Un cadre réglementaire strict
L’authentification forte (SCA – Strong Customer Authentication) est une exigence réglementaire issue de la directive européenne DSP2.
Elle impose de vérifier l’identité du payeur à l’aide d’au moins deux facteurs indépendants parmi trois catégories :
Ce qu’il sait
Mot de passe, code, question secrète
Ce qu’il possède
Téléphone, appareil connecté, carte, token
Ce qu’il est
Empreinte digitale, reconnaissance faciale ou vocale
Comment ça marche ?
Fluidifier l’expérience de paiement, en évaluant le risque
Le 3DS2 est le protocole technique qui met en œuvre l’authentification forte sur les paiements par carte.
Par rapport à son prédécesseur, il améliore significativement l’expérience utilisateur.
La banque émettrice calcule un score de risque, grâce à plusieurs données qui replacent le paiement dans son contexte.
Si le profil de transaction est jugé peu risqué, l’authentification se fait en arrière-plan, sans redirection ni saisie de code : c’est le parcours frictionless. Dans le cas contraire, une étape de vérification supplémentaire est demandée au porteur.
Données du téléphone
Parmi les 12 données collectées sur les plateformes mobiles, on retrouve notamment :
- Le type de plateforme utilisée avec l’adresse IP du porteur
- Le nom et le modèle du périphérique, la résolution de l’écran
- Le système d’exploitation ainsi que la version d’OS est également inclus
- Le fuseau horaire et la position de l’appareil
Données du navigateur
Les données capturées depuis le navigateur du client sont réparties en 9 catégories :
- Accept Headers (en-têtes) : indiquent les types de contenu (MIME) que le navigateur est capable de comprendre.
- Adresse IP : l’adresse IP du PC sur lequel le navigateur est en cours d’exécution.
- Java Enabled : indique si le navigateur est activé Java
- Language : indique la langue utilisée par le navigateur du détenteur de la carte.
- Screen Colour Depth : indique la profondeur de la palette de couleurs utilisée pour l’affichage des images à l’écran.
- Screen Height : indique la hauteur totale de l’écran du détenteur en pixels
- Screen Width : indique la largeur totale de l’écran du détenteur de carte en pixels.
- Time Zone : indique la différence de temps entre l’UTC et l’heure locale du détenteur de la carte.
- User-Agent : indique le contenu exact de l’en-tête HTTP User-agent.
Risque marchand
Afin d’enrichir la transaction de données contextuelles et de minimiser le risque, la banque a la possibilité de collecter et d’utiliser des informations supplémentaires sur les titulaires de carte.
- Le « compte client » : les données du client détenues par le commerçant dans le cadre d’un compte enregistré (âge du compte, dates de toute modification apportée au compte, adresse de livraison et fréquence des transactions, y compris les transactions réussies et abandonnées…).
- Les achats : habitudes d’achat du client, si les produits ou les services achetés ont été commandés auparavant (indicateur de nouvelle commande d’articles), lieu où la commande est expédiée (indicateur d’expédition) et si la commande est achetée en amont (indicateur de commande pré-achat).
- L’authentification des transactions passées : éventuelles frictions durant les transactions (demande d’authentification supplémentaire, date et heure des tentatives précédentes).
L’information optionnelle peut inclure des justificatifs concernant l’émetteur et l’authentification de tiers, (Google, Apple).
Quelques cas d’exemption
Sous certaines conditions, la banque du payeur peut lever l’obligation d’authentification systématique.
💳
Des transactions de faible
montant, inférieures à 30 euros
💼
Des paiements avec carte d’affaires (corporate / business)
🌍
Des transactions extérieures
à l’EEE
📞
Certaines transactions MOTO
(Mail Order/Telephone Order)
🔁
Des paiements récurrents
de montants fixes
💼
Bénéficiaires de confiance,
inscrits sur liste blanche
Le protocole d’authentification forte avec CentralPay
Découvrez comment CentralPay gère le 3DS pour vous.
Transactions optimisées
CentralPay optimise le routage des transactions pour limiter les étapes d’authentification aux seuls cas où elles sont nécessaires. Un parcours fluide pour vos clients, une conformité totale pour votre activité.
Intégration native
CentralPay prend en charge le protocole 3DS (gestion des exemptions, communication avec les émetteurs de cartes…) sans développement supplémentaire de votre côté.
FAQ
Des questions sur l’authentification forte ?
Le 3D Secure 2.0 répond aux exigences d’authentification définies par les normes techniques de la réglementation (Regulatory Technical Standards – RTS) publiées par l’Autorité Bancaire Européenne (ABE) et approuvées en 2018.
En 2019, dans le cadre de la Directive des Services de Paiement n°2 (DSP2), le Parlement Européen a rendu obligatoire l’authentification forte (Strong Customer Authentication – SCA) afin de limiter les risques de fraude.
Évolution du protocole sécurisé 3D Secure, la version 2.0 offre de nouveaux avantages :
- Data oriented : Il utilise une approche plus intelligente, en recueillant davantage de données sur la transaction pour évaluer le niveau de risque et déterminer si une authentification est nécessaire.
- Expérience utilisateur améliorée : Afin de réduire les frictions et ne pas endommager l’expérience utilisateur, le 3D Secure 2.0 incorpore l’authentification forte de manière plus fluide dans le processus de paiement.
- Sécurité renforcée : Avec des méthodes d’authentification et d’analyse plus avancées, le 3D Secure 2.0 permet l’identification plus précise des transactions frauduleuses, tout en réduisant les faux positifs.
- Multi-appareils : Contrairement à sa première version, le 3D Secure 2.0 est maintenant pris en charge sur une large variété d’appareils, offrant une authentification plus fluide sur tous les supports, y compris les smartphones et les tablettes.
Non. Le protocole est conçu pour ajouter une couche de sécurité supplémentaire aux paiements en ligne et protège à la fois les e-commerçants et les consommateurs, en réduisant les risques de fraude liée à l’utilisation de cartes bancaires.