Réponse Réponsede de Responsabilité Marchand commerçant l’émetteur l’émetteur de la fraude 3DSv1 3DS v1 n/a n/a Challenge Challenge Emetteur Emetteur Frictionless Frictionless Commerçant Marchand Frictionless Frictionless Challenge Challenge Emetteur Emetteur 3DSv2 3DS v2 Frictionless Frictionless Emetteur Emetteur No NoPref pref ou ou Challenge Challenge Challenge Challenge Emetteur Emetteur
12. Zoom sur le moteur de règles Dalenys Notre outil de lutte contre la fraude est un puissant moteur de règles comportementales, dont les métriques peuvent être combinées pour cibler avec une haute précision les comportements frauduleux. Des règles standards génériques peuvent être associées avec des règles sur-mesure correspondant au contexte de chaque commerçant. Pour les e-commerçants Dalenys qui utilisent notre moteur de règles, nous effectuons directement les demandes de challenge ou frictionless pour eux, en fonction de l’analyse effectuée par l’outil. Comment vous assurer de pouvoir demander des exemptions dites « TRA » ? Choisir entre « Challenge », « Frictionless » ou « No Preference » n’est pas anodin. Dalenys | Votre guide pratique de la migration DSP2 | Février 2022 Si votre demande de frictionless est accordée par l'émetteur, mais qu’elle donne suite à un impayé : ✓ la responsabilité vous incombe, ✓ l’impayé viendra augmenter votre taux de fraude, ✓ il risque d’engendrer la méfiance de l’émetteur sur vos décisions, entraînant une augmentation de ses décisions de challenge. Or, pour rappel, demander une exemption « Transaction Risk Analysis » vous oblige à respecter des seuils de taux de fraude par tranche de montants (voir détail de ces seuils page suivante). Sans cela, votre demande de frictionless sera refusée et transformée en challenge par l’émetteur. Il convient donc d'assurer une analyse de risque pour chaque transaction avant de choisir comment la labelliser.
13. Quels sont les taux de fraude à respecter ? Taux de fraude inferieur à 0,13% Taux de fraude inferieur à 0,06% Taux de fraude inferieur à Pas de TRA 0,01% Montants inférieurs Montants inférieurs Montants inférieurs Montants supérieurs à 100 € à 250€ à 500€ à 500€ Comment se calcule le taux de fraude ? La fraude constatée par le marchand résulte en grande partie des impayés. Calculer son taux de fraude sur cette base est un bon indicateur, mais incomplet pour s’assurer de l’exemption TRA. En effet, la banque émettrice possède une vue sur la fraude plus exhaustive, notamment toutes les transactions frauduleuses qui n’ont pas donné lieu à une contestation. C’est le taux de fraude émetteur qui est utilisé pour accorder ou non le frictionless, et ce taux différera de celui que vous pouvez calculer en tant que commerçant. Dalenys | Votre guide pratique de la migration DSP2 | Février 2022 Dalenys fournit à ses clients une vue sur leurs transactions frauduleuses, leur permettant ainsi de suivre leur taux de fraude. Demander du frictionless ne garantit pas que l’émetteur accepte Même si l’analyse TRA effectuée par le commerçant recommande du frictionless, c’est l’analyse côté émetteur qui prévaut. En effet, l’analyse TRA de l’émetteur est celle qui permet de statuer in fine s’il y aura déclenchement du 3DSecure ou un parcours frictionless. A ce titre elle doit être auditable par le régulateur.
14. Tester & Migrer Contactez votre prestataire de paiement pour organiser avec lui votre migration. Chez Dalenys, un Customer Success Manager (CSM) étudie avec le e-commerçant sa stratégie générale de migration. Un Service Delivery Manager, véritable expert de l’implémentation, est aussi mis à disposition des équipes techniques du e-commerçant. Déroulé de la migration vers le 3DS v2 avec Dalenys 1. Réunion de lancement avec le Customer Success Manager du e-commerçant pour valider sa stratégie de migration, identifier les opérations hors périmètre et les exemptions possibles. 2. Identification des éventuels champs à ajouter à ses requêtes de paiement pour favoriser le frictionless. Dalenys | Votre guide pratique de la migration DSP2 | Février 2022 3. Envoi de ces paramètres additionnels sur l’environnement de Sandbox, de Dalenys puis une fois les tests validés, en environnement de production. 4. En accord avec les équipes Dalenys, le e-commerçant décide d’une date de migration. Nos équipes activent le 3DS v2 et les nouveaux paramètres sont alors pris en compte.
15. Du côté de vos clients Une bonne pratique : communiquez ! La DSP2 impacte également fortement vos clients, du fait de la double authentification. Pour qu’ils puissent continuer à réaliser des achats de manière sereine sur votre site e-commerce, il est essentiel qu’ils aient bien pris en compte les évolutions de la réglementation et les impacts sur leur parcours d’achat. Votre taux d’acceptation en dépend. Relayer les changements du système d’authentification auprès de vos clients permet de démontrer votre proactivité et votre engagement sur l’expérience client. Vous pouvez les informer notamment sur les actions à réaliser de leur côté (comme le téléchargement de l’application bancaire), et sur les nouveaux parcours induits par la réglementation. Objet : Des paiements Dalenys | Votre guide pratique de la migration DSP2 | Février 2022 plus sécurisés Une nouvelle étape d’authentification avant la validation finale de votre achat Une nouvelle réglementation de paiement obligatoire pour tous les sites e-commerce d’Europe arrive chez nous : la DSP2. Le but ? Renforcer la protection de vos données bancaires et vous protéger d’une éventuelle fraude lors de vos paiements. En bref, vos prochaines commandes seront encore plus sécurisées. Je teste ! Comment ça marche ?
16. Piloter Une fois la migration effectuée, nous vous recommandons de renforcer le monitoring autour de vos opérations afin d’être certains que l’expérience d’achat pour vos clients reste la plus fluide possible. Les indicateurs à surveiller pour être proactif : ✓ Taux d’acceptation ✓ Impayés ✓ Analyse des transactions frauduleuses Dalenys accompagne les e-commerçants Compte tenu des impacts majeurs de la DSP2 sur l’activité e-commerce, Dalenys a mis en place pour ses clients un programme d’accompagnement complet autour de la DSP2 pour gagner en performance. Nous agissons sur tout le parcours de la transaction pour optimiser la conversion tout en continuant à lutter efficacement contre la fraude avec un ensemble de solutions : Le moteur de Le mécanisme Une offre règles Dalenys de Soft Retry “Fraud Dalenys | Votre guide pratique de la migration DSP2 | Février 2022 Premium” Pour aider nos Pour ne perdre clients à envoyer les aucune transaction Pour accompagner bonnes demandes suite à la mise nos clients dans la à l’émetteur : en place du soft maîtrise de leurs frictionless vs. decline taux de fraude. challenge. Toutes nos équipes se tiennent à votre disposition pour optimiser ensemble votre stratégie de lutte contre la fraude et tirer profit de la DSP2. Contactez-nous : hello@dalenys.com
17. Glossaire DSP2 Frictionless (Directive européenne (Sans friction) sur les Services de Paiement 2) Parcours consistant à ne pas ajouter Directive comportant deux volets : l’un sur d’étape supplémentaire au client lors du l’ouverture des données bancaires pour paiement. favoriser l’innovation et la concurrence ; Les données échangées entre l’autre sur la sécurisation des paiements en commerçants et banques suffisent à ligne pour minimiser la fraude. s’assurer de l’identité du client. RTS Challenge (Regulatory Technical Standards) Déclenchement de l’authentification Exigences techniques instaurées dans forte du porteur. le cadre de la DSP2, impliquant une évolution du modèle et de la méthode Hard decline d’authentification utilisés pour sécuriser Refus catégorique émis par la banque les paiements en ligne. du client. Le paiement doit être abandonné. Authentification forte (SCA : Strong Customer Authentication) Soft decline Demande d’authentification forte La demande d’autorisation directe de devant se baser sur au moins deux la transaction sans authentification éléments indépendants liés à l’acheteur : préalable est refusée par la banque du Dalenys | Votre guide pratique de la migration DSP2 | Février 2022 connaissance (ex : mot de passe), client. possession (ex : téléphone), inhérence (ex : Le paiement doit être représenté avec biométrie). une authentification forte. 3DS v2 Soft retry Le 3DS est un protocole EMV (Europay Mécanisme mis au point par Dalenys Mastercard Visa) sécurisé de paiements pour retenter les transactions : en cas effectués sur internet, dont l’objectif est de rejet, cette dernière est de nouveau de s’assurer de l’identité du client pour soumise automatiquement à la banque minimiser la fraude. La nouvelle version du pour autorisation, en appliquant une protocole (3DS v2) renforce la méthode authentification forte 3D Secure. Cette d’authentification. nouvelle soumission s’effectue de manière totalement invisible pour le TRA consommateur, et la banque pourra (Transaction Risk Analysis) cette fois-ci décider de l’accepter. Analyse de risques de la transaction en temps réel devant aboutir à une recommandation (demande d’exemption ou authentification forte).
Dalenys, le partenaire paiement des grands noms du e-commerce et du digital en Europe, est une fintech du Groupe BPCE. +33 1 84 07 07 07 hello@dalenys.com @dalenyscorp Payment is just the start dalenys.com Dalenys Payment - 110 avenue de France, 75013 Paris, France SAS au capital de 18 886 518,20€ - 443 222 682 RCS Paris - NAF 6419Z - Établissement de paiement. Agrément ACPR : 16378 - N°TVA Intracommunautaire : FR12 443 222 682 ©Dalenys - Février 2022
Vous pouvez aussi lire