Le protocole 3D Secure amélioré, 3DS 2.0, aura un impact important sur le secteur des paiements, notamment en permettant d'élargir le champ de la prévention de la fraude.
Il existe désormais davantage de canaux où le protocole peut être mis en œuvre pour des transactions sécurisées, y compris des plateformes non basées sur des navigateurs et l'intégration mobile.
L'authentification des non-paiements est l'un des aspects qui seront introduits avec 3DS 2.0 et qui permettront au protocole d'être utilisé pour d'autres types de paiements que les paiements traditionnels par navigateur.
Pour comprendre ce concept, il convient d'examiner les bases du fonctionnement du protocole 3DS original.
La version 1 du système 3DS demande aux titulaires de cartes (la personne qui effectue le paiement en ligne) de prouver leur identité à la banque émettrice avant que la transaction ne puisse être effectuée. Cela se fait par le biais d'une fenêtre contextuelle ou d'un cadre en ligne à l'étape du paiement.
Le processus d'authentification a donc toujours lieu pendant le paiement proprement dit. Il en résulte deux problèmes.
Premièrement, les utilisateurs ne sont pas toujours en mesure d'identifier l'authenticité de la fenêtre contextuelle, ce qui suscite souvent la méfiance et entraîne l'abandon de la transaction. Deuxièmement, le protocole 3DS ayant été introduit plusieurs années avant que les paiements mobiles ne soient disponibles, il s'est avéré qu'il y avait des problèmes de compatibilité lorsque le processus d'authentification était mené sur des navigateurs mobiles.
Bien que 3D Secure 2.0 règle les problèmes de compatibilité et offre désormais une expérience plus fluide sur les appareils mobiles, dans certains cas, il permet également aux commerçants de séparer le processus d'authentification du paiement proprement dit.
Cela a un effet direct sur l'abandon des utilisateurs et sur l'expérience des clients.
Pourquoi ?
Alors que les fraudeurs trouvent des moyens de plus en plus sophistiqués pour accéder sans autorisation aux données des cartes de débit et de crédit, nous ne sommes que trop conscients des dangers potentiels des paiements en ligne.
Cela peut rendre le processus de paiement en ligne très stressant. C'est pourquoi les gens abandonnent si facilement lorsqu'ils sont confrontés à une fenêtre contextuelle "inconnue" leur demandant de saisir certaines de leurs informations personnelles.
En éloignant la vérification 3D Secure du paiement proprement dit et en la plaçant dans un environnement moins stressant, c'est-à-dire l'authentification en cas de non-paiement, on peut réduire la méfiance des acheteurs et donc l'abandon de la transaction.
Nous avons vu l'impact que 3DS 2.0 aura sur le secteur des paiements mobiles, notamment l'introduction de SDK mobiles qui aideront les commerçants à intégrer facilement le nouveau protocole dans leurs applications mobiles existantes.
Elle améliorera également le processus de vérification dans son ensemble et permettra l'authentification du non-paiement.
Les portefeuilles mobiles constituent l'une de ces applications.
Ces dernières années, les paiements mobiles ont gagné en popularité, tout comme l'utilisation des portefeuilles mobiles (ou portefeuilles électroniques). Il s'agit d'une plateforme pratique permettant de stocker de l'argent en toute sécurité et de traiter rapidement les paiements en ligne.
Selon une étude réalisée par Mastercard, les portefeuilles numériques ont été mentionnés d'une manière ou d'une autre dans 75 % de toutes les conversations sur les médias sociaux qui ont été suivies. Une autre enquête menée par Points a révélé que près de 100 % des consommateurs utiliseraient un portefeuille mobile plus fréquemment s'il offrait une sorte de récompense de fidélité.
L'un des grands avantages des portefeuilles mobiles est la possibilité pour les utilisateurs de stocker les détails de leur carte de crédit ou de débit dans l'application. Les transactions peuvent donc être effectuées par l'intermédiaire de la plateforme sans qu'il soit nécessaire de saisir les détails de la carte à chaque fois que l'on effectue un paiement.
C'est là que la fonctionnalité supplémentaire de 3DS 2.0 entre en jeu. Elle permet d'effectuer le processus d'authentification dans l'application mobile du commerçant, offrant ainsi une couche de sécurité supplémentaire au moment où l'utilisateur saisit les détails de sa carte sur la plateforme pour une utilisation ultérieure.
Cela signifie que le processus d'authentification est passé de l'environnement de paiement à un environnement de non-paiement approuvé par l'émetteur.
Le processus d'authentification sera également cohérent avec le reste de l'expérience in-app, ce qui est moins inquiétant pour les utilisateurs.
Les fournisseurs de portefeuilles mobiles peuvent vérifier l'authenticité de l'utilisateur en empruntant les informations de la banque émettrice par le biais d'une simple connexion au serveur d'annuaire en utilisant un serveur 3DS en conjonction avec le SDK mobile des fournisseurs agréés.
Le développement de la DSP2 (la deuxième directive sur les services de paiement de l'Union européenne) a donné lieu à des chevauchements importants avec certaines fonctions du nouveau protocole 3D Secure 2.0, en particulier en ce qui concerne l'ACS (authentification forte du client), y compris l'ACF (authentification à deux facteurs) et les OTP (mots de passe à usage unique).
Les nouvelles règles de la DSP2 stipulent que l'ACS sera exigée pour les paiements électroniques dépassant un certain montant (environ 10 euros). Elles définissent le SCA comme "l'utilisation de deux ou plusieurs éléments catégorisés comme connaissance (quelque chose que seul l'utilisateur sait), possession (quelque chose que seul l'utilisateur possède) et héritage (quelque chose que l'utilisateur est) qui sont indépendants, en ce sens que la violation de l'un ne compromet pas la fiabilité des autres".
C'est essentiellement ce qu'on appelle l'AMF (authentification multifactorielle), qui comprend les OTP, l'authentification biométrique telle que les empreintes digitales ou la reconnaissance faciale, et les codes QR qui peuvent être scannés par les applications mobiles.
Lorsque la nouvelle directive sur les paiements sera mise en œuvre, les banques et autres institutions financières devront se conformer aux réglementations de l'ACS.
Ainsi, si le commerçant détecte qu'une nouvelle carte est utilisée sur le système par un utilisateur sans historique de transactions, le risque sera probablement considéré comme élevé et le processus d'authentification sera requis.
La bonne nouvelle pour les commerçants et les émetteurs est que ce processus d'authentification sans paiement est déjà requis dans le cadre de 3DS 2.0 et qu'il est donc parfaitement conforme aux principes établis dans la PSD2.
Si le protocole 3DS 2.0 est déjà adopté sur la plateforme d'un commerçant, il permettra de se conformer facilement au PDS2 avec peu ou pas de personnalisation, ce qui permettra à toutes les parties concernées de continuer à lutter contre la fraude sans effort.
Les mêmes serveurs ACS que les banques utilisent pour leurs contrôles SCA peuvent être utilisés pour les paiements en ligne qui nécessitent l'authentification 3D Secure. Il pourrait même être judicieux pour les banques de passer à un serveur ACS 3D Secure 2.0.
Jonathan Main, président du conseil d'administration d'EMVCo, a déclaré : "Outre la sécurité, l'expérience du consommateur est au cœur du travail d'EMVCo"
En offrant la possibilité d'une authentification de non-paiement approuvée par l'émetteur, 3DS 2.0 permet aux commerçants et aux émetteurs de franchir une nouvelle étape dans la mise en œuvre d'une expérience client sans friction.
En outre, il permet aux commerçants de renforcer la sécurité des paiements en ligne par le biais d'un éventail plus large de canaux, autres que les transactions par navigateur.
Enfin, l'authentification de non-paiement dans 3DS 2.0 n'aide pas seulement les commerçants à se conformer sans effort à la gouvernance des paiements, comme la DSP2, mais travaille en fait en collaboration avec les régulateurs pour créer un environnement en ligne encore plus sûr pour les clients.