[Tribune] Trois erreurs courantes des commerçants concernant la directive DSP2
Conséquences du chargeback, augmentation du nombre de rejets de paiement: la DSP2 n'est pas la panacée contre la fraude, selon Yann Aubry, vice-président EMEA de Forter.
Je m'abonneAvant même son entrée en vigueur, la deuxième version de la directive sur les services de paiement (DSP2) soulevait son lot d'interrogations, d'inquiétudes et d'erreurs quant à la manière dont elle allait modifier les paiements en ligne. Depuis que cette nouvelle règlementation est appliquée, force est de constater que ces questions, ces préoccupations et ces fausses idées sont encore plus répandues!
Il est important de souligner que le secteur des paiements numériques dans son ensemble connait une transformation en profondeur -une évolution dont la directive DSP2 n'est qu'un élément. Les systèmes bancaires traditionnels vont devoir intégrer des technologies innovantes, les prestataires de services de paiements faciliter les communications numériques, et l'écosystème évoluer de gré ou de force vers une nouvelle ère de transparence.
Dans ce contexte, les commerçants doivent bien comprendre que la directive DSP2 n'est qu'un palier dans la mutation qui touche le monde des paiements; une fois cette étape franchie, elle pourra être utilisée dans le cadre d'une solution de paiement plus robuste dont les clients, mais également les performances des enseignes, sortiront gagnants.
"La directive DSP2 me protège contre les fraudes"
C'est l'une des erreurs les plus couramment commises à propos de la nouvelle directive; c'est aussi l'une des plus préjudiciables pour les commerçants. De nombreuses enseignes sont convaincues que la directive DSP2 les protégera contre les risques de fraude parce qu'elles utiliseront le processus d'authentification 3D-Secure à chaque transaction. Ce dispositif transférant la responsabilité de la rétrofacturation (chargeback liability) aux banques, les commerçants n'ont plus de souci à se faire. Ce n'est tout simplement pas le cas.
L'authentification multifactorielle imposée la directive DSP2 n'est pas toujours assortie d'un "challenge", et même dans ce cas, le défi ne pose généralement pas de problème aux fraudeurs. Lorsqu'une transaction frauduleuse est effectuée, la responsabilité de la rétrofacturation peut toujours incomber au commerçant, par exemple si la banque signale la fraude comme une rétrofacturation de service (service chargeback). Mais, même si la banque assume la responsabilité de la rétrofacturation, la transaction frauduleuse est prise en compte dans le taux de fraude (fraud ratio) du commerçant, ce qui peut également entraîner une hausse de ce ratio et, à terme, des frais de transaction plus élevés.
En outre, la directive DSP2 ne tient pas compte du niveau de sophistication des fraudeurs. Alors que les achats en ligne séduisent un nombre croissant de consommateurs aux quatre coins du monde, les escrocs imaginent sans cesse de nouveaux moyens pour manipuler et tromper les systèmes de paiement en ligne, ainsi que pour contourner les méthodes multifactorielles d'authentification forte du client (SCA -Strong Customer Authentication) qu'impose la directive DSP2.
En tout état de cause, il est important de retenir que la DSP2 n'est pas la panacée contre la fraude. En revanche, ce dispositif réduit les taux de conversion. Ainsi, les commerçants qui ne sont pas équipés d'une solution de protection souffriront à la fois de taux de fraude plus élevé, d'une hausse des rétrofacturations et d'une dégradation du taux de conversion.
Lire aussi : Arnaud Bodzon, LVMH : "La data peut être utilisée pour mieux comprendre les habitudes de paiement"
"Avec la directive DSP2, le processus d'authentification 3D-Secure doit être appliqué à l'ensemble de mon portefeuille de modes de paiement"
Le processus d'authentification 3DS (3D-Secure) introduit un point de friction important qui se traduit dans de nombreux cas par l'abandon de la transaction par le consommateur ou l'échec du challenge d'authentification. Cette situation peut être due à une confusion au cours du processus ou à des problèmes techniques (l'utilisateur ne reçoit pas le texto contenant le code pour finaliser l'achat), mais également au fait que le consommateur a davantage de temps pour réfléchir à son achat et qu'il décide in fine de mettre un terme à la transaction.
Il arrive également que des consommateurs qui finalisent le processus d'authentification 3DS, ne soient pas autorisés à régler leur achat. En effet, l'autorisation 3DS présente parfois un taux de rejet (decline rate) plus élevé, car les acheteurs ne veulent pas prendre en charge la responsabilité de la rétrofacturation. Les risques accrus d'abandon, d'échec du processus 3DS ou de rejet d'autorisation doivent inciter les commerçants à éviter à tout prix de recourir à l'authentification 3DS tout en assurant leur conformité à la directive DSP2.
Dans le cadre de la directive DSP2, les commerçants peuvent demander des exemptions 3DS pour certaines transactions, le principal étant lié à l'analyse des risques de transactions (TRA - Transaction Risk Analysis). Pour qu'une exemption TRA lui soit accordée, un commerçant doit disposer d'une solution de prévention des fraudes robuste et capable d'identifier avec précision les transactions qui présentent un risque minime. Parmi les autres types d'exemptions figurent les transactions de faible valeur, les abonnements/montants fixes, etc.
"L'augmentation du nombre de rejets est inévitable, mais les commerçants n'ont pas le choix"
De nombreux commerçants sont convaincus que la directive DSP2 et l'utilisation croissante de l'authentification 3DS accroissent inévitablement le nombre de rejets. C'est loin d'être le cas. Si le nombre de rejets risque effectivement d'augmenter, les possibilités dont disposent les commerçants pour en réduire l'impact ne manquent pas - par exemple, en sollicitant des demandes d'exemption pour éviter d'utiliser l'authentification 3DS à chaque transaction. Dans le cadre de la directive DSP2, les commerçants peuvent demander des exemptions pour les transactions éligibles, y compris les transactions de valeur réduite et à faible risque. Toutefois, les banques acquéreurs peuvent rejeter les exemptions et les transactions non authentifiées par le système 3DS si elles sont jugées trop risquées.
Les enseignes qui veulent profiter de l'exemption la plus courante, à savoir l'analyse des risques de transaction (TRA), doivent se doter d'une solution de prévention des fraudes et d'un moteur d'exemption extrêmement puissants. Les commerçants qui demandent des exemptions TRA et qui disposent d'une solution de prévention des fraudes augmentent leurs chances de voir l'exemption accordée. En outre, les solutions de prévention des fraudes assument souvent le chargeback", ce qui permet au commerçant d'éviter cette responsabilité ainsi que l'authentification 3DS, tout en restant conforme à la directive DSP2.
Les rejets peuvent également venir des émetteurs qui ne sont pas nécessairement en mesure de traiter les demandes d'authentification 3DS2 (3D Secure2) et qui, par conséquent, doivent s'appuyer sur le protocole 3DS1 dont les taux d'abandon sont plus élevés. Les émetteurs peuvent par ailleurs choisir d'utiliser un système de traitement par délégation (Stand-In-Processing - STIP) pour effectuer l'authentification 3DS. En cas de délégation, un autre établissement (processor) tel que Visa ou MasterCard, évalue le risque et décide s'il doit ou non assumer la responsabilité de la rétrofacturation. Si le risque est mineur, la responsabilité est alors imputée à l'émetteur, lequel peut décider de rejeter la transaction pour simplement éviter de courir le moindre risque, même faible.
Les commerçants qui disposent d'un moteur d'exemption constateront également que le nombre de rejets augmente, car leur écosystème de paiement n'est pas entièrement adapté à la directive DSP2. En d'autres termes, il est possible que les acquéreurs ne soient pas en mesure d'identifier et de traiter les demandes d'exemption et, par conséquent, qu'ils rejettent des transactions non 3DS, parce qu'ils ne parviennent pas à en valider la conformité. Le fait de savoir d'où proviennent les rejets peut permettre aux commerçants d'adapter leurs opérations, ce qui, en fin de compte, réduit le nombre de rejets subis et augmente la génération de recettes et leur rentabilité.
Il est temps que les commerçants réalisent que l'environnement mondial des paiements est en train d'évoluer et qu'ils n'ont d'autre choix que de s'adapter. Les enseignes qui tarderont à intégrer des solutions innovantes, à se protéger au moyen de solutions de prévention des fraudes et à recentrer l'expérience de finalisation sur l'acheteur perdront inévitablement des clients - et c'est bien la dernière chose qu'elles recherchent.
L'auteur
Yann Aubry est vice-président EMEA de Forter, spécialisé dans la prévention de la fraude en ligne dans le commerce électronique. Forter protège plus de 200 milliards de dollars de transactions commerciales en ligne pour plus de 800 millions de consommateurs à l'échelle mondiale, contre la fraude aux paiements, l'usurpation des comptes, les abus de CGV.