L’authentification forte du client (Strong Customer Authentication, SCA) découle de la PSD2. Il s’agit d’un ensemble d’exigences comportant une étape de sécurité supplémentaire pour certains achats en ligne et en magasin. Ces achats exigeront un niveau de sécurité supplémentaire appelé authentification à deux facteurs qui demandera aux consommateurs de confirmer leur identité en fournissant des informations provenant d'au moins deux des catégories suivantes :
Authentification forte du client
L'impact de la réglementation européenne sur les achats en ligne et en magasin.
Connaissance :
un élément que vous connaissez
(comme un mot de passe ou un code PIN.)
Possession :
un élément que vous possédez
(comme un téléphone mobile, un lecteur de carte, un dispositif de génération de clé.)
Inhérence :
un élément que vous êtes
(comme un élément biométrique tel une reconnaissance faciale, empreinte digitale, reconnaissance vocale.)
Qu'est-ce que cela signifie pour les émetteurs et les acquéreurs ?
La SCA créera des opportunités pour les fournisseurs de services de paiement (PSP), les émetteurs et les acquéreurs comme pour leurs clients. Le but de la SCA est d’apporter des avantages à toutes les parties de l’écosystème des paiements en rendant les paiements en ligne et sans contact encore plus sûrs et en offrant une meilleure protection contre le risque de fraude. Les PSP ont un rôle clé à jouer pour assurer la réussite de la SCA en adoptant des solutions qui les rendront conformes à la réglementation :
Paiements en ligne. 3-D Secure est le protocole d’authentification permettant le traitement de la SCA. En utilisant 3-D Secure, les émetteurs, acquéreurs et marchands faciliteront la conclusion des transactions en toute sécurité. Et s’ils adoptent la version la plus récente de 3DS – version 3DS 2.2 – ils créeront une meilleure expérience client pour les achats via des applications et smartphones.
Paiements sans contact. Visa propose deux solutions distinctes pour permettre aux émetteurs d'appliquer l’exemption sans contact et initier une SCA quand cela s'avère nécessaire :
- Solution basée sur la carte - Cette solution comptabilise dans la puce de la carte le nombre de transactions de paiement sans contact ou leur montant cumulé. Pour que cette solution fonctionne, il est possible qu’une nouvelle carte doive être émise.
- Solution basée sur le serveur d’autorisation de l’émetteur - Visa a introduit deux nouveaux codes de réponse d'autorisation (1A et 70) qui aideront l’écosystème de paiement à offrir une expérience optimale et fluide aux titulaires de cartes. Certains émetteurs européens commenceront à utiliser ces codes de réponse dès septembre 2019. Les PSP point de vente peuvent activer dès maintenant ces codes dans leur serveur pour préparer leurs entreprises et marchands à la SCA.
Durant cette période de transition, les émetteurs devront continuer à utiliser les solutions existantes pour l’authentification et les stratégies d’atténuation de la fraude.
Visa Contactless and Card présentent
le guide de mise en œuvre de la SCA PSD2
Plus d'informations (en Anglais)
le guide de mise en œuvre de la SCA PSD2
Plus d'informations (en Anglais)
L’engagement de Visa envers les entreprises
Visa s’engage envers ses partenaires. Nous innovons pour aider nos partenaires à fournir des solutions qui allient sécurité et commodité.
Le 21 juin 2019, l’Autorité bancaire européenne (ABE) a publié une opinion sur la Directive des services de paiement 2 (PSD2) et la SCA. Cette opinion définit de manière plus approfondie ce qui constitue un « facteur ». Visa dialogue activement avec les régulateurs locaux sur ce thème.
Visa a collaboré avec l’industrie pour recommander l’application d’une période de transition de 18 mois dans tous les États membres. Cette recommandation est soutenue par une feuille de route détaillée comportant des étapes de préparation réalistes. Dans certains états membres, les régulateurs locaux ont déjà annoncé publiquement leur soutien au prolongement de cette durée, alors que d'autres n'ont pas encore publié de déclaration formelle.
Le 1er août 2019, Visa a co-signé une Déclaration sectorielle commune de l’European Payments Institutions Federation (EPIF). Cette déclaration conseille à tous les émetteurs de continuer à autoriser les transactions après le 14 septembre comme ils le font à l’heure actuelle, et jusqu’à la fin de la période de transition qui sera confirmée par l’EBA et/ou les régulateurs nationaux. Ceci est important pour éviter des perturbations majeures de l’e-commerce en Europe.
Les émetteurs devront continuer à utiliser les solutions déjà utilisées pour l’authentification et les stratégies d’atténuation de la fraude. Visa surveillera activement les réponses d'autorisation afin d’identifier les émetteurs qui signalent un nombre accru de refus, et collaborera avec eux pour trouver des solutions qui permettront aux clients de continuer à effectuer des paiements en toute fluidité.
Visa utilisera sa connaissance de l’écosystème des paiements pour soutenir les régulateurs locaux en leur fournissant des informations concernant les progrès de la mise en œuvre de la SCA et l’impact sur les paiements en Europe.