Le protocole 3D Secure rassure les clients depuis 16 ans en offrant un niveau de sécurité supplémentaire pour les transactions en ligne sans présentation de carte.
Il protège également les commerçants contre les débits frauduleux en vérifiant l'identité du titulaire de la carte au moment du paiement par l'intermédiaire de la banque émettrice.
Malgré les avantages liés à la protection des commerçants et des clients, le processus a donné lieu à une relation d'amour et de haine entre le protocole 3DS et les utilisateurs.
C'est un peu comme prendre des médicaments : vous savez que c'est pour votre bien et que cela vous protégera contre la menace d'une maladie, mais c'est pénible de ne pas oublier de les prendre et cela peut laisser un mauvais goût dans la bouche.
Bien que la menace de la criminalité et de la fraude par le biais des paiements en ligne soit largement reconnue, la vérité est que la plupart des acheteurs en ligne n'ont pas eu à y faire face directement.
Lorsqu'ils sont confrontés aux étapes d'authentification au moment du paiement, ils peuvent soit les juger inutiles et les considérer comme une simple irritation, soit, au contraire, ne pas être familiarisés avec le processus et le considérer comme une menace pour la sécurité lorsqu'ils sont invités à fournir des informations supplémentaires.
Ces deux situations ont un effet néfaste sur l'expérience du client et peuvent l'amener à abandonner la transaction. Cela a un impact direct sur les taux de conversion et, par conséquent, les commerçants pourraient ne pas être très enthousiastes à l'idée d'adopter le protocole dès le départ.
Le problème, c'est que la fraude en ligne n'est pas près de disparaître. En fait, elle s'aggrave, car les fraudeurs cherchent des moyens plus sophistiqués de détourner nos paiements en ligne.
Par conséquent, la sécurité apportée par 3D Secure devient de plus en plus pertinente au fil du temps.
EMVCo s'attaque de front à ces problèmes avec la spécification 3D Secure 2.0.
Cela inclut une intégration mobile complète avec le développement de SDK, permettant aux commerçants d'intégrer facilement le processus d'authentification 3D Secure dans leurs applications mobiles.
Cela a considérablement amélioré l'expérience 3DS sur les appareils mobiles et a permis aux commerçants de protéger leurs clients contre la fraude sur une plus grande variété de plateformes.
3DS 2.0 permet également l'authentification sans paiement, par exemple lorsque les utilisateurs saisissent les détails de leur carte dans un portefeuille mobile.
L'accent mis sur le SCA comme l'authentification à deux facteurs (par exemple, les mots de passe à usage unique et l'authentification biométrique) signifie également que le protocole est conforme à des réglementations telles que la PSD2, ce qui facilite la mise en conformité des institutions financières qui adoptent 3DS 2.0.
Plus important encore, 3DS 2.0 améliore considérablement l'expérience du client en introduisant un flux sans friction grâce à une authentification basée sur le risque.
L'authentification basée sur le risque consiste simplement à déterminer le risque lié à une transaction particulière et, en fonction du niveau de risque, à décider si l'utilisateur doit ou non être soumis à des étapes d'authentification supplémentaires.
En prenant en charge des échanges de données plus riches et un partage de données supplémentaire lors des transactions en ligne, 3D Secure 2.0 améliore les capacités d'authentification basées sur le risque des commerçants et des émetteurs.
Les éléments de données supplémentaires au moment de la transaction peuvent être utilisés à la fois par l'émetteur et le commerçant pour prendre une décision plus éclairée quant à la poursuite ou non des étapes d'authentification 3D Secure.
Les transactions sont passées au crible pour détecter les éléments qui les classeraient dans différentes catégories de risque.
Ces éléments fondés sur le risque comprennent
La valeur de la transaction
Nouveau client ou client existant
Historique des transactions
Antécédents comportementaux
Informations sur l'appareil
Ainsi, si le commerçant détecte qu'une nouvelle carte est utilisée sur le système par un utilisateur sans historique de transactions, le risque sera probablement considéré comme élevé et le processus d'authentification sera requis.
Toutefois, si le commerçant dispose déjà de la carte dans le système et que l'utilisateur a déjà effectué des paiements par l'intermédiaire de la plateforme, le risque est faible et l'authentification 3D Secure peut être contournée pour effectuer la transaction.
De même, si le client a un historique d'achat avec la plateforme, mais qu'il l'utilise peut-être sur un nouvel appareil qu'il n'a jamais utilisé auparavant, le commerçant peut décider de demander une authentification par 3DS, car il y a maintenant une variable inconnue.
Grâce à l'authentification basée sur le risque effectuée dans l'ACS, le flux sans friction permet aux émetteurs d'approuver une transaction sans avoir besoin d'interagir avec le titulaire de la carte.
Lorsque le client effectue un achat en ligne, il ajoute un article à son panier, remplit les informations normales relatives à l'achat, puis confirme l'achat.
Les détails de l'achat, y compris les données relatives à l'appareil, l'article acheté et la valeur, sont transmis au serveur ACS afin de déterminer l'authenticité du titulaire de la carte.
Le SAC l'examinera ensuite à l'aide des éléments fondés sur le risque. Si le risque est jugé faible, le SAC peut authentifier le client passivement et ne pas l'importuner avec une confirmation supplémentaire.
Il s'agit d'un processus sans friction pour le client, puisqu'il se déroule en coulisses. Il est dirigé directement vers l'écran de confirmation de l'achat, sans même savoir que sa transaction a été filtrée.
La plateforme du commerçant ne demandera une authentification supplémentaire que si le risque est élevé. Grâce à l'utilisation de l'authentification basée sur le risque, l'objectif de 3D Secure 2.0 est que cela ne se produise que dans un faible pourcentage des transactions.
Pour les clients, l'avantage est de savoir que leurs paiements sont protégés et qu'ils peuvent toujours profiter d'une expérience d'achat simple et ininterrompue.
L'avantage pour les commerçants est qu'ils continuent à bénéficier des avantages de la mise en œuvre du protocole 3D Secure sur leur plateforme, comme la protection contre les débits frauduleux, tout en s'assurant que leurs clients sont protégés contre les transactions non autorisées.
Le client bénéficie d'une expérience plus fluide sur la plateforme du commerçant puisqu'il n'est pas mis au défi. Cela signifie que le taux d'abandon dû au protocole 3DS sera considérablement réduit et que le client reviendra volontiers sur la plateforme du commerçant.
Dans l'ensemble, la deuxième itération du protocole 3DS est une grande amélioration pour toutes les parties concernées.
Il permet aux commerçants d'assurer une protection sur plusieurs plateformes en s'intégrant facilement dans leurs systèmes, y compris les applications mobiles, tout en étant en mesure d'exploiter les avantages offerts par le protocole. On estime également que les taux d'abandon de panier diminueront considérablement.
Les émetteurs peuvent partager et recevoir davantage de données avec les commerçants, ce qui leur permet de mieux comprendre les schémas transactionnels, de déterminer le risque avec une plus grande précision et d'améliorer ainsi le processus d'authentification. 3DS 2.0 offrira également aux banques la possibilité de se conformer sans effort aux exigences de la directive PSD2.
Pour les clients, les mises à jour sont peut-être les plus bénéfiques. Ils peuvent désormais bénéficier d'une protection contre les transactions frauduleuses sur la plupart des plateformes.
Non seulement les transactions seront plus sûres grâce à la mise en œuvre de méthodes de protection accrues telles que l'authentification à deux facteurs, mais l'expérience de l'utilisateur sera également grandement améliorée par des flux sans friction grâce à l'authentification basée sur le risque.
Mike Lemberger, premier vice-président de Visa, a parfaitement résumé les améliorations ;
"En contribuant au développement de 3DS 2.0, nous sommes en mesure d'offrir un service d'authentification amélioré qui rend ces paiements à la fois plus rapides et plus sûrs. Pour les détaillants européens, cela permet de relever le défi permanent de la réduction des abandons de panier sur le marché du commerce électronique. Cette mise à jour fournit également tous les outils nécessaires pour assurer la conformité PSD2 pour les paiements par carte - un avantage majeur qui ne doit pas être sous-estimé".