"Plan de migration DSP2: il ne devrait pas se produire d'accroc notable", Bertrand Pinaud

Où en est la fraude sur les paiements en ligne?

Le dernier rapport de l'Observatoire de la sécurité des moyens de paiement, portant sur les chiffres 2019, montrait une poursuite de la baisse du taux de fraude. Cette tendance se maintient, nous ne constatons pas d'explosion de la fraude. J'ai bon espoir que l'année 2021 marque une étape importante dans la chute de celle-ci. La crise liée à la Covid-19 a certes entraîné une hausse du phishing, qui permet d'accéder aux comptes clients des consommateurs, sur lesquels des moyens de paiement peuvent être enregistrés, néanmoins le taux de fraude au paiement en ligne devrait demeurer stable.

Les retailers français et européens rencontrent-ils des difficultés en lien avec la mise en place progressive du soft decline [rejet d'une transaction non conforme par l'émetteur de la carte et possibilité pour le commerçant de la présenter de nouveau après une l'authentification forte]?

Il n'y a pas de big bang, à l'issue duquel nous basculons dans l'authentification forte. Tous les acteurs de la chaîne du paiement travaillent depuis trois ans sur ce dossier. Le calendrier a glissé au fil des années car la transcription en droit français de la DSP2 date de 2018 et la publication des RTS, de mars 2019. Il faut distinguer deux migrations: celle des porteurs de carte et celle des infrastructures de paiement. La crise sanitaire a ralenti le processus chez les banques et les autres acteurs. Ainsi, nous avons revu avec le régulateur le plan de migration, toujours ambitieux, avec un soft decline progressif. Cela a démarré au mois d'octobre avec les transactions de plus de 2000 euros, 1000 euros au 1er janvier, puis 500, 250 euros, 100 euros au 15 avril. Une task force se réunit toutes les semaines à la Banque de France, composée de commerçants, de banques, de schemes et de fédérations de marchands, comme la Fevad. Des discussions bilatérales se sont installées avec les acteurs qui rencontraient des difficultés. Nous continuons de progresser et avons bon espoir qu'il ne se produise pas d'accroc notable, à l'inverse de certains pays d'Europe, lesquels ont brutalement basculé en authentification forte complète au 1er janvier et ont dû revenir en arrière ensuite.

Le groupe Natixis a déjà observé un taux de "retry" [nouvelle présentation d'une transaction après un soft decline] de l'ordre de 17,9% en janvier 2021 et de 26,7% jusqu'au 18 mars 2021. Qu'en est-il du taux de "retry" général?

Le taux de "retry" après un soft decline varie selon les émetteurs. Il est normal que tous les échecs de paiement ne fassent pas l'objet d'un nouvel essai, puisque certains concernent des tentatives de fraude. À chaque passage de seuil [2000, 1000, 100 euros], le soft decline a temporairement augmenté, puisqu'une partie des marchands n'était pas prête. Certains gèrent les "retry" de façon automatique, d'autres le font manuellement.

Comment les e-commerçants peuvent-ils aborder au mieux la question des exemptions [transactions non soumises à l'authentification forte]?

La situation varie énormément entre un grand acteur équipé d'équipes antifraude et un petit commerce qui a pris la solution de sa banque et effectue quasiment 100% d'authentification forte. Les grands comptes effectuent leur scoring, expriment leurs souhaits concernant les transactions frictionless ou l'authentification forte, ils ont la capacité de piloter cela de manière très fine. Lorsqu'un marchand demande un paiement frictionless, il prend la responsabilité de la fraude. Les moteurs de scoring des banques sont auto-apprenants et parviennent à détecter le sérieux des marchands dans leurs demandes d'exemptions. Celles-ci sont de deux ordres: le frictionless fondé sur le risque (aussi appelé TRA) et sur les petits montants. La règle pour les faibles montants est la suivante: toutes les six transactions, il faut soumettre une transaction à l'authentification forte. Ainsi, même pour un paiement de moins de 30 euros, les e-commerçants demandent plutôt une exemption TRA, car cette dernière n'implique pas de compteur.

Plus largement, quels types de problèmes techniques vous ont été remontés par les e-commerçants et les PSP lors des échanges que vous avez eus?

Certains cas complexes ont été pris en compte, à l'instar du paiement fractionné. Un mécanisme permet de chaîner les différentes transactions et de ne pas déclencher l'authentification à partir de la seconde. De même, les paiements mobiles apparaissent assez complexes car le consommateur doit basculer de l'application marchande à l'appli bancaire, puis revenir à la plateforme marchande. Ce problème est en partie résolu, soit par les marchands, qui informent leurs clients de la nécessité de revenir sur leur application, soit via l'appli bancaire.

Pouvez-vous faire un point sur la qualification des transactions?

La qualification distingue trois types de transactions: tout d'abord, le MOTO [mail order telephone order]. Il se situe hors du scope de la DSP2. Viennent ensuite les paiements CIT [customer initiated transaction], initiés par le consommateur, et les MIT, initiés par le marchand. Ces derniers ne nécessitent pas d'authentification forte. Pour un paiement fractionné, par exemple, la première transaction est une CIT, les suivantes sont des MIT. Il en va de même pour les abonnements. Les marchands commettent parfois des erreurs: ainsi, le paiement "one click" a longtemps été considéré comme à l'initiative du marchand. Or, c'est bien un paiement lié au consommateur. Le paiement à l'expédition ou différé doit également être correctement qualifié car l'autorisation effective survient plusieurs semaines après l'authentification. Si la banque voit arriver une transaction mal qualifiée, elle peut appliquer le soft decline à des transactions MIT. Nous avons constaté des dérapages dans les taux d'acceptation de certaines de ces opérations. Il est donc important de bien régler les systèmes de paiement du côté des marchands.

Comment fonctionne le paiement partagé entre plusieurs commerçants du point de vue des RTS?

Tout dépend des acteurs. Sur une marketplace, par exemple, on peut déclencher une authentification multimarchand pour l'ensemble du panier. Il est possible que cela entraîne des difficultés pour bien qualifier l'opération. La marketplace peut, après avoir encaissé le paiement, répartir la somme entre les différents e-commerçants via des virements.

Certains acteurs souhaitent contourner la lourdeur supposée du paiement avec CB par authentification forte via des virements instantanés, que pensez-vous de cette tendance?

Cela fait partie des pistes de réflexion chez un certain nombre d'acteurs. Cette technique ne dispense pas d'une authentification forte mais évite la complexité de la chaîne monétique liée à la carte bancaire. La tentation est forte de s'en affranchir via le virement instantané. Il s'agit d'une transaction de compte à compte: il suffit d'utiliser un wallet marchand, lequel enregistre l'IBAN du consommateur. L'European payements initiative devrait proposer des solutions en Europe dans les années à venir. Par ailleurs, cela dispense du plafond lié à la carte bancaire, ce qui peut s'avérer intéressant pour l'achat de voyages.

D'ailleurs, quid du secteur des voyages, très touché par la crise?

Ces acteurs font l'objet d'une tolérance, il n'était pas question de complexifier leur situation économique. Effectuer la migration DSP2 avec des équipes en chômage partiel ou en télétravail n'est pas évident. Ce secteur devrait basculer d'ici à la fin de l'année. Les circuits monétiques du voyage sont particulièrement complexes, impliquant d'importants agrégateurs pour l'hôtellerie. Toutefois, la Banque de France invite les acteurs qui réalisent des transactions simples à les rendre conformes dès maintenant.

Un conseil pour conclure?

Nous incitons les marchands à informer les clients de ces nouvelles mesures de sécurité. Certes, le SMS ne va pas s'arrêter du jour au lendemain. Les banques peuvent opter pour des "SMS renforcés", avec un mot de passe supplémentaire, pour les consommateurs qui ne peuvent ou ne souhaitent pas s'identifier via l'application bancaire.