DSP2

Home » DSP2

La règlementation DSP2 et les marchands

Qu’est-ce que la DSP2 ?

La DSP2, Directive sur les Services de Paiement 2ème version,  est une directive européenne dont l’objectif est de lutter contre la fraude en responsabilisant l’ensemble des acteurs du paiement.

Elle encadre de nouveaux acteurs tels que les PISP (Payment Initiation Service Providers) et les AISP (Account Information Service Providers), elle renforce les pouvoirs de contrôle des régulateurs et durcit les conditions de délivrance des agréments.

Pour les commerçants en ligne, l’authentification forte du porteur de carte de paiement est généralisée.

Quels sont les enjeux pour les marchands ?

La mise en œuvre de cette règlementation crée de nouveaux enjeux pour les marchands : respecter la règlementation tout en conservant des parcours d’achat fluides, rassurer les clients concernant les nouvelles règles antifraudes et maitriser l’ensemble du parcours client.

Concrètement que faut-il faire ?

Avec la DSP2, les acteurs de l’acceptation doivent adapter le processus d’authentification forte

Qu’est-ce qu’une authentification forte ?

L’authentification forte est l’identification d’un client au moyen de deux éléments parmi une liste de trois :

3 facteurs d'authentification

Toutes les transactions devront faire l’objet d’une authentification forte ?

Non, car la règlementation prévoit des exemptions et place certains paiements en dehors du champ d’application de la directive :

  • Les exemptions
    • Les achats d’un montant inférieur à 30 € (Sauf toutes les 6 opérations de paiement ou un montant cumulé de 100 €)
    • Lorsque le risque de fraude est inférieur à un taux fixé dans la directive
    • Les paiements récurrents
    • Les paiements émis par un bénéficiaire de confiance (pas avant fin 2020)
    • Les paiements par carte non nominative (personnes morales)
  • Les transactions non concernées
    • Les paiements initiés par le commerçant
    • Les paiements de type Mail Order Telephone Order (MOTO)
    • Les paiements One Leg (la banque du marchand ou la banque du client est en dehors de l’Union européenne

Qui détermine si la transaction est concernée et si elle bénéficie d’une exemption ?

Tous les acteurs d’un paiement peuvent envoyer des informations permettant d’évaluer si une authentification forte est nécessaire ou pas

In fine c’est l’émetteur de la carte de paiement qui prendra la décision.

Quel est le calendrier de mise en œuvre ?

Pour tenir compte de la complexité de mise en œuvre technique, l’EBA (Autorité bancaire européenne) a proposé qu’un plan de migration des commerçants vers de nouvelles solutions soit validé par la Banque de France.

Ce plan en cours d’élaboration et de validation devrait converger vers les étapes suivantes :

  • Du 14/09 au 31/03/2020 :
    • Absence de risque de rejet d’une transaction en cas d’absence d’authentification forte
    • Les commerçants doivent progressivement s’équiper en contrat VADS pour le 31/03/2020
  • Au 31/03/2020 :
    • Les industriels du paiement doivent proposer une solution conforme à la solution 3DSV2.1
    • Le 3DSV1 déjà en place suffira pour respecter la législation
    • S’il n’y a pas de 3DS (V1 ou V2) un risque de rejet des transactions sera de plus en plus important
  • Initialement prévue au 01/04/2021, décalée au mois de juillet (en attente de confirmation pour une date d’arrêt en 2022)
    • Le 3DSV2 devra obligatoirement être utilisé par les commerçants
    • Le 3DSV1 ne pourra plus être utilisé

Que faire selon la solution Paybox / Verifone e-Commerce souscrite ?

– Paybox System

L’implémentation de Paybox System n’a pas à être modifiée.

Plusieurs vérifications restent à effectuer:

– S’assurer auprès de la banque concernée que le contrat VAD supporte bien les transactions 3D-Secure (contrat VADS).

– Demander l’activation du 3D-Secure à Verifone.

– Prévoir de ne plus envoyer le paramètre PBX_3DS lors des tentatives de paiement

– Paybox Direct

L’implémentation de Paybox Direct devra évoluer pour intégrer l’envoi des données 3D-Secure associées à la tentative de paiement.

Pour cela Verifone met à disposition le RemoteMPI, ce produit permettra de réaliser l’authentification 3D-Secure et d’obtenir les données 3D-Secure indispensables à fournir lors de l’appel Paybox Direct.

La documentation pour ce produit est disponible à l’adresse ci-dessous:

ManuelIntegrationVerifone_RemoteMPI_V8.0_FR

En parallèle, il conviendra de s’assurer auprès de la banque concernée que le contrat VAD supporte bien les transactions 3D-Secure et de demander l’activation du 3D-Secure à Verifone.

– Paybox Direct Plus

L’utilisation des abonnés pour réaliser des transactions peut faire l’objet d’un cas d’exemption.

Lorsque le produit est utilisé exclusivement pour réaliser les transactions d’un échéancier.

La première transaction de l’échéancier devra faire l’objet d’une authentification 3D-Secure.

Par ailleurs, l’utilisation des abonnés pour d’autres cinématiques et notamment la réalisation de paiement « One-click », ne pourra pas faire l’objet d’une exemption, et l’authentification 3D-Secure devra être implémentée.

L’implémentation à proprement parler sera similaire au travail décrit dans le paragraphe précédent pour Paybox Direct.

– Abonnement

Les transactions réalisées dans le cadre d’un abonnement feront l’objet d’un cas d’exemption.

Cependant la première transaction à l’origine de la création de l’échéancier devra faire l’objet d’une authentification 3D-Secure.

– Saisie Manuelle

Les transactions réalisées avec l’outil Saisie Manuelle seront concernées par le cas d’exemption dédié aux opérations MOTO (transactions réalisées par mail ou par téléphone).

Afin de bénéficier de l’exemption, il sera important d’utiliser l’ERT/Activité adapté à l’utilisation faite du contrat, il faudra pour cela valoriser le champ à la valeur 021 lors de chaque tentative de paiement.

Présentation du groupe

Nous suivre